Resolución de la Agencia Española de Protección de Datos PS-00254-2023 de 19 de octubre de 2023

Cuestión

Expediente Nº: EXP202302279

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 19 de septiembre de 2023 , la Directora de la Agencia Española...

Contestacion

1/11

? Expediente Nº: EXP202302279

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 19 de septiembre de 2023, la Directora de la Agencia Española

de Protección de Datos acordó iniciar procedimiento sancionador a CAIXABANK, S.A.

(en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:

<<

Expediente N.º: EXP202302279

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes

HECHOS

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 11 de enero de 2023

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra CAIXABANK, S.A., con NIF A08663619 (en adelante,

CAIXABANK. Los motivos en que basa la reclamación son los siguientes:

La parte reclamante manifiesta que, tras solicitar supresión de sus datos personales

en el sistema de información crediticia ASNEF, ésta le informa, mediante una carta

enviada el día 28 de diciembre de 2022, que la entidad informante CAIXABANK ha

confirmado la existencia de la deuda pendiente de pago y su permanencia en el

fichero.

La parte reclamante pone de manifiesto que CAIXABANK ha vendido la deuda

pendiente de pago a AXACTOR según escritura notarial adjunta de 29 de septiembre

de 2022 y la deuda continúa incluida en el sistema ASNEF por parte de CAIXABANK.

Junto a la reclamación se aporta:

- Contestación de ASNEF a la parte reclamante, de fecha 28 de diciembre de 2022,

ante la solicitud de cancelación de sus datos en el fichero de morosidad.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/11

- Escritura notarial de Copia autorizada de la póliza de Novación de Contrato de

Compraventa de una cartera de créditos sin garantía real otorgada por CAIXABANK

(?) como parte vendedora y a favor de AXACTOR ESPAÑA, S.L.U., (como parte

compradora) (?) de fecha 29 de septiembre de 2022.

- Escrito dirigido a Juzgado, presentado en fecha 5 de octubre de 2022, mediante el

que AXACTOR pone en conocimiento de dicho Juzgado la existencia de la cesión de

la deuda.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), se dio traslado de dicha reclamación a CAIXABANK, para que

procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), fue recogido en fecha 23 de febrero de 2023 como

consta en el acuse de recibo que obra en el expediente.

La contestación al traslado efectuada por CAIXABANK tuvo entrada en el registro de

esta Agencia en fecha 22 de marzo de 2023, y en ella la entidad ponía de manifiesto

que, a partir de esa fecha, ya no constaban los datos de la parte reclamante en el

sistema de información crediticia ASNEF.

TERCERO: Con fecha 11 de abril de 2023, de conformidad con el artículo 65 de la

LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

FUNDAMENTOS DE DERECHO

I

Competencia

De acuerdo con lo dispuesto en los artículos 58.2 del Reglamento (UE) 2016/679 del

Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de

las personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos (RGPD), y según lo establecido en los artículos 47, 48.1,

64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos

Personales y garantía de los derechos digitales (en adelante, LOPDGDD) es

competente para iniciar y resolver este procedimiento la Directora de la Agencia

Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/11

II

Cuestiones previas

En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD,

consta la realización de un tratamiento de datos personales, toda vez que

CAIXABANK realiza la recogida y conservación de, entre otros, los siguientes datos

personales de personas físicas: nombre y apellido, DNI, entre otros tratamientos.

CAIXABANK realiza esta actividad en su condición de responsable del tratamiento,

dado que es quien determina los fines y medios de tal actividad, en virtud del artículo

4.7 del RGPD.

Por su parte, el artículo 6.1 del RGPD regula la licitud del tratamiento.

III

Obligación incumplida

El artículo 4.11 del RGPD define el consentimiento del interesado como ?toda

manifestación de voluntad libre, específica, informada e inequívoca por la que el

interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el

tratamiento de datos personales que le conciernen?.

El artículo 6.1 del RGPD, titulado ?Licitud del tratamiento? establece los supuestos que

permiten considerar lícito el tratamiento de datos personales.

?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al

responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos

intereses no prevalezcan los intereses o los derechos y libertades fundamentales del

interesado que requieran la protección de datos personales, en particular cuando el

interesado sea un niño.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/11

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento

realizado por las autoridades públicas en el ejercicio de sus funciones.?

En relación con los sistemas de información crediticia, hemos de acudir al artículo 20

apartados 1 y 2 de la LOPDGDD, donde se establece lo siguiente:

?1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales

relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por

sistemas comunes de información crediticia cuando se cumplan los siguientes

requisitos:

a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta

o interés.

b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o

cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o

mediante un procedimiento alternativo de resolución de disputas vinculante entre las

partes.

c) Que el acreedor haya informado al afectado en el contrato o en el momento de

requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con

indicación de aquéllos en los que participe.

