Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00267-2020 de 11 de febrero de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 174 min
Órgano: Agencia Española de Protección de Datos
Fecha: 11/02/2022
Num. Resolución: PS-00267-2020
Cuestión
Sector:1 / 64
Expediente Nº: PS/00267/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : A.A.A. , en representación de la Unión General de Trabajadores (en lo...
Contestacion
1/64
? Expediente Nº: PS/00267/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: A.A.A., en representación de la Unión General de Trabajadores (en lo
sucesivo, UGT, el reclamante o entidad reclamante), con fecha 28/11/2019 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra AMAZON ROAD TRANSPORT SPAIN, S.L con CIF B88405303 (en lo
sucesivo, AMAZON ROAD, la reclamada o entidad reclamada). Los motivos en que
basa la reclamación son los siguientes:
1. Para la contratación de transportistas autónomos como proveedores de servicios,
(programa ?***PROGRAMA.1?), la entidad reclamada solicita a los candidatos diversa
documentación, entre la que se incluye un certificado de ausencia de antecedentes
penales.
2. AMAZON ROAD requiere el consentimiento de los candidatos para que ?Amazon?, y
cualquier entidad vinculada, lleve a cabo transferencias de datos de carácter personal
a cualquier entidad vinculada situada fuera del EEE para promover los intereses
legítimos de ?Amazon? y/o de cualquier entidad vinculada (?Se entiende por Entidad
Vinculada ?sociedad de cartera de Amazon, sociedad filial o filial de su sociedad de
cartera?).
3. ?Asimismo, se exige consentimiento para que:
. Accurate Background se encargue de recopilar y tratar la información en nombre de
Amazon para realizar las verificaciones de antecedentes detalladas anteriormente.
. Amazon Development Centre (India) Private Limited, en la India, podrá tener acceso
a los datos que proporcione Amazon durante este proceso para dar soporte de la
información por mi proporcionada.
Por otra parte, requieren consentimiento para exonerar a ?Amazon, Accurate
Background, sus filiales y sus respectivos agentes que faciliten datos informes sobre
mí de cualesquiera reclamaciones, daños y perjuicios, responsabilidades, costes y
gastos; o de cualesquiera otros cargos o quejas que surjan de la recopilación, el
tratamiento o la divulgación de cualquier información o informe, en la medida permitida
por la legislación aplicable?.
El reclamante señala que estas dos empresas no tienen sede física ni fiscal en España
ni en el territorio de la Unión Europea.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/64
Considera el reclamante que se incumplen los preceptos siguientes:
. Artículo 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD), ?Datos especialmente protegidos?: los relativos a la
comisión de infracciones penales o administrativas.
. Artículo 10 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD):
tratamientos de datos de naturaleza penal.
. Artículo 35.3 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo,
de 27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al
Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en lo
sucesivo RGPD): supuestos en los que se requiere la evaluación de impacto.
Con la reclamación se aporta copia, entre otros, de los documentos siguientes:
1. Contrato mercantil (captura de pantalla), que información en materia de protección
de datos personales dirigida a los transportistas, cuyo detalle consta reseñado en el
Hecho Probado 9.
2. Apartado de la aplicación de ?***PROGRAMA.1? relativo a la verificación de
antecedentes (captura de pantalla).
?Verificación de antecedentes
La verificación de antecedentes podrá incluir, a modo meramente enunciativo, los aspectos
enumerados a continuación.
Acepto ayudar a Amazon y participar en la realización de estas comprobaciones de la forma
necesaria para completar correctamente la verificación de mis antecedentes:
1. El certificado de mi registro en la Seguridad Social.
2. Un certificado del Ministerio de Justicia confirmando que no cuento con antecedentes
penales de ningún tipo;
3. Comprobación de cualquier lista de terroristas y sanciones; y
4. Comprobación de que poseo un permiso de conducir válido
En relación con este proceso, doy mi consentimiento a que se realicen las comprobaciones
mencionadas y otras que se consideren necesarias para el puesto.
Entiendo y consiento que Accurate Background se encargue de recopilar y tratar la información
en nombre de Amazon para realizar las verificaciones de antecedentes detalladas
anteriormente.
Entiendo que se me informará de cualesquiera omisiones o falsedades por mi detectadas en el
proceso de verificación de antecedentes o en cualquier otra documentación justificativa
enviada junto con la solicitud de colaboración, y, a falta de una explicación satisfactoria, esto
podrá constituir motivo de terminación o de no contratación para la prestación del servicio o
colaboración.
Entiendo que la información recibida de Amazon y de cualesquiera agentes que actúen en su
nombre será mantenida de forma confidencial y utilizada de forma exclusiva por Amazon y
cualesquiera agentes que actúen en su nombre con fines profesionales, y durante la vigencia
de mi prestación de servicios a Amazon en caso de ser contratado/a y en la medida permitida
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/64
por la legislación aplicable.
Confirmo que he sido informado/a acerca de la inclusión de mis datos personales en un archivo
controlado por Amazon, el fin de dicho tratamiento, la identidad del responsable del tratamiento
de los datos y los destinatarios de mis datos personales, tales como autoridades y agentes
locales, con el objetivo de cumplir con los requisitos legales (p. ej., los dispuestos por la
Agencia Tributaria). Entiendo Amazon Development Center (India) Private Limited, en La India,
podrá tener acceso a los datos que proporcione a Amazon durante este proceso para dar
soporte en la recogida de la información por mí proporcionada, y presto mi consentimiento para
dicho acceso.
También he sido informado/a de mi derecho a consultar, rectificar y cancelar los datos
personales que sobre mí obren en poder de Amazon y cualesquiera agentes que actúen en su
nombre, así como a oponerme al tratamiento de aquellos. Soy consciente de que podré ejercer
estos derechos en cualquier momento dirigiendo una carta en la que identifique el derecho que
quiero ejercitar y adjuntando copia de mi DNI a Avda?
Exonero a Amazon, Accurate Background, sus filiales y sus respectivos agentes que faciliten
datos o informes sobre mí de cualesquiera reclamaciones, daños y perjuicios,
responsabilidades, costes y gastos; o cualesquiera otros cargos o quejas que surjan de la
recopilación, el tratamiento o la divulgación de cualquier información o informe, en la medida
permitida por la legislación aplicable.
( ) Al marcar esta casilla, doy mi autorización?.
3. Copia de varios correos electrónicos remitidos desde la dirección ?***EMAIL.1?, en
los que se explica el proceso para completar la solicitud en ?***PROGRAMA.1? y la
documentación que debe aportarse. En uno de estos correos se indica:
?Finaliza el proceso de verificación en la web Accurate.
Aún no has finalizado el proceso de verificación en Accurate. Revisa tu cuenta de correo
electrónico y busca un email de ?***EMAIL.2?, ábrelo y haz clic en el link de acceso. Verás que
tu solicitud está en curso, haz clic en ?en curso? para continuar y finalizar el proceso?.
4. Copia de un correo electrónico remitido por Accurate Background desde la dirección
?***EMAIL.2? acerca del procedimiento para completar la solicitud:
?***PROGRAMA.1 España le invita a rellenar el Formulario de Verificación de Antecedentes
online a través de Accurate Background como parte del proceso de incorporación.
Tendrá que acceder a la página web de Accurate Background a través del enlace de abajo
para validar tus datos personales y completar el proceso de solicitud online. Tendrá otros 20
días para subir los documentos requeridos?
También se le requerirá presentar una copia del certificado de antecedentes penales en el que
se confirme que no tiene antecedentes. Puede encontrar las instrucciones sobre cómo obtener
este certificado en el siguiente enlace??.
SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se
trasladó a la reclamada, de conformidad con lo establecido en el artículo 65.4 la
LOPDGDD.
AMAZON ROAD presentó escrito el día 30/06/2020 en el que pone de manifiesto lo
siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/64
1. De Amazon Road, el programa ?***PROGRAMA.1? y otra información relevante
Amazon Road es una empresa del grupo Amazon que proporciona servicios de
logística y distribución a dicho grupo y que cuenta con la preceptiva licencia o
autorización para ejercer la actividad de operador de transporte de mercancías.
Amazon Road es la entidad encargada de gestionar el programa ?***PROGRAMA.1?
que permite a transportistas autónomos registrarse como proveedores de servicios de
Amazon Road (?Transportistas Autónomos?).
Para poder participar en dicho programa los transportistas autónomos deben aceptar
los términos y condiciones que regulan dicho programa, donde se les informa de los
tratamientos de datos que la entidad podrá llevar a cabo para la gestión del programa,
y descargarse la aplicación ?Amazon Delivery? en su dispositivo móvil.
A través de dicha aplicación, Amazon Road recaba los datos necesarios de los
Transportistas Autónomos a los efectos de (i) verificar que los mismos cumplen con los
requisitos para poder participar en el programa, (ii) crear la correspondiente cuenta de
usuario necesaria para poder acceder a las ofertas de servicio y (iii) controlar el
desarrollo de la prestación de los servicios. Una vez dados de alta en el sistema, los
Transportistas Autónomos tienen acceso a la información necesaria para poder prestar
los servicios a través del programa ?***PROGRAMA.1?.
Entre los requisitos que deben cumplir los transportistas autónomos para participar en
el programa está la necesidad de disponer un medio de transporte propio para realizar
las entregas, (turismo, furgoneta o camión ligero, todos ellos con un peso bruto
máximo de 2 toneladas).
Las bases legitimadoras de los tratamientos de datos que conlleva el programa citado,
dependiendo del tipo de datos recabados y las finalidades previstas, son la ejecución
del contrato entre el transportista y la reclamada, el consentimiento informado por el
transportista autónomo o el interés legítimo de AMAZON ROAD.
2. De la información solicitada por AMAZON ROAD para poder participar en el
programa ?***PROGRAMA.1?: los certificados negativos
Entre la información que se recaba de los transportistas autónomos que quieren
participar en el programa ?***PROGRAMA.1? se encuentra un certificado de ausencia
de antecedentes penales o certificado negativo, similar al que deben proporcionar los
gestores que quieren prestar servicios de transporte, de acuerdo con la regulación en
materia de transportes, a los efectos de probar su honorabilidad, pero con un alcance
más limitado por cuanto únicamente se refiere a la ausencia de antecedentes penales.
Este certificado no proporciona información sobre los antecedentes penales, sino que
consiste en un certificado "en blanco" en el que no se contiene información alguna
relativa a dicho tipo de datos y que, por tanto, no puede equipararse al certificado
?positivo? de antecedentes penales, que sí contiene información relativa a dichos
antecedentes, como es el tipo de delito cometido, la fecha de comisión del mismo, la
sentencia de condena, el órgano que dicta la sentencia o información sobre la pena
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/64
impuesta y su duración. Ninguno de estos datos figura en los certificados que se
requieren a los transportistas, en los que únicamente figuran sus datos identificativos y
la mención a la ausencia de antecedentes penales.
Esta documentación forma parte de las valoraciones de idoneidad que la reclamada
realiza a los potenciales transportistas, considerando que se les proporciona
información sensible de los clientes del grupo Amazon (como son sus datos de
contacto y dirección) para que estos puedan prestar el servicio contratado (entrega de
mercancías).
3. Al recabar un certificado negativo no se tratan datos relativos a condenas o
infracciones penales, por cuanto no contiene ningún dato relativo a la comisión de
delitos.
Sobre esta cuestión, señala que los artículos 10 del RGPD y 10 de la LOPDGDD no se
refieren específicamente a los datos de antecedentes penales, sino a datos relativos a
condenas e infracciones penales, que es un concepto más específico que, por tanto,
no incluiría un certificado de carencia de antecedentes penales.
Así pues, de una interpretación literal de lo dispuesto en dichos artículos se
desprendería que lo que los mismos prohíben es únicamente el tratamiento de datos
relativos a condenas e infracciones penales, de modo que el tratamiento de los
certificados negativos quedaría fuera del ámbito de aplicación de estos dos artículos.
La única acción que Amazon Road lleva a cabo mediante el tratamiento de dichos
certificados es comprobar que no existen datos relativos a condenas o infracciones
penales. Y no existiendo dichos datos, difícilmente puede concluirse que se realiza un
tratamiento de los mismos.
La propia AEPD ha venido aplicando un criterio riguroso en la calificación de la
naturaleza de los datos cuando se trata de datos de carácter sensible, como puede
verse en el Informe Jurídico 0129/2005, emitido por esta AEPD con anterioridad a la
entrada en vigor del RGPD, en el que se indica qué información debe considerarse
como dato de salud. En dicho caso la AEPD concluyó que el mero dato de que una
persona sea fumadora, sin estar asociado a otros datos que establezcan un
determinado hábito, no implica el tratamiento de información directamente relacionada
con la salud del afectado:
El mismo criterio estricto de calificación sería de aplicación en el caso que ahora nos
ocupa: el mero conocimiento de la inexistencia de antecedentes penales no puede
considerarse como el tratamiento de datos relativos a condenas o infracciones
penales, pues esta información, por sí sola, no comporta el tratamiento de este tipo de
datos.
4. El tratamiento llevado a cabo con la recogida de estos certificados negativos es
proporcional y no excesivo, que está amparado por la concurrencia de un interés
legítimo, de acuerdo con lo dispuesto en el artículo 6.1.f) del RGPD
Dicho tratamiento, al no quedar incluido en lo establecido por los artículos antes
citados, debe cumplir únicamente los requisitos de licitud del artículo 6 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/64
El acceso por parte de los Transportistas Autónomos a la entrada de los domicilios
particulares de los clientes, a los efectos de realizar la entrega de mercancías, y la
información personal de los clientes a la que tienen acceso a fin de prestar sus
servicios de transporte supone una intromisión en la esfera privada y personal de los
clientes del grupo Amazon, protegida de conformidad con el RGPD. Se trata de una
intromisión que los clientes de Amazon aceptan como consecuencia de la confianza
que tienen depositada en el grupo.
Por ello, es importante para AMAZON ROAD proteger esa confianza de los clientes
con la selección de los transportistas, extremando las precauciones sobre la idoneidad
de los mismos, para lo que ha de adoptar todas las medidas que estén a su alcance,
dentro del marco de la legalidad vigente, para garantizar la seguridad y confianza de
sus clientes. Y una de estas medidas consiste en la solicitud de los certificados
negativos de antecedentes penales.
Al realizar el ejercicio de ponderación de los derechos e intereses en juego en el
presente caso, Amazon Road ha tenido su propio interés, antes señalado, y el derecho
a la protección de datos de dichos transportistas autónomos y, en concreto, el derecho
a que no se conozca que éstos carecen de antecedentes penales. A los efectos de
valorar qué derecho o interés debería prevalecer, se han tenido en cuenta, entre otros
hechos, los siguientes:
. La naturaleza de los servicios prestados bajo el programa ?***PROGRAMA.1?, que
comporta el acceso a los datos de contacto de los clientes y el desplazamiento de los
proveedores a los domicilios particulares de éstos para poder efectuar las entregas;
. El riesgo inherente a la relación de confianza que establecen las personas que se
encuentran dentro de los domicilios particulares, en relación con los Transportistas
Autónomos del programa ?***PROGRAMA.1?;
. La condición de depositarios de las mercancías que adquieren los transportistas,
algunas de ellas de alto valor, y el acceso que tienen al inventario de pedidos
gestionados por la reclamada, cuando acceden a las instalaciones de esta última para
la recogida de pedidos;
. La obligación de AMAZON ROAD de asegurar que los servicios se ofrecen con todas
las garantías y sin ningún tipo de riesgo para los clientes; y
. La leve intrusión e impacto en la intimidad de los transportistas autónomos que
supone el hecho de que la entidad reclamada conozca que los mismos carecen de
antecedentes penales.
La ponderación realizada es similar al juicio de proporcionalidad realizado por la AEPD
en la resolución de archivo de las actuaciones dictadas en expediente E/00037/2013,
en la que se valoraba el tratamiento por parte de un empleador de un certificado de
sus trabajadores sobre la inexistencia de antecedentes penales. En dicha resolución,
la AEPD concluyó que el tratamiento por parte del empleador de una declaración de
los empleados en cuanto a la ausencia de antecedentes penales constituía un
tratamiento proporcional que, atendidas las concretas circunstancias del caso, tendría
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/64
cabida dentro de ?las medidas de control empresarial adecuadas a su actividad con
respeto a la dignidad humana?.
A nuestro entender, el tratamiento de datos efectuado por AMAZON ROAD superaría
el juicio de proporcionalidad arriba indicado, atendiendo, en primer lugar, a la
sensibilidad de los datos tratados por los transportistas; en segundo lugar, por tratarse
de una medida idónea para la finalidad perseguida por la empresa y no invasiva en la
esfera de los interesados, por cuanto la información recabada no contiene datos
respecto a condenas o infracciones penales; y, en tercer lugar, por la obligación que
tiene Amazon Road, en tanto que operador de transporte, de actuar de forma diligente
y adoptar todas aquellas medidas que estén a su alcance para minimizar al máximo
cualquier riesgo para sus clientes como consecuencia de los servicios prestados.
5. El interés legítimo de la compañía en el tratamiento de datos de carácter personal
también vendría justificado por lo dispuesto en la Ley de Ordenación de los
Transportes Terrestres, cuyo artículo 119 sujeta la actividad de los operadores de
transporte a la obtención de una autorización administrativa, con los mismos requisitos
que se exigen para el transporte público de mercancías.
Entre dichos requisitos, según los artículos 42 y siguientes de la Ley de Ordenación de
los Transportes Terrestres, y 33 del Real Decreto 1211/1991, de 28 de septiembre, por
el que se aprueba el Reglamento de Ordenación de Transportes Terrestres, se
encuentra el requisito de honorabilidad, esto es, el no haber sido condenado por la
comisión de delitos o faltas penales ni sancionado por la comisión de infracciones
relacionadas con los ámbitos mercantil, social o laboral, de seguridad vial o de
ordenación de los transportes terrestres.
Pues bien, mediante el tratamiento de los certificados negativos de los transportistas
que participan en el programa ?***PROGRAMA.1?, AMAZON ROAD pretende velar
porque su posición como operador de transportes no se vea comprometida por
aquellos transportistas. A tal fin, aplica un estándar mínimo de diligencia. De ahí que
Amazon Road solicite dichos certificados negativos.
6. El tratamiento de los certificados negativos sería también necesario para la
ejecución del contrato celebrado entre los transportistas autónomos y AMAZON
ROAD.
El tratamiento de los certificados negativos es el único medio a través del que Amazon
Road puede garantizar la aplicación a los Transportistas Autónomos de los mismos
estándares de diligencia que se aplica a ella misma, en tanto que operador de
transporte y, al mismo tiempo, garantizar al máximo la seguridad y confianza de los
clientes del grupo Amazon.
Por dicho motivo, el tratamiento de los repetidos certificados negativos, en tanto que
referido a una información necesaria para poder valorar la idoneidad de los
transportistas para la prestación de servicios, quedaría amparado también por los
dispuesto en el artículo 6.1.b) del RGPD, por cuanto sería necesario para la ejecución
del contrato entre la entidad y los transportistas.
7. AMAZON ROAD no comunica a terceros la información recabada a través de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/64
certificados negativos, incluidas las empresas pertenecientes a su mismo grupo.
Sin perjuicio de lo anterior, sí cuenta con la ayuda de empresas prestadoras de
servicios que le asisten en algunas de las actividades que lleva a cabo en el marco del
programa ?***PROGRAMA.1?, como son, entre otras, las comprobaciones iniciales
para asegurar que los Transportistas Autónomos cumplen los requisitos o las
verificaciones de los historiales proporcionados por estos últimos. Entre dichos
proveedores estarían las entidades Accurate Background, Inc. y Amazon Development
Centre (India) Private Limited, que cita la reclamante en su escrito.
Ahora bien, dichas entidades, en tanto que prestadoras de servicios a AMAZON
ROAD, tienen suscritos con la reclamada los correspondientes contratos de encargo
en virtud de lo dispuesto en la normativa sobre protección de datos, por lo que no
pueden ser consideradas como terceras empresas a las que se transfieran datos de
carácter personal. Asimismo, la transferencia internacional de datos que comporta el
acceso por parte de dichas compañías a los datos de AMAZON ROAD cumple con los
requisitos establecidos en los artículos 44 y siguientes del RGPD.
8. De las medidas de seguridad aplicadas en el tratamiento de datos derivados del
programa ?***PROGRAMA.1?.
AMAZON ROAD, como empresa parte del grupo Amazon, tiene implementadas
diversas políticas internas dirigidas a garantizar la protección de los tratamientos de
datos de carácter personal que lleva a cabo, incluido el tratamiento de datos derivado
del programa ?***PROGRAMA.1?, que también son exigidas a aquellos proveedores
con los que tiene suscritos contratos de tratamiento por encargo.
Todas estas medidas han sido adoptadas teniendo en cuenta la naturaleza de los
datos a tratar y los riesgos asociados a dicho tratamiento, como los derivados de la
pérdida, su comunicación o acceso no autorizado de los datos.
9. Por último, manifiesta la reclamada que desde el pasado mes de marzo de 2020 ha
suspendido temporalmente el tratamiento de los datos de carácter personal relativos a
los certificados negativos de los transportistas autónomos como consecuencia de la
situación provocada por la pandemia del COVID-19, siendo por ello una actividad que
no realiza a fecha de la presentación de su escrito.
TERCERO. La reclamación fue admitida a trámite mediante acuerdo de 12/08/2020.
CUARTO: Con fecha 12/05/2021, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador a la entidad AMAZON ROAD, con
arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,
LPACAP), por las presuntas infracciones siguientes:
1. Incumplimiento del artículo 6.1 del RGPD, en relación con el artículo 10 del RGPD y
del artículo 10 de la LOPDGDD, tipificada en el artículo 83.5 del RGPD y en el artículo
71 de la LOPDGDD.
2. Incumplimiento del artículo 7 del RGPD, en relación con el artículo 6.1.a) del mismo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/64
Reglamento, tipificada en el artículo 83.5 de dicho texto legal.
3. Incumplimiento del artículo 49.1 del RGPD, tipificada en el artículo 83.5 de la citada
norma.
En el acuerdo de apertura se determinó que la sanción que pudiera corresponder,
atendidas las evidencias existentes en el momento de la apertura y sin perjuicio de lo
que resulte de la instrucción, ascendería a un total de 3.300.000 euros (2.000.000
euros por la infracción del artículo 6.1 del RGPD en relación con el artículo 10 de la
misma norma, así como el artículo 10 de la LOPDGDD; 300.000 euros por la infracción
del artículo 7 del RGPD, en relación con el artículo 6.1.a) del mismo texto legal; y
1.000.000 euros por la infracción del artículo 49.1.a) del RGPD).
En el mismo acuerdo de apertura del procedimiento se advertía que las infracciones
imputadas, de confirmarse, podrán conllevar la imposición de medidas, de acuerdo
con lo establecido en el citado artículo 58.2 d) del RGPD.
QUINTO: Notificado el citado acuerdo de inicio y ampliado el plazo concedido para
formular alegaciones, AMAZON ROAD presentó escrito de fecha 07/06/2021, en el
que solicita el archivo del procedimiento sancionador o, subsidiariamente, la
imposición de una multa en cuantía mínima, conforme a las consideraciones
siguientes:
1. El certificado de ausencia de antecedentes penales que deben aportar los
aspirantes a participar en el programa ?***PROGRAMA.1? no contiene datos relativos a
condenas e infracciones penales, a los que se refieren específicamente el
Considerando 75 y el artículo 10 del RGPD y el artículo 10 de la LOPDGDD
(interpretación literal). Lo mismo se establecía en la Directiva 95/46/CE, en la
derogada Ley Orgánica 15/1999 y también en el Convenio 108 del Consejo de Europa.
Todas estas normas se refieren a datos relativos a condenas e infracciones penales y
no a datos relacionados con la existencia o ausencia de antecedentes penales.
Se trata de un certificado ?en blanco? cuyo contenido no es equiparable a un
certificado ?positivo? de antecedentes penales, que sí incluye información sobre tipo de
delito cometido, fecha d comisión, sentencia de condena y pena impuesta.
2. Cita un precedente de la AEPD, señalado con el número de expediente
E/00037/2013, que versaba acerca de la solicitud de una declaración responsable en
la que los sujetos afirmaran que carecían de antecedentes penales (no la solicitud del
certificado). Según Amazon, la Agencia admitió en este precedente el tratamiento de
certificados negativos emitidos por los empleados (declaraciones) sin sujetarlos a la
regulación específica de los datos relativos a condenas penales.
En relación con este precedente, que ya fue citado por la reclamada en el trámite de
Traslado, en el acuerdo de apertura se responde que la Sentencia de la Sala de lo
Social de la Audiencia Nacional 14/2020, de 10 de febrero de 2020, señala que la
solicitud de una declaración responsable sobre la carencia de antecedentes penales
ha de ser considerada un tratamiento de datos relativos a condenas penales. Amazon
cuestiona este argumento señalando que la sentencia se dicta por la jurisdicción
social, que no es la competente para revisar las decisiones de la Agencia; y que dicha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/64
sentencia no justifica por qué un certificado negativo constituye un tratamiento de
datos relativos a condenas penales.
3. Según la entidad reclamada, otros Estados miembros vienen aceptando una
interpretación distinta en relación con lo establecido en el artículo 10 del RGPD:
. Países Bajos acepta los certificados que acreditan la inexistencia de antecedentes
penales, conocido como ?Verklaring omtrent gedrag? (VOG).
. En Francia, los empleadores están autorizados a solicitar, durante un proceso de
selección de aspirantes a un empleo, un certificado de sus antecedentes penales,
positivo o negativo (?Certificado B3?).
. En Alemania se permite solicitar a la persona que se va a contratar confirmación de
que no tiene antecedentes penales que sean relevantes para el empleo.
4. La interpretación más coherente con el espíritu y finalidad de las normas indicadas
da a entender que su propósito es evitar la creación de ficheros de condenas e
infracciones penales.
5. Subsidiariamente, alega falta de culpabilidad en la infracción imputada.
Entiende AMAZON ROAD que ha empleado la diligencia que le era exigible, teniendo
en cuenta los argumentos expresados anteriormente. Añade que solo Accurate
Background accede a estos datos; y que suspendió la solicitud de estos certificados en
marzo de 2020 por la pandemia, no habiendo reanudado el tratamiento de los
certificados negativos a la vista de las interpretaciones de esta Agencia y de la
Sentencia antes citada, tal y como se indicó en el trámite de traslado de la
reclamación.
6. No existe incumplimiento de lo dispuesto en el artículo 7 del RGPD por las
actividades de tratamiento llevadas a cabo por Accurate Background Inc. y Amazon
Development Centre (India) Private Limited, que no actúan como terceros ni esta
intervención se basa en el consentimiento de los interesados.
Amazon Road no comparte la información relativa a los certificados negativos con
ninguna entidad del Grupo o con terceros. Las entidades citadas asisten a la
reclamada como empresas prestadoras de servicios en las comprobaciones iniciales
sobre los transportistas participantes en el programa, en virtud de un contrato de
encargo de tratamiento suscrito por las entidades intervinientes.
Siendo así, dichas empresas no pueden ser consideradas como terceros y el
tratamiento de datos que realizan no requiere el consentimiento. Esto ya se menciona
en el proceso de registro cuando se informa ?Entiendo y consiento que Accurate
Background se encargue de recopilar y tratar la información en nombre de Amazon
para realizar las verificaciones de antecedentes detalladas anteriormente?.
Añade que Amazon Development Centre (India) Private Limited actúa como
encargada del tratamiento de AMAZON ROAD para el proceso de registro de los
participantes en el programa ?***PROGRAMA.1?, pero nunca ha tenido acceso a los
certificados negativos de antecedentes penales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/64
7. Sobre la imputación de una posible infracción de lo establecido en el artículo 49 del
RGPD, después de señalar que el acuerdo de inicio no aclara a qué concretas
transferencias internacionales de datos se refiere la AEPD, alega que las
transferencias internacionales de datos que realiza a empresas del grupo o a sus
proveedores situados fuera del EEE no se basan en el consentimiento de los
interesados y cumplen las garantías exigidas por el RGPD.
Advierte que tiene suscritas con cada entidad las correspondientes cláusulas
contractuales tipo aprobadas por la Comisión Europea mediante la Decisión
2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la
transferencia de datos personales a los encargados del tratamiento establecidos en
terceros países, de conformidad con la Directiva 95/46/CE, que son una de las
garantías que pueden ofrecer los responsables del tratamiento de acuerdo con lo
dispuesto en el artículo 46 del RGPD.
En relación con Accurate Background Inc. indica que, desde 2016, era una entidad
adherida al Escudo de Privacidad UE-EEUU. Y aclara que, aunque el Escudo de
Privacidad dejó de surtir efectos con la Sentencia del TJUE de 16/07/2020, en esta
fecha ya no recababa ni requería la presentación de los certificados negativos de
antecedentes penales.
8. En relación con la graduación de las sanciones alega, subsidiariamente, que
deberán tenerse en cuenta las circunstancias siguientes:
. El tratamiento de datos relacionado con los certificados negativos de antecedentes
penales únicamente afectó al 16,76% de todos los conductores de última milla
registrados en España, al representar el programa ?***PROGRAMA.1? una pequeña
proporción de los proveedores de transporte que realizan entregas en España (nunca
han superado el 5%).
. El tratamiento de datos relacionado con los certificados negativos de antecedentes
penales no puede ser comparado con el tratamiento de datos sobre condenas e
infracciones penales.
. La actividad que desarrolla AMAZON ROAD, como empresa de logística que actúa
como operador de transporte, no es intensiva en el tratamiento de datos personales, ni
se basa en la explotación de datos personales. El tratamiento que realiza, para la
gestión de personal y la gestión de paquetes para su entrega, es instrumental.
. El tratamiento de datos objeto de la reclamación fue suspendido en marzo de 2020 y
no ha sido reanudado.
. AMAZON ROAD no ha sido sancionada por infracción a la normativa de protección
de datos personales ni ha recibido reclamación alguna por parte de ningún tercero en
relación con los certificados negativos de antecedentes penales.
Con sus alegaciones, AMAZON ROAD aporta, entre otros, los documentos siguientes:
a) Aporta copia del ?Acuerdo Intra-Grupo para la Transferencia y Tratamiento de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/64
Datos? (?Intra-Group Data Transfer and Processing Agreement?), de fecha 01//01/2019,
firmado entre distintas entidades del grupo Amazon, incluidas las entidades AMAZON
ROAD, como entidad ?exportadora?, y Amazon Development Centre (India) Private
Limited, como entidad ?importadora/encargada del tratamiento?.
El contenido de este ?Acuerdo? consta reseñado en el Hecho Probado 3.
b) ?Acuerdo de Tratamiento de Datos? (?Data Processing Agreement?), de 18/10/2018,
firmado por algunas entidades del grupo Amazon y Accurate Background Inc. Entre
aquellas entidades del grupo figura la entidad Amazon Spain Fulfillment, S.L.U., que
se encargaba de gestionar el negocio de media milla y última milla (?negocio de
operador de transporte?).
El contenido de este ?Acuerdo? consta reseñado en el Hecho Probado 4.
c) Proyecto de Escisión Parcial de Amazon Spain Fulfillment, S.L.U., de 28/06/2019,
en virtud del cual AMAZON ROAD recibió el ?negocio de operador de transporte? y se
produjo una sucesión universal de todas las relaciones jurídicas afectas a los
elementos patrimoniales del negocio.
d) Copia del extracto obtenido de la página web ?www.privacyshield.gov? en relación
con la adhesión de Accurate Background Inc. el ?Escudo de Privacidad UE-EEUU?. En
este documento se indica ?Fecha de certificación original: 11/08/2016?.
e) Información obtenida del Registro Mercantil de Madrid relativa a AMAZON ROAD.
Consta como fecha de inicio de operaciones el 31/05/2019 y como objeto social ?la
prestación de servicios logísticos y de distribución, en particular el transporte, la
manipulación y el almacenamiento?. El capital suscrito es de 6.259,00 euros.
SEXTO: Con fecha 03/12//021, el instructor del procedimiento acordó la apertura de un
período de práctica de pruebas, teniéndose por reproducidos a efectos probatorios la
reclamación interpuesta y su documentación, así como los documentos obtenidos y
generados durante la fase de admisión a trámite de la reclamación; y por presentadas
las alegaciones formuladas por AMAZON ROAD al acuerdo de inicio del procedimiento
y la documentación que a ellas acompaña.
Asimismo, se acordó incorporar a las actuaciones la información relativa a la entidad
AMAZON ROAD en ?Axesor? (?Informe monitoriza?). (?).
SÉPTIMO: Con fecha 29/12/2021, se emitió propuesta de resolución en el sentido
siguiente:
1. Que por la Directora de la AEPD se sancione a la entidad AMAZON ROAD, por una
infracción del artículo 6.1 del RGPD, en relación con el artículo 10 del mismo
Reglamento y del artículo 10 de la LOPDGDD, tipificada en el artículo 83.5 del RGPD
y en el artículo 71 de la LOPDGDD, y calificada como muy grave a efectos de
prescripción en el artículo 72.1 de la LOPDGDD, con una multa por importe de
2.000.000 euros (dos millones de euros).
2. Que por la Directora de la AEPD se imponga a la entidad AMAZON ROAD, en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/64
plazo que se determine, la adopción de las medidas necesarias para adecuar su
actuación a la normativa de protección de datos personales, con el alcance expresado
en el Fundamento de Derecho VII de la propuesta de resolución.
OCTAVO: Notificada la propuesta de resolución y ampliado el plazo concedido para la
formulación de alegaciones, se recibió escrito de AMAZON ROAD en el que solicita el
sobreseimiento del expediente o, subsidiariamente, la imposición de una sanción en su
cuantía mínima, conforme las consideraciones siguientes:
1. Reitera que un certificado negativo de antecedentes penales no comporta un
tratamiento de datos relativos a condenas e infracciones penales en el sentido del
artículo 10 del RGPD y artículo 10 de la LOPDGDD, señalando al respecto que los
artículos 136.4 del Código Penal y 17 del Real Decreto 95/2009, ni la Sentencia de la
Audiencia Nacional de 20 de junio de 2017, citados en la Propuesta de Resolución no
confirman que así sea.
Dichos artículos hacen referencia a la expedición de estos certificados, diferenciando
entre certificados negativos y positivos, siendo estos últimos los únicos que contienen
datos relativos a condenas e infracciones penales. Estos artículos, a juicio de la
reclamada, no avalan lo declarado en la propuesta de resolución.
Entiende que la misma conclusión resulta de la Sentencia citada, que analiza la
imposibilidad de omitir en un certificado datos relativos a una condena extranjera, y se
refiere a certificados positivos, en virtud de lo dispuesto en el artículo 17.2 del Real
Decreto 95/2009.
2. Reitera también que no existe un criterio unánime y consolidado entre los Estados
miembros sobre la interpretación realizada por la AEPD.
Como ya manifestara en las alegaciones a la apertura, señala que la autoridad de
protección de datos de Países Bajos acepta estos certificados negativos (Verklaring
omtrent gedrag o "VOG") y aporta extractos de la página del Ministerio de Justicia de
ese país con información sobre dicho documento; y de la web de la autoridad de
control que admite su uso cuando concurra un interés legítimo del empleador.
En el caso francés, la autoridad de control (CNIL) ha incluido información en su web
según la cual, en ausencia de norma específica que prevea la verificación de este tipo
de antecedentes, el empleador podrá solicitar a un empleado que presente un extracto
de sus antecedentes penales durante una entrevista y hacer anotación sobre esta
verificación ?si/no?, sin recabar copia del documento. Es un tratamiento equivalente al
certificado negativo que recaba la reclamada.
Atendiendo a este criterio, la interpretación más coherente con el espíritu y finalidad de
la norma es evitar un tratamiento injustificado y la creación de ficheros con estos
datos.
3. Subsidiariamente, alega inexistencia de culpabilidad en la infracción imputada,
también invocada en las alegaciones a la apertura del procedimiento, a las que se
remite expresamente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/64
4. Para el caso de que se considere que ha existido infracción, alega las
circunstancias siguientes, para que sean tenidas en cuenta en la graduación de la
sanción:
A) Sobre las circunstancias agravantes consideradas en la propuesta de resolución.
a) Duración de la infracción: los certificados negativos que pudo recabar antes de
marzo de 2020 se conservaron durante 90 días para realizar la verificación (aporta
certificación de Accurate Background, de 19/01/2022, en el que se pone de manifiesto
que, según las instrucciones de la cuenta de Amazon, cualquier dato relativo a
candidatos del programa ?***PROGRAMA.1? se elimina de la plataforma a los 90 días,
incluyendo cualquier documento proporcionado como parte del proceso de
comprobación), por lo que desde mayo de 2020 no posee ningún dato de este tipo.
Siendo así, no puede considerarse la existencia de una infracción permanente.
b) Número de afectados: aunque la propuesta indica que AMAZON ROAD no aportó
prueba respecto del número de afectados, en el escrito de alegaciones a la apertura
se indicó que el programa ?***PROGRAMA.1? representa el 5% de los proveedores
que realizan entregas en España y, con respecto a los conductores de última milla,
solo el 16,7% son participantes en este programa.
c) Nivel de daños y perjuicios: no entiende en qué medida el tratamiento de un
certificado negativo ha podido condicionar las opciones de contratación de los sujetos
participantes, dado que la entidad ha contratado a los transportistas que disponían de
este documento, y los que no disponían del mismo no han sido participantes del
programa.
d) Intencionalidad o negligencia: La ausencia de un criterio claro y sólido por parte de
esta Agencia cuando la entidad empezó a requerir los certificados en cuestión y la
aparición posterior de la Sentencia de la Audiencia Nacional de 10 de febrero de 2020,
que parecería avalar una de las posibles interpretaciones del artículo 10 del RGPD, no
puede una entidad que actuó con toda la diligencia debida y cesó en dicha actividad
en cuanto se dieron cuenta de la posible existencia de un criterio contrario a la
interpretación que Amazon Road entendía ajustada a derecho, apropiada a las
actividades que se iban a llevar a cabo bajo el programa ?***PROGRAMA.1?.
A lo anterior cabe añadir que otras autoridades de protección de datos sometidas al
RGPD, como la de los Países Bajos o Francia, no consideran que este tratamiento sea
contrario al artículo 10 del RGPD.
Asimismo, existían resoluciones de la propia Agencia que avalaban la interpretación
que AMAZON ROAD realizó del artículo 10 del RGPD y tras realizar una consulta
telefónica con el Ministerio de Justicia que, con carácter informal, avaló dicha
propuesta.
Por tanto, siendo una cuestión discutida, en buena fe entendió que su interpretación
era la correcta de conformidad con la información disponible en el momento de iniciar
el tratamiento y acomodó su conducta tan pronto como tuvo conocimiento de la
interpretación sostenida por la Agencia o por una autoridad judicial española.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/64
e) El grado de responsabilidad de la responsable habida cuenta las medidas técnicas
u organizativas: la infracción declarada por la Agencia, que resulta de una
interpretación de la norma, nada tiene que ver con el sistema de gestión de los datos
diseñado por AMAZON ROAD a la hora de recabar los datos de los participantes en el
programa. En este sentido, se remite a su escrito de alegaciones anterior.
Añade que en su respuesta al trámite de traslado expuso las medidas técnicas y
organizativas implementadas en relación con el tratamiento de datos derivado del
programa ?***PROGRAMA.1?, sin que la Propuesta de Resolución indique que estas
medidas sean insuficientes o cuáles serían las medidas omitidas.
f) Categorías de datos personales: no puede ser equivalente el tratamiento de un
certificado en el que se indica que una persona no se encuentra inscrito en un registro,
que el que efectivamente se refiere a condenas e infracciones penales, de modo que
no puede aplicarse el mismo agravante. Esta interpretación coincide con la que realiza
la autoridad de control de Países Bajos.
g) Vínculo entre la actividad de AMAZON ROAD y el tratamiento de datos personales:
se trata de una empresa de logística que actúa como operador de transporte de
mercancías, cuya actividad no es intensiva en el tratamiento de datos personales,
aunque implique el tratamiento de datos personales (básicamente para la gestión de
su propio personal y para la gestión de paquetes para su entrega), éste es de forma
instrumental sin que su actividad principal se base en la explotación de datos
personales, ni los utiliza para otras finalidades distintas a la gestión de su actividad.
Que trate un determinado número de datos de empleados, clientes y contratistas no
debe ser motivo para considerar una "alta" vinculación, siendo únicamente relevante la
naturaleza de la actividad desarrollada y, por tanto, el impacto o afectación que dicha
actividad tiene en el tratamiento de datos.
De hecho, en la Resolución de 26 de octubre de 2021, dictada en el procedimiento
sancionador PS/00050/2021, una baja vinculación entre el responsable y la realización
de tratamientos de datos se ha considerado por parte de esta Agencia como
atenuante: "En contrapartida se observan se observa que concurre como atenuante
que la reclamada es una entidad del sector logístico en el que se tratan datos de sus
empleados si bien no concurre la vinculación de la actividad del infractor con la
realización de tratamientos de datos personales (76.2.b LOPDGDD).
h) Condición de gran empresa y volumen de negocio: toma la Agencia en
consideración las cifras del año 2020, en el que dejó de tratar los datos de los
certificados negativos. Por ello, entiende más ajustado a derecho considerar los datos
contables de 2019 y, ello, (i) por ser el 2019 el año anterior al año en que la Agencia
emitió su requerimiento de información y (ii) por ser el año en el que se presentó la
reclamación que ha dado lugar a este expediente sancionador. La cifra de negocios de
Amazon Road relativa al año 2019 ascendió a 237.000.000 euros con un resultado del
ejercicio de 1.862.000 euros (aporta extracto de las cuentas).
B) Circunstancias atenuantes.
a) El tratamiento de datos objeto de la presente reclamación fue suspendido en marzo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/64
de 2020, como ya indicó en el escrito de respuesta al traslado y en el de alegaciones a
la apertura del procedimiento.
Adjunta el modelo de correo que la entidad envió en marzo de 2020 a los usuarios del
Programa ?***PROGRAMA.1? que estaban en proceso de registro (si bien el correo
lleva fecha de 2022 ello obedece únicamente a que para su aportación a este
procedimiento se ha tenido que efectuar un envío de la plantilla modelo, quedando
como fecha la del envío). Como puede verse, fueron las circunstancias del momento
(esto es, Covid-19) las que llevaron a la entidad a suspender temporalmente la
petición de los certificados negativos.
Dicha suspensión temporal se convirtió en definitiva tras tener conocimiento de la
Sentencia de 10 de febrero de 2020, dictada por la Sala de lo Social de la Audiencia
Nacional, aunque no compartiera la interpretación recogida en esta Sentencia, y el
certificado negativo dejó de solicitarse, incluso a los transportistas que recibieron aquel
correo. Aunque esta parte no compartiera dicha interpretación, lo cierto es que una vez
conocida la sentencia cesó definitivamente la petición de los certificados negativos.
Todo ello ocurrió antes de dictarse el acuerdo de apertura del procedimiento y sin que
dicha decisión fuese adoptada como consecuencia de la intervención de esta Agencia.
b) Toda infracción anterior cometida por el responsable del tratamiento.
En contra de lo indicado en la propuesta, las resoluciones de la AEPD dictadas en los
procedimientos PS/00165/2021, PS/00227/2021 y PS/00015/2021 consideran como
atenuante el hecho de no haber sido sancionado con anterioridad:
Por ello, entiende la reclamada que, de no constituir dicha circunstancia un atenuante
a la luz de lo dispuesto en el artículo 83.2 e) del RGPD, como se indica en la
Propuesta de Resolución, nada impide que lo constituya al amparo de lo dispuesto en
el artículo 83.2 (k) del RGPD, teniendo en cuenta la práctica de esta Agencia.
AMAZON ROAD nunca ha sido sancionada por una infracción de la normativa sobre
protección de datos, ni ha recibido ninguna reclamación por parte de ningún tercero en
cuanto al tratamiento de los certificados negativos.
c) AMAZON ROAD no ha obtenido beneficio alguno de los hechos reclamados.
Al amparo de lo dispuesto en los artículos 83.2.k) del RGPD y 76.2.c) de la
LOPDGDD, entiende esta parte que en el presente caso también debe ser de
aplicación este factor atenuante, por cuanto el tratamiento de los certificados negativos
no ha reportado ningún beneficio adicional.
Este factor de graduación ha sido considerado por la Agencia en su resolución del
procedimiento señalado con el número PS/00227/2021.
d) La diligencia presente en la actuación de AMAZON ROAD.
Si para la AEPD la diligencia con la que ha actuado AMAZON ROAD en todo momento
en relación con el tratamiento de los datos de los certificados negativos no es
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/64
suficiente como para considerar que concurre en una ausencia de culpabilidad, como
sostiene en sus alegaciones, dicha diligencia sí debería ser considerada, cuanto
menos, como un atenuante al amparo de lo dispuesto en el artículo 83.2 apartados b)
y/o k) del RGPD, tomando en consideración las siguientes circunstancias:
. La interpretación literal del artículo 10 del RGPD y 10 de la LOPDGDD sugería
que dichos artículos no se refieren a cualquier dato relacionado con antecedentes
penales, sino los datos relativos a condenas e infracciones penales, lo que a juicio
de esta parte no alcanzaba a la confirmación de la ausencia de antecedentes
penales.
. La interpretación anterior resultaba acorde con la anterior normativa sobre
protección de datos aplicable en territorio español.
. No existía un criterio consolidado, expreso y público por parte de la Agencia en
cuanto al tratamiento de los datos relativos a la ausencia de antecedentes penales
(no en relación con los datos relativos a la comisión de infracciones y existencia de
condenas penales).
. Existían resoluciones de la propia Agencia que avalan la interpretación que
AMAZON ROAD realizó del artículo 10 del RGPD.
. AMAZON ROAD llegó incluso a realizar una consulta telefónica con el Ministerio
de Justicia que, con carácter informal, avaló dicha propuesta.
. Para proceder al tratamiento de los datos relativos a los certificados negativos
contrató a una entidad especializada en la selección y control de idoneidad de los
contratistas.
. La interpretación del artículo 10 del RGPD dada por otras jurisdicciones avalaba
también la interpretación de AMAZON ROAD.
. En marzo de 2020 Amazon Road suspendió el tratamiento de dichos certificados
negativos, según se expuso anteriormente.
Estas circunstancias demuestran que la conducta de AMAZON ROAD no puede ser
tachada de imprudente o irresponsable, sino más bien de todo lo contrario: diligente y
acomodando su comportamiento a la interpretación de la normativa de protección de
datos surgida de la propia Agencia y de los tribunales de Justicia.
5. De las medidas correctoras contenidas en la Propuesta de Resolución.
Pues bien, habiendo quedado acreditado que no recaba los certificados negativos de
los participantes en el programa ?***PROGRAMA.1? desde marzo de 2020 y tampoco
conserva dichos certificados, entiende que, en el supuesto de que finalmente se
considerase que existe una infracción del artículo 6.1 del RGPD en relación con el
artículo 10 del RGPD y del artículo 10 de la LOPDGDD, no procedería ninguna de las
medidas propuestas.
Con su escrito de alegaciones, aporta, entre otros, los documentos siguientes:
1) Extractos de la web del Ministerio de Justicia de los Países Bajos, junto con su
traducción, en los que se proporciona información sobre el documento "VOG". En esta
información se indica:
?¿Qué es un VOG?
A menudo se requiere un Certificado de Buena Conducta (VOG) para un trabajo (nuevo). En
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/64
algunos sectores, como el cuidado de los niños, esto es incluso requerido por la ley. Justis
maneja las aplicaciones de VOG y es el único organismo en los Países Bajos que emite el
VOG.
Un VOG es una declaración que muestra que su pasado (judicial) no constituye un obstáculo
para cumplir una tarea o función específica en la sociedad. Al evaluar una solicitud de VOG,
Justis verifica si ha cometido delitos penales que representan un riesgo para el puesto o
propósito para el que está solicitando el VOG.
Algunos delitos penales constituyen una objeción para un trabajo o pasantía, pero no para
otro? ¿No tiene antecedentes penales o no ha cometido ningún delito penal que sea relevante
para el propósito de la solicitud? Luego recibirá un VOG?.
?¿Por qué y cuándo deberías hacer un screening?
...Como empleador, usted tiene una gran responsabilidad en la evaluación de la fiabilidad del
personal futuro. Uno de los instrumentos que usted, como organización, puede utilizar en su
directiva de integridad es el certificado de buena conducta (VOG).
Es recomendable seleccionar para todos los puestos donde es importante que el empleado es
confiable. Pensar en: gerentes con muchos poderes; empleados que trabajan con grupos
vulnerables como niños, ancianos, enfermos o personas con una restricción; empleados que
trabajan con dinero y bienes; empleados que pueden acceder a información confidencial?
Eso tiene que ver con los poderes y la naturaleza del trabajo?
Reglas para el screening
La evaluación puede ser muy drástica para la privacidad del solicitante o empleado. Por lo
tanto, la detección es solo bajo ciertas condiciones legales (Reglamento General de Protección
de Datos (GDPR))
permitido:
Debe tener una razón legítima (interés legítimo) para la proyección.
El screening debe ser necesario.
Debe cumplir con la obligación de proporcionar información.
No puede utilizar los datos obtenidos de la proyección para ningún otro propósito que no sea
para lo cual los obtuviste.
Solo puede conservar los datos durante el tiempo que sea necesario para el propósito del
screening. Debe proteger los datos correctamente.
¿No está seguro de si se le permite examinar? Para obtener más información, visite el sitio
web de la ?Autoridad Holandesa de Protección de Datos?.
Pulsando el enlace ?Autoridad Holandesa de Protección de Datos? insertado al final del
texto se accede a la web de esta entidad, a la información aportada por AMAZON
ROAD como ?Documento 2?.
2) Extractos de la web de la Autoridad de Control de los Países Bajos (Autoriteit
Persoonsgegevens), y su traducción, en relación con el tratamiento de los certificados
"VOG".
?Investigación de antecedentes (screening)
Es importante que los empleadores seleccionen y empleen empleados confiables. El screening
es una herramienta para limitar los riesgos. Para ciertos puestos (por ejemplo, en el cuidado de
niños) el screening es incluso requerido por la ley.
El screening significa que un empleador solicita información sobre un solicitante o empleado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/64
para estimar su integridad.
Por ejemplo, llamando a las referencias de un solicitante o buscando si él o ella está en una
?Lista negra?.
Condiciones del Screening
El screening puede ser muy invasivo para la privacidad del solicitante o empleado en cuestión.
Por lo tanto, el screening solo está permitido bajo ciertas ?condiciones legales?.
Las condiciones más importantes son que el empleador tenga una razón legítima (interés
legítimo), que el screening sea necesario y que el empleador informe adecuadamente al
solicitante o empleado de antemano y después.
Interés legítimo
El ?interés legítimo? de un empleador en una evaluación (screening) es generalmente que debe
ser capaz de confiar en que su (futuro) empleado es honesto y confiable.
Necesidad
El hecho de que el screening debe ser ?necesario? significa, entre otras cosas, que el
empleador no debe ser capaz de lograr su objetivo con un medio menos drástico que el
screening.
Informar
El empleador debe informar al solicitante o empleado ?sobre el screening?. El empleador debe
informar a esta persona con anticipación que se llevará a cabo un screening y luego cuáles son
los resultados?.
?Preguntas de los empleadores sobre el screening
[?]
Como empleador, ¿cómo determino que el screening es necesario?
Usted hace un inventario de los riesgos asociados con los diversos grupos de funciones dentro
de su organización. Luego verifique si puede limitar los riesgos de otra manera que no sea a
través del screening.
?Por ejemplo, los puestos en los que el personal trabaja con información confidencial son
conscientes del riesgo de vender o transmitir esta información?
Mitigación de riesgos
¿Ha trazado los riesgos? Luego, debe configurar su organización de tal manera que reduzca
los riesgos inventariados. Se puede pensar en estrictos controles internos o distribución de
poderes. Las buenas medidas organizativas pueden garantizar que los riesgos para su
organización se eliminen por completo. De lo contrario, puede ser necesaria el screening de
solicitantes o empleados. [...]?.
?Solicitudes?
Período de retención de los datos de la solicitud
¿Un solicitante no obtuvo el puesto? Entonces, es habitual que la organización elimine sus
datos a más tardar 4 semanas después del final del procedimiento de solicitud.
Los solicitantes pueden dar permiso para conservar sus datos durante más tiempo. Por
ejemplo, porque un puesto adecuado puede estar disponible en una fecha posterior. Un
período máximo de 1 año después de la terminación del procedimiento de solicitud es
razonable para esto?.
?Preguntas sobre datos personales en las solicitudes de empleo?
Screening en la solicitud de empleo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/64
Es importante que los empleadores contraten empleados confiables. Por lo tanto, el empleador
al que está solicitando puede decidir examinarlo?
Screening legal
El screening es requerido por ley para algunos puestos, por ejemplo, en el cuidado de niños.
En el caso de un screening legalmente requerido, el empleador puede solicitar un Certificado
de Buena Conducta (VOG).
Además, se aplican disposiciones especiales al screening de puestos de confianza, como
agentes de policía, empleados de organizaciones de seguridad privada, empleados de
organismos de investigación, personal de aviación y algunos puestos gubernamentales?.
Por esta Agencia se comprueba la información aportada por AMAZON ROAD.
Asimismo, se pulsa el enlace ?condiciones legales? que aparece en el documento
?Investigación de antecedentes (screening)?, y se accede a las ?Preguntas de los
empleadores sobre el screening?. De este apartado, además de lo señalado por la
reclamada, cabe destacar lo siguiente:
?Cuando selecciona candidatos o empleados, está procesando sus datos personales. Esto
significa que se aplican el Reglamento general de protección de datos (GDPR) y la Ley de
implementación de AVG (UAVG). Como empleador, usted es responsable de garantizar que
la evaluación cumpla con los requisitos de estas leyes.
En cualquier caso, el RGPD y la UAVG imponen los siguientes requisitos de la selección:
.Tiene un interés legítimo en la proyección.
. El tamizaje es necesario . Esto significa, entre otras cosas, que no puede lograr su
objetivo de otra manera o a través de un medio menos invasivo que la detección.
. Usted cumple con la obligación de información . Esto significa que informa al candidato
o empleado relevante con anticipación que está realizando una evaluación y luego
cuáles son los resultados.
. No utiliza los datos obtenidos de la proyección para ningún otro propósito.
. No almacena los datos durante más tiempo del necesario para el propósito de la
evaluación.
. Los datos de la proyección son suficientes, son relevantes y no recopilas más datos de
los necesarios.
. Proteges bien los datos.
. Usted evalúa si necesita realizar una evaluación de impacto de protección de datos
(DPIA) , porque la detección es un procesamiento de datos con un alto riesgo de
privacidad.
. ¿Ha demostrado la DPIA que la detección prevista plantea un alto riesgo? ¿Y no
encuentra medidas para limitar este riesgo? Entonces debe consultar con la Autoridad de
Protección de Datos (AP) holandesa antes de comenzar la selección. A esto se le
llama consulta previa?.
?Como empleador, ¿puedo evaluar a alguien sin decírselo?
No, eso no está permitido?
Información previa a la selección
Debe informar al solicitante o empleado en cuestión con anticipación que se está llevando a
cabo una evaluación. Además, debe indicar por qué es necesario un examen. También
debe hacer saber qué datos está investigando y por qué son relevantes para el puesto en
cuestión.
Información después de la evaluación? debe informar al solicitante o empleado sobre los
resultados de la evaluación?.
A través del enlace ?interés legítimo? que aparece en el documento ?Investigación de
antecedentes (screening)?, se accede a la información siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/64
?¿Cuándo puedo confiar en la base del interés legítimo?
Solo tiene derecho a procesar datos personales (ordinarios) si puede confiar en 1 de los 6
principios del Reglamento General de Protección de Datos (GDPR). Una de estas bases es
que el procesamiento de datos personales es necesario para representar su interés
legítimo.
Cada vez que procesa datos personales, esto es una invasión de la privacidad de los
interesados. Estas son las personas cuyos datos procesa. Todo ser humano tiene derecho a
la intimidad, que es un derecho a la intimidad, que es un derecho fundamental.
Pero como organización, también puede tener el derecho de su lado. Ese es el caso si se
tiene un interés que la sociedad considera tan importante que ha encontrado reconocimiento
en la ley. Y solo puede representar este interés procesando datos personales. Llamamos a
tal interés un interés legítimo.
Conflicto de derechos
Esto crea una situación en la que su derecho "choca" con el derecho fundamental de los
interesados. Depende entonces de usted sopesar estos derechos entre sí y ver qué pesa
más, su interés o el de las partes involucradas.
¿Su interés finalmente lo supera? Luego puede basar su procesamiento en la base
(necesaria para la representación de un) interés legítimo?.
3) Extracto de la web de la Autoridad de Control Francesa (CNIL), y su traducción.
?Extracto de los antecedentes penales: ¿puede el empleador solicitarlo y conservarlo?
A falta de un texto específico que prevea la verificación de los antecedentes penales de los
empleados, el empleador puede pedir a un candidato o a un empleado que presente el extracto
de sus antecedentes penales (B3) durante una entrevista, por ejemplo, para verificar su
historial criminal.
No obstante, en este caso, el empresario no puede conservar una copia ni permitir que estos
datos sean objeto de un tratamiento específico. La mención de la verificación en las casillas del
expediente de gestión de personal en la forma "sí/no" es suficiente.
Para el acceso a determinadas funciones denominadas "sensibles", los textos pueden prever la
verificación, por parte del empleador o de determinadas autoridades que expidan
autorizaciones (por ejemplo, para guardias de seguridad o cuidadores de niños), de los
antecedentes penales de los empleados (boletines B2 o B3).
Estos textos pueden prever el período durante el cual el empleador está obligado a conservar
el extracto del registro de antecedentes penales (se suele utilizar 3 meses, en particular para
las administraciones). En ausencia de detalles en el texto, el documento no debe conservarse.
Cuando la verificación la realiza una autoridad, el empleador no necesita consultar los
antecedentes penales ya que las verificaciones las realiza una autoridad autorizada y la
expedición de la autorización es por sí sola suficiente para asegurar la capacidad para ocupar
el puesto de trabajo propuesto??.
4) Extracto de la web de la Autoridad de Control de los Países Bajos (Autoriteit
Persoonsgegevens), junto con su traducción, en relación con el contenido de los
certificados "VOG".
?Como empleador, ¿puedo solicitar información criminal durante una evaluación?
Para algunos puestos, puede ser necesario que conozca los antecedentes penales de un
solicitante o empleado. En la mayoría de los casos, basta con que el interesado solicite un
certificado de buena conducta (VOG).
VOG
Un VOG es una declaración que muestra que el comportamiento pasado de alguien no
constituye un obstáculo para cumplir una posición específica (futura). Un VOG es emitido por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/64
Justis del Ministerio de Justicia y Seguridad.
Selección de datos criminales
Solo si solicitar un VOG no es suficiente, puede solicitar (otros) datos criminales.
Puede procesar datos personales de naturaleza penal si esto es necesario para la evaluación
de una solicitud de un interesado para tomar una decisión sobre él o para proporcionarle un
servicio.
Un ejemplo es una selección durante un procedimiento de solicitud para un puesto de
integridad. En determinadas circunstancias, los datos personales de carácter penal pueden ser
tratados con tal fin??.
5) Modelo de correo electrónico que AMAZON ROAD envió en marzo de 2020 en
relación con la suspensión de la petición de los certificados negativos.
?Verificación de antecedentes
Para poder completar el proceso de verificación de antecedentes, es necesario que subas una
copia del certificado demostrando la ausencia de antecedentes penales.
Dado que actualmente no es posible obtener este certificado de manera presencial debido al
estado de alarma, hemos permitido que completes la verificación sin este documento. No
obstante, deberás subir este documento en un plazo de 60 días desde la finalización del
registro en ***PROGRAMA.1. Si pasado este plazo no has subido el documento, dejarás de ser
elegible para participar en el programa ***PROGRAMA.1.
Este documento lo deberás subir en la página de Accurate.
Revisa el correo periódicamente para seguir instrucciones recibidas por parte de Accurate?.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
1. AMAZON ROAD es una empresa del grupo Amazon que proporciona servicios de
logística y distribución a dicho grupo. Dicha entidad inició sus operaciones el
31/05/2019 y tiene como objeto social ?la prestación de servicios logísticos y de
distribución, en particular el transporte, la manipulación y el almacenamiento?.
Tras la escisión de Amazon Spain Fulfillment, S.L.U., que tuvo lugar en fecha
28/06/2019, AMAZON ROAD recibió el ?negocio de operador de transporte? y sucedió
a aquella entidad en todas las relaciones jurídicas afectas a los elementos
patrimoniales del negocio.
2. AMAZON ROAD es la entidad encargada de gestionar el programa
?***PROGRAMA.1?, que tiene por objeto la contratación de trasportistas autónomos
como proveedores de servicios.
3. La entidad Amazon Development Centre (India) Private Limited, con sede en India,
presta servicio a la entidad AMAZON ROAD en la gestión del programa
?***PROGRAMA.1? en virtud del ?Acuerdo Intra-Grupo para la Transferencia y
Tratamiento de Datos? (?Intra-Group Data Transfer and Processing Agreement?), de
fecha 01//01/2019, firmado entre distintas entidades del grupo Amazon, incluidas las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/64
entidades AMAZON ROAD, como entidad ?exportadora?, y Amazon Development
Centre (India) Private Limited, como entidad ?importadora/encargada del tratamiento?.
Por razón de este contrato, la citada prestadora de servicio asiste a AMAZON ROAD
en la recogida de la información proporcionada por los transportistas autónomos.
El ?Acuerdo? citado se ocupa del acceso a los datos personales que las entidades
importadoras deberán efectuar para la prestación a las entidades importadoras de los
servicios que se especifican en su Anexo 1, entre los que se incluye el acceso a los
datos de contratistas y sus empleados y subcontratistas.
Se establece que las entidades importadoras tratarán los datos en nombre del
responsable y de conformidad con sus instrucciones, con el fin de prestar los servicios,
sin que pueda determinar los fines y la forma en que se tratan los datos; y vienen
obligadas a notificar al responsable toda instrucción que, en su opinión, infrinja la
legislación aplicable, cualquier violación de los datos o reclamación que reciba y a
proporcionar al responsable una cooperación y asistencia plenas; así como a
establecer las medidas técnicas y organizativas adecuadas para proteger los datos. Se
prevé, asimismo, que el encargado del tratamiento devuelva al responsable todos los
datos personales o proceda a su destrucción a la terminación del contrato, a elección
del responsable del tratamiento.
En virtud de este ?Acuerdo?, las partes se obligan a cumplir ?los términos de las
cláusulas tipo para la transferencia de datos personales a los encargados del
tratamiento establecidos en terceros países, aprobadas mediante Decisión de la
Comisión de la CE de 5 de febrero de 2010? (cláusulas contractuales tipo para la
transferencia de datos), las cuales constan reproducidas en Anexo 3 de dicho Acuerdo
y se suscriben mediante la firma del mismo Acuerdo o mediante una carta de adhesión
según el formulario que se incorpora como Anexo 6.
Las medidas técnicas y organizativas que debe aplicar y mantener el encargado del
tratamiento se enumeran en Anexo 2.
El contenido íntegro de este ?Acuerdo? se declara reproducido en este acto a efectos
probatorios.
4. La entidad Accurate Background Inc., con sede en Estados Unidos, presta servicio a
la entidad AMAZON ROAD en la gestión del programa ?***PROGRAMA.1? en virtud
del ?Acuerdo de Tratamiento de Datos? (?Data Processing Agreement?), de 18/10/2018,
firmado por algunas entidades del grupo Amazon y Accurate Background Inc. Entre
aquellas entidades del grupo figura la entidad Amazon Spain Fulfillment, S.L.U., que
se encargaba de gestionar el negocio de media milla y última milla (?negocio de
operador de transporte?) hasta la fecha en que se produjo la escisión de dicho negocio
a favor de AMAZON ROAD, en el año 2019. Este Acuerdo se formaliza por razón del
Contrato Marco celebrado entre las partes el 05/03/2008 (consta en las actuaciones
copia del Contrato Marco de Servicios -?Master Service Agreement?- entre Amazon
Corporate LLC y Accurate Background Inc. y la específica Orden de Trabajo para
España, de 02/12/2017).
Por razón de este contrato, la citada prestadora de servicio asiste a AMAZON ROAD
en la recogida de la información proporcionada por los transportistas autónomos, así
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/64
como en la verificación del cumplimiento de los requisitos que esta entidad exige a
estos transportistas para poder participar en el programa.
El ?Acuerdo? citado regula el acceso a los datos personales por parte de Accurate
Background Inc. en su condición de encargado del tratamiento y contempla la firma de
las cláusulas contractuales tipo de la UE, incorporadas como Anexo 3.
Los detalles sobre las actividades de tratamiento que debe llevar a cabo el encargado
se contienen en el Anexo 1 del ?Acuerdo?, figurando entre ellas las relacionadas con el
proceso de selección de personal, contratistas y subcontratistas. Se establece que el
importador recibe información de terceros y reúne los datos pertinentes en informes de
cribado del empleo para el que el exportador de datos evalúe al solicitante.
El contenido de este ?Acuerdo?, en cuanto a las obligaciones del encargado del
tratamiento, es similar al reseñado en el Hecho Probado Tercero y también incluye un
Anexo 2 en el que se enumeran las medidas de seguridad que se aplicarán.
El contenido íntegro de este ?Acuerdo? se declara reproducido en este acto a efectos
probatorios.
5. La entidad Accurate Background Inc. figuró adherida al ?Escudo de Privacidad UEEEUU?. La ?certificación original? de esta adhesión tiene fecha de ?11/08/2016?.
6. Para poder participar en el programa ?***PROGRAMA.1?, los transportistas
autónomos deben descargarse la aplicación ?Amazon Delivery? en su dispositivo móvil.
A través de dicha aplicación, AMAZON ROAD recaba los datos necesarios de los
transportistas autónomos a los efectos de (i) verificar que los mismos cumplen con los
requisitos para poder participar en el programa, (ii) crear la correspondiente cuenta de
usuario necesaria para poder acceder a las ofertas de servicio y (iii) controlar el
desarrollo de la prestación de los servicios.
En esta aplicación se ofrece información sobre el proceso de ?verificación de
antecedentes? requeridos a los transportistas autónomos, cuyo detalle consta
reseñado en el Antecedente Primero. Dicha aplicación dispone de una casilla
habilitada para que los transportistas puedan prestar su consentimiento a las acciones
contenidas en dicha información (?Al marcar esta casilla, doy mi autorización?).
7. Los transportistas interesados en participar en el programa ?***PROGRAMA.1?
también disponen de un proceso de solicitud online, a través de la página web de
Accurate Background Inc., que incluye un ?Formulario de verificación de
antecedentes?.
8. Para la contratación de transportistas autónomos como proveedores de servicios en
el programa ?***PROGRAMA.1?, AMAZON ROAD solicita a los candidatos diversa
documentación, entre la que se incluye un certificado de ausencia de antecedentes
penales (?Un certificado del Ministerio de Justicia confirmando que no cuento con
antecedentes penales de ningún tipo?).
9. Los trasportistas que completen el proceso de verificación de antecedentes y sean
seleccionados como proveedores de servicios de AMAZON ROAD suscriben un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/64
contrato mercantil que incluye la siguiente información en materia de protección de
datos personales:
?13. Protección de datos.
a) Amazon podrá conservar y tratar datos relativos a usted para la ejecución del contrato que
Amazon ha suscrito con usted, y con fines legales, administrativos y de gestión, conforme se
describe más detalladamente en el Anexo A.
b) Usted presta su consentimiento para que Amazon y cualquier Entidad vinculada (conforme
dicho término se define más adelante) lleve a cabo la transferencia de ?datos de carácter
personal? (en el sentido previsto en el RGPD y en la Ley Orgánica 15/1999) relativos a usted a
cualquier Entidad Vinculada fuera del EEE para promover los intereses legítimos de Amazon y/
o cualquier Entidad Vinculada. A los efectos de esta Cláusula 13, por ?Entidad Vinculada? se
entiende ?sociedad de cartera? de Amazon, cualquier ?sociedad filial? o una filial de su sociedad
de cartera.
c) Las partes se obligan a cumplir toda la normativa aplicable en materia de protección de
datos?
Estoy de acuerdo y acepto lo anterior.
ACEPTAR Y CONTINUAR
( ) Estoy de acuerdo y acepto lo anterior?.
El contenido íntegro de este contrato se declara reproducido en este acto a efectos
probatorios.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada Autoridad de
Control y, según lo establecido en los artículos 47 Y 48 de la LOPDGDD, la Directora
de la Agencia Española de Protección de Datos es competente para iniciar y resolver
este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos?.
II
En el presente procedimiento corresponde analizar, en primer lugar, la presunta ilicitud
del tratamiento de datos efectuado por la entidad reclamada al solicitar un certificado
de antecedentes penales a los transportistas autónomos que han solicitado suscribir
un contrato de servicios con aquel en el programa ?***PROGRAMA.1?.
El artículo 5.1.a) del RGPD, sobre los Principios relativos al tratamiento, establece que
los datos personales serán ?tratados de manera lícita, leal y transparente en relación
con el interesado («licitud, lealtad y transparencia»)? y el artículo 6.1 concreta los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/64
supuestos en que el tratamiento será lícito:
?El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o
varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte
o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona
física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público
o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por
las autoridades públicas en el ejercicio de sus funciones?.
Por su parte, el artículo 10 de la misma norma se refiere al tratamiento de datos
personales relativos a condenas e infracciones penales y dispone lo siguiente:
?El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de
seguridad conexas sobre la base del artículo 6, apartado 1, sólo podrá llevarse a cabo bajo la
supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los
Estados miembros que establezca garantías adecuadas para los derechos y libertades de los
interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de
las autoridades públicas?.
En nuestro ordenamiento, el artículo 10 de la LOPDGDD dispone:
?1. El tratamiento de datos personales relativos a condenas e infracciones penales, así como a
procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución
de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una
norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.
2. El registro completo de los datos referidos a condenas e infracciones penales, así como a
procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del
Reglamento (UE) 2016/679, podrá realizarse conforme con lo establecido en la regulación del
Sistema de registros administrativos de apoyo a la Administración de Justicia.
3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos
referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares
y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y
procuradores y tengan por objeto recoger la información facilitada por sus clientes para el
ejercicio de sus funciones?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/64
El RGPD hace referencia, en su Considerando 75 a la posibilidad de que
determinados tratamientos de datos puedan entrañar un riesgo para los derechos y
libertades de la personas, entre los que se encuentran los datos relativos a las
condenas e infracciones penales y medidas de seguridad conexa, de ahí que el
artículo 10 del texto legal opte (i) por conferir la legitimidad de su tratamiento a las
autoridades públicas o cuando exista una habilitación del Derecho de la Unión o una
norma nacional que proporcione las garantías adecuadas, y (ii) por asignar la custodia
de los registros donde se inscriben estos datos también a las autoridades públicas.
Esta regulación, lejos de ser novedosa en el ámbito europeo, ya se manifestaba en
similares términos en la Directiva 95/46 CE, del Parlamento y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de tales datos.
El origen de esta especial garantía se encuentra en el Convenio N.º 108 del Consejo
de Europa, de 28 de enero de 1981, para la protección de las personas con respecto
al tratamiento automatizado de datos de carácter personal, que en su artículo 6
dispone que determinadas categorías de datos, entre las que se incluyen los datos de
carácter personal referentes a condenas penales, no podrán tratarse automáticamente
a menos que el derecho interno prevea garantías adecuadas.
El artículo 10 de la LOPDGDD, por su parte, concreta la referencia al Derecho de los
Estados Miembros remarcando que, cuando el tratamiento tenga una finalidad
diferente a ?prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales? -tratamiento excluido del ámbito
material de la normativa de protección de datos en aplicación del artículo 2.1.d) del
RGPD-, para que pueda considerarse legítimo su tratamiento, este deberá estar
amparado en una norma europea, en la LOPDGDD o en otra norma con rango legal.
Con carácter previo a examinar la legitimidad del tratamiento, corresponde analizar si
la solicitud de un certificado ?negativo? de antecedentes penales constituye un
?tratamiento de datos personales relativos a condenas e infracciones penales?, según
la redacción del artículo 10 del RGPD, y si dicho tratamiento se encuentra sujeto, no
solo a la normativa de genérica de protección de datos, sino también a la
consideración de datos incluidos en el campo de aplicación del artículo 10 del RGPD y
del artículo 10 de la LOPDGDD y, por lo tanto, merecedores de unas garantías
específicas.
El certificado de antecedentes penales es el documento público que acredita la
carencia o existencia de antecedentes penales que constan inscritos en el Registro
Central de Penados. Los antecedentes penales se definen como las resoluciones
firmes dictadas por los Jueces y Tribunales del orden penal por la comisión de un
delito que imponga penas o medidas de seguridad que se encuentren en vigor
atendiendo a lo que dispone el Código Penal.
La información contenida en el certificado de antecedentes penales objeto del
presente procedimiento constituye un dato personal a la luz de la definición del artículo
4.1 del RGPD ya que se trata de una ?información sobre una persona física
identificada?, tanto si se trata de un certificado que refiere la existencia de dichos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/64
antecedentes como si pone de manifiesto su ausencia, y su solicitud supone un
tratamiento de datos.
En relación con la categoría de datos personales sobre la que versa esa información,
es precisamente la relativa a las condenas penales firmes de las que haya podido ser
objeto (y se encuentren en vigor) una persona en concreto, tanto sea para poner de
manifiesto que existen esas resoluciones firmes que imponen penas o medidas y
cuáles son éstas, como para acreditar que no existen. Es decir, la información que se
está tratando es el dato relativo a las condenas penales -lo que incluye la ausencia de
estas- vinculado con una persona física concreta.
No puede aceptarse, por tanto, lo expuesto por la reclamada en sus alegaciones
cuando señala que un certificado de antecedentes penales que ponga de manifiesto
que una persona concreta carece de condenas penales no recoge de manera estricta
ningún dato relacionado con condenas e infracciones penales, puesto que sí lo está
haciendo al poner de manifiesto y acreditar que dicha persona carece de ellas.
Admitir la postura mantenida por AMAZON ROAD al respecto equivaldría a admitir que
cualquier persona o entidad pudieran crear un registro de personas sin antecedentes
penales, a pesar de que se trata de una materia reservada a las autoridades públicas.
Se tiene en cuenta, asimismo, el apartado 4 del artículo 136 de la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal, que tras señalar que ?Las
inscripciones de antecedentes penales en las distintas secciones del Registro Central
de Penados y Rebeldes no serán públicas?, prevé que ?Durante su vigencia solo se
emitirán certificaciones con las limitaciones y garantías previstas en sus normas
específicas y en los casos establecidos por la ley?. Esa normativa específica es la
contenida en el Real Decreto 95/2009, de 6 de febrero, por el que se regula el Sistema
de registros administrativos de apoyo a la Administración de Justicia, que en su
artículo 17 establece que ?(?), podrán certificarse directamente los datos relativos a
su persona contenidos en las inscripciones de los Registros Centrales de Penados, de
Medidas Cautelares Requisitorias y Sentencias No Firmes, de Protección de las
Víctimas de Violencia Doméstica, de Sentencias de Responsabilidad Penal de los
Menores y de Rebeldes Civiles y suscribir certificaciones negativas respecto a
personas que no figuren inscritas en los mismos?. Previéndose en el apartado 2 de
este mismo artículo que ?La certificación positiva contendrá la transcripción de los
datos inscritos, tal y como obren en el Registro en el momento de su expedición,
excluyendo las inscripciones que, conforme a una norma con rango de Ley, se hallen
a disposición únicamente de los órganos jurisdiccionales?.
Asimismo, la Audiencia Nacional en diversas sentencias (valga por todas la SAN de 20
de junio de 2017) ha declarado que ?No existe un precepto que establezca que el
certificado de antecedentes penales omita hacer referencia a antecedentes penales
que constan debidamente inscritos, salvo en el caso que una norma con rango de Ley
así lo establezca y ello con independencia de que el certificado se solicite para un
procedimiento penal o para un fin distinto de un proceso penal?. De ello puede inferirse
que el certificado de antecedentes penales negativos también se considera un dato
relativo a condenas e infracciones penales, así como a procedimientos y medidas
cautelares y de seguridad conexas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/64
Tanto la expedición de un certificado positivo de antecedentes penales como la de un
certificado de ausencia de tales antecedentes requieren, por tanto, la consulta de los
registros públicos mencionados. Por lo tanto, no puede decirse que los certificados
negativos o de ausencia de antecedentes penales no contengan información relativa a
condenas e infracciones penales o medidas de seguridad conexas.
Un ejemplo de que el certificado negativo de antecedentes penales es un tratamiento
de datos personales relativo a condenas e infracciones penales lo podemos ver en
relación con el certificado de delitos de naturaleza sexual. Este certificado es similar al
que ahora estamos examinando, pues se refiere a la existencia o inexistencia de
condenas firmes dictadas por los órganos judiciales, anotadas en el Registro Central
de Delincuentes Sexuales. Así, el certificado de delitos de naturaleza sexual se expide
indicando la existencia o inexistencia de condenas penales en la fecha en la que es
expedido.
Amén de que este certificado pueda ser solicitado en atención a lo previsto en la Ley
Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia
frente a la violencia -norma de rango legal que habilita su petición en relación con el
acceso a profesiones, oficios y actividades que impliquen contacto habitual con
personas menores de edad-, lo cierto es que el hecho de obtener un certificado
negativo pone de manifiesto que alguien carece de condenas penales en relación con
delitos de naturaleza sexual. Esto implica tratar datos personales ?relativos? a
condenas penales, pues los datos contenidos en el citado certificado, de igual forma
que en el ahora examinado, tienen que ver de manera indisoluble con la existencia de
condenas penales. Son datos personales relativos a condenas penales ya sea por su
tenencia o por su ausencia.
Y tampoco resultaría acertada la petición que realiza AMAZON ROAD de que por
parte de esta Agencia se realice una interpretación estricta de manera análoga al
supuesto incluido en el Informe del Gabinete Jurídico 0129/2005. En este sentido, lo
que venía a poner de manifiesto el mencionado informe es que el dato de ?fumador?
por sí mismo considerado no pertenecería a la categoría de datos de salud, por
cuanto, de acuerdo con la Recomendación Nº R (97) 5, del Comité de Ministros del
Consejo de Europa, referente a la protección de datos médicos, el dato referido al
mero consumo de tabaco, sin especificación de la cantidad consumida, no sería en
principio un dato vinculado con la salud, si el mismo no viene acompañado con una
información complementaria que permita determinar que se produce la situación de
?abuso de nicotina?. Sin embargo, en el caso objeto del presente procedimiento, tal y
como se ha expuesto, la relación entre certificado de antecedentes penales y la
categoría de datos relativos a condenas e infracciones penales es unívoca, ya que su
información se refiere a ellas, tanto sea para poner de manifiesto su existencia como
su ausencia.
Interesa, además, traer a colación en este punto el expediente al E/00037/2013 que la
reclamada hace referencia en su escrito de contestación al traslado. En este
expediente, el tema versaba acerca de la solicitud de una declaración responsable en
la que los sujetos afirmaran que carecían de antecedentes penales (no la solicitud del
certificado). Pues bien, sobre un supuesto de carácter análogo, la Sentencia de la Sala
de lo Social de la Audiencia Nacional 14/2020, de 10 de febrero de 2020, señala que
incluso la solicitud de una declaración responsable de que se carece de antecedentes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/64
penales ha de ser considerada como un tratamiento de datos relativos a condenas
penales.
AMAZON ROAD, en sus alegaciones a la apertura del procedimiento, descarta la
declaración efectuada por la Audiencia Nacional en esta Sentencia señalando que la
misma fue dictada por la Sala de lo Social, que no es la competente para revisar las
decisiones de esta Agencia, negando con ello la capacidad que tienen los jueces y
tribunales de interpretar las normas que resulten de aplicación al supuesto objeto del
proceso de que se trate.
Respecto de esta alegación, hemos de significar que, si bien la Sala de lo Social de la
Audiencia Nacional no es competente para revisar las resoluciones administrativas
dictadas por la AEPD, en atención a la competencia atribuida al orden social, artículo
25 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ), ello no le
impide interpretar y aplicar la normativa de protección de datos o cualquier otra que
pudiera ser relevante para la resolución del asunto litigioso; a mayor abundamiento, el
artículo 4.bis de la LOPJ mandata a los jueces y tribunales la aplicación del Derecho
de la Unión Europea.
Como consecuencia de lo anterior, una vez sentado que el certificado de antecedentes
penales que solicita AMAZON ROAD supone una información relativa a las condenas
penales de una persona física identificada y, por ende, un dato personal sujeto a las
especiales garantías que establecen los artículos 10 del RGPD y 10 de la LOPDGDD,
procede examinar si existe una habilitación que permita que la entidad reclamada trate
dicha información.
Estos preceptos confieren el tratamiento de los referidos datos a los poderes públicos
restringiendo a los particulares su tratamiento únicamente para aquellos casos en que
una norma de derecho europeo o una norma nacional con rango de ley lo habiliten
(amén de lo establecido en el punto 10.3 para el tratamiento de datos penales por
parte de abogados y procuradores).
Solamente, por tanto, en aquellos supuestos excepcionales en que, autorizados por
una Ley y con las debidas garantías, se contemple dicha medida, podría exigirse dicho
certificado; en este sentido existen específicas normativas que, en distintos ámbitos, lo
contemplan expresamente. En relación con este punto, no existe una norma del
Derecho de la Unión o una norma legal de nuestro ordenamiento que permita llevar a
cabo el tratamiento de datos de antecedentes penales pretendido por la entidad
reclamada.
Analizando la normativa sectorial traída a colación por la reclamada en su escrito, el
artículo 43.2 de la Ley 16/1987, de 30 de julio, de Ordenación de los Transportes
Terrestres (en adelante, LOTT) dispone que ?cuando la autorización habilite para la
realización de transporte público de viajeros en autobús o de mercancías en vehículos
o conjuntos de vehículos con capacidad de tracción propia cuya masa máxima
autorizada sea superior a 3,5 toneladas, deberán cumplir los requisitos de
establecimiento, honorabilidad, capacidad financiera y competencia profesional
exigidos por la reglamentación de la Unión Europea por la que se establecen normas
comunes relativas a las condiciones que han de cumplirse para el ejercicio de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/64
profesión de transportista por carretera, de conformidad con lo que en dicha
reglamentación se dispone y con lo que en esta ley y en sus normas de desarrollo se
señala para la ejecución de tales disposiciones?. El artículo 45, se refiere
específicamente al requisito de honorabilidad disponiendo que ?De conformidad con lo
dispuesto en la reglamentación de la Unión Europea por la que se establecen normas
comunes relativas a las condiciones que han de cumplirse para el ejercicio de la
profesión de transportista por carretera, a fin de cumplir el requisito de honorabilidad,
ni la empresa ni su gestor de transporte podrán haber sido condenados por la
comisión de delitos o faltas penales ni sancionados por la comisión de infracciones
relacionadas con los ámbitos mercantil, social o laboral, de seguridad vial o de
ordenación de los transportes terrestres que den lugar a la pérdida de este requisito,
de conformidad con lo que se dispone en esta ley y en la reglamentación de la Unión
Europea.
Por su parte, el Reglamento de la Ley de Ordenación de los Transportes Terrestres
(ROTT), aprobado por Real Decreto 1211/1990, de 28 de septiembre, recoge en su
artículo 109 que ?De conformidad con lo dispuesto en el artículo 43.2 de la LOTT, para
la obtención y mantenimiento de las autorizaciones de transporte público de viajeros
en autobús y de transporte público de mercancías en vehículos que puedan superar
las 3,5 toneladas de masa máxima autorizada, deberá resultar acreditado que la
empresa cumple, además de la condiciones señaladas en el artículo 43.1 de la LOTT,
los requisitos de establecimiento, competencia profesional, honorabilidad y capacidad
financiera, con las concreciones señaladas en este Reglamento?; y en el artículo 115
que ?1. A efectos de lo dispuesto en el artículo 45 de la LOTT, tanto el propio titular de
la autorización, ya sea una persona física o jurídica, como el gestor de transporte de la
empresa a título personal, deberán cumplir el requisito de honorabilidad. 2. En la
comprobación del cumplimiento de las condiciones señaladas en el apartado anterior,
el órgano competente deberá atenerse exclusivamente a los datos obrantes en el
Registro de Empresas y Actividades de Transporte y en el Registro Europeo de
Empresas de Transporte por Carretera?. En los artículos 116 a 120 se regula
detalladamente el régimen jurídico y las especificaciones a tener en cuenta en torno al
concepto de honorabilidad.
En base a lo anterior, puede deducirse que únicamente sería exigible el cumplimiento
del requisito de honorabilidad para aquellas autorizaciones que impliquen el uso de
vehículos cuya masa máxima autorizada sea superior a 3,5 toneladas. Su examen
correspondería, en todo caso, a la Administración competente para conceder y
gestionar las autorizaciones de transporte, y además con la limitación añadida de
atenerse exclusivamente a lo inscrito en el Registro de Empresas y Actividades de
Transporte y en el Registro Europeo de Empresas de Transporte de Carretera. Es
decir, ni siquiera la Administración competente para gestionar la autorización puede,
en estos casos, solicitar ni entrar a examinar un certificado de antecedentes penales,
sino que deberá atenerse a la información que se haya inscrito en los mencionados
registros. A mayor abundamiento, se significa que ni siquiera la existencia de una
condena penal o sanción administrativa determina automáticamente la pérdida de la
honorabilidad necesaria para ser titular de una autorización de transporte, puesto que
existe un procedimiento administrativo posterior, una vez inscrita dicha condena o
resolución en el Registro de Empresas y Actividades de Transporte, conforme resulta
de los artículos 118 y 119 del Reglamento de la Ley de Ordenación de los Transportes
Terrestres (ROTT), según el cual la autoridad competente de transporte puede
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/64
determinar que incluso existiendo dicha condena o sanción, la consecuencia de la
pérdida de la honorabilidad, y por tanto de la autorización, es desproporcionada. El
propio ROTT adicionalmente establece una circunstancia en la que, aun existiendo
resolución sancionadora, considera que no cabe en ningún caso la pérdida de la
honorabilidad (artículo 119.3 del ROTT). Luego de estos preceptos resulta que pueden
existir transportistas con condenas o sanciones que no conlleven la pérdida de este
requisito.
En cualquier caso, sería tan solo en el supuesto de que AMAZON ROAD pretendiese
suscribir contratos de prestación de servicios con transportistas autónomos en los que
los vehículos a utilizar por estos tuviesen una masa máxima autorizada superior a 3,5
toneladas (situación que no concurre en el presente