La entidad que mantenga el sistema de información crediticia con datos relativos al

incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al

afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los

derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro

de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo

bloqueados los datos durante ese plazo.

d) Que los datos únicamente se mantengan en el sistema mientras persista el

incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de

la obligación dineraria, financiera o de crédito

e) Que los datos referidos a un deudor determinado solamente puedan ser

consultados cuando quien consulte el sistema mantuviese una relación contractual

con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera

solicitado la celebración de un contrato que suponga financiación, pago aplazado o

facturación periódica, como sucede, entre otros supuestos, en los previstos en la

legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.

Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento

de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del

Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con

arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin

facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en

tanto se resuelve sobre la solicitud del afectado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/11

f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste

no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya

consultado el sistema informe al afectado del resultado de dicha consulta.

2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento

de los datos referidos a sus deudores, tendrán la condición de corresponsables del

tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del

Reglamento (UE) 2016/679.

Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la

inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

(?)?

En el presente caso, la parte reclamante ponía de manifiesto que la entidad

CAIXABANK había vendido un crédito moroso de su titularidad a otra entidad,

aportando para acreditarlo el documento de venta notarial, de fecha 29 de septiembre

de 2022, documentación aportada al Juzgado por parte del nuevo titular de la deuda,

así como la aceptación de la subrogación por parte del Juzgado.

La parte reclamante indica que, posteriormente solicitó la cancelación de sus datos en

el sistema de información crediticia ASNEF, y ésta le había comunicado, en fecha 28

de diciembre de 2022, que la entidad CAIXABANK había confirmado la existencia de

la deuda.

Con fecha 22 de febrero de 2023 se dio traslado de esta reclamación a CAIXABANK,

que contestó en fecha 22 de marzo de 2023 que, a partir de esa fecha, ya no

constaban los datos de la parte reclamante en el sistema de información crediticia

ASNEF.

La falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones

impuestas por la normativa de protección de datos de carácter personal es, pues,

evidente. Un cumplimiento diligente del principio de licitud en el tratamiento de datos

de terceros requiere que el responsable del tratamiento esté en condiciones de

probarlo (principio de responsabilidad proactiva).

En ese sentido el Considerando 40 del RGPD señala:

?(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el

consentimiento del interesado o sobre alguna otra base legítima establecida conforme

a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión

o de los Estados miembros a que se refiera el presente Reglamento, incluida la

necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la

necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de

tomar medidas a instancia del interesado con anterioridad a la conclusión de un

contrato.?

Por tanto, la documentación que obra en el expediente ofrece evidencias de que

CAIXABANK vulneró el artículo 6.1 del RGPD, toda vez que resulta acreditado que la

parte reclamante continuaba inscrita en el sistema de información crediticia ASNEF a

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/11

instancias de la entidad CAIXABANK, a pesar de que CAIXABANK había vendido la

deuda pendiente de pago a AXACTOR, tal y como figura en escritura notarial de fecha

29 de septiembre de 2022, aportada por la parte reclamante, así como en el escrito

dirigido por AXACTOR al Juzgado, en el que solicita la sustitución procesal como

consecuencia de la existencia de la cesión.

Por tanto, CAIXABANK trató los datos personales de la reclamante sin legitimación, al

constar inscritos en el sistema de información crediticia ASNEF desde el 29 de

septiembre de 2022, fecha en que se produjo la venta de la deuda, hasta el día 22 de

marzo de 2023, fecha en la que CAIXABANK aporta documentación que acredita que

los datos de la parte reclamante ya no constan inscritos en ASNEF.

IV

Tipificación y calificación de la infracción del artículo 6.1 del RGPD

De confirmarse, la citada infracción del artículo 6.1 del RGPD podría suponer la

comisión de las infracciones tipificadas en el artículo 83.5 del RGPD que bajo la

rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5, 6, 7 y 9?

A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy

graves? de la LOPDGDD indica:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se

consideran muy graves y prescribirán a los tres años las infracciones que supongan

una vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

(?)

b) el tratamiento de datos personales sin que concurra alguna de las condiciones de

licitud del tratamiento en el artículo 6 del Reglamento (UE) 2016/679.

(?)?

VI

Propuesta de sanción por la infracción del artículo 6.1 del RGPD

A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de

conformidad con las evidencias de que se dispone en el presente momento de

acuerdo de inicio de procedimiento sancionador, y sin perjuicio de lo que resulte de la

instrucción, se considera que procede graduar la sanción a imponer de acuerdo con

los siguientes criterios que establece el artículo 83.2 del RGPD:

Como agravantes:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/11

- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido (apartado a): por el mantenimiento de los datos personales de la

parte reclamante en el fichero de información crediticia, cuando la deuda había

sido vendida a un tercero, por el periodo que va desde el 29 de septiembre de

2022 (fecha de la escritura notarial de venta de la deuda) hasta el día 22 de marzo

de 2023 (fecha en que CAIXABANK acredita supresión de los datos de la parte

reclamante en ASNEF).

- Intencionalidad/ Negligencia en la infracción (apartado b): en el presente caso

estamos ante una acción negligente, ya que se mantienen los datos personales de

la parte reclamante en ficheros de solvencia, pese a que la deuda había sido

vendida a un tercero.

Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los

siguientes criterios que establece el apartado 2 del artículo 76 ?Sanciones y medidas

correctivas? de la LOPDGDD:

Como agravantes:

- La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales (apartado b): la entidad CAIXABANK está habituada al

tratamiento de datos personales.

El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de

la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el

artículo 6.1 del RGPD, permite fijar inicialmente una sanción de 200.000 euros.

V

Adopción de medidas

De confirmarse la infracción, podría acordarse imponer al responsable la adopción de

medidas adecuadas para ajustar su actuación a la normativa mencionada en este

acto, sin perjuicio de acuerdo con lo establecido en el citado artículo 58.2 d) del

RGPD, según el cual cada autoridad de control podrá ?ordenar al responsable o

encargado del tratamiento que las operaciones de tratamiento se ajusten a las

disposiciones del presente Reglamento, cuando proceda, de una determinada manera

y dentro de un plazo especificado??. La imposición de esta medida es compatible con

la sanción consistente en multa administrativa, según lo dispuesto en el art. 83.2 del

RGPD.

Se advierte que no atender a los requerimientos de este organismo podría ser

considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,

tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la

apertura de un ulterior procedimiento administrativo sancionador.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/11

Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia

Española de Protección de Datos,

SE ACUERDA:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a CAIXABANK, S.A., con

NIF A08663619, por la presunta infracción del 6.1 del RGPD, tipificada en 83.5 del

RGPD.

SEGUNDO: NOMBRAR como instructora a B.B.B. y, como secretaria, a C.C.C.

indicando que podrán ser recusados, en su caso, conforme a lo establecido en los

artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector

Público (LRJSP).

TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la

reclamación interpuesta por la parte reclamante y su documentación, así como los

documentos obtenidos y generados por la Subdirección General de Inspección de

Datos en las actuaciones previas al inicio del presente procedimiento sancionador.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la

sanción que pudiera corresponder sería de 200.000 euros, sin perjuicio de lo que

resulte de la instrucción.

QUINTO: NOTIFICAR el presente acuerdo a CAIXABANK, S.A., con NIF A08663619,

otorgándole un plazo de audiencia de diez días hábiles para que formule las

alegaciones y presente las pruebas que considere convenientes. En su escrito de

alegaciones deberá facilitar su NIF y el número de expediente que figura en el

encabezamiento de este documento.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, iniciado un

procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá

resolver el procedimiento con la imposición de la sanción que proceda.

Asimismo, conforme dispone dicho artículo 85 de la LPACAP, podrá reconocer su

responsabilidad dentro del plazo otorgado para la formulación de alegaciones al

presente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de la

sanción que proceda imponer en el presente procedimiento. Con la aplicación de esta

reducción, la sanción quedaría establecida en 160.000 euros (ciento sesenta mil

euros), resolviéndose el procedimiento con la imposición de esta sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del presente

procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que

supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,

la sanción quedaría establecida en 160.000 euros (ciento sesenta mil euros) y su pago

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/11

implicará la terminación del procedimiento, sin perjuicio de la imposición de las

medidas correspondientes.

La reducción por el pago voluntario de la sanción es acumulable a la que corresponde

aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento

de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular

alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida

en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En

este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría

establecido en 120.000 euros (ciento veinte mil euros).

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará

condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades

señaladas anteriormente (160.000 euros o 120.000 euros), deberá hacerlo efectivo

mediante su ingreso en la cuenta nº IBAN: ES00 0000 0000 0000 0000 0000 abierta a

nombre de la Agencia Española de Protección de Datos en la entidad bancaria

CAIXABANK, S.A., indicando en el concepto el número de referencia del

procedimiento que figura en el encabezamiento de este documento y la causa de

reducción del importe a la que se acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha

del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en

consecuencia, el archivo de actuaciones; de conformidad con lo establecido en el

artículo 64 de la LOPDGDD.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,

contra el presente acto no cabe recurso administrativo alguno.

935-290523

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO: En fecha 9 de octubre de 2023, la parte reclamada ha procedido al pago

de la sanción en la cuantía de 120000 euros haciendo uso de las dos reducciones

previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el

reconocimiento de la responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/11

FUNDAMENTOS DE DERECHO

I

Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Terminación del procedimiento

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.?

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/11

PRIMERO: DECLARAR la terminación del procedimiento EXP202302279, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: NOTIFICAR la presente resolución a CAIXABANK, S.A..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

936-040822

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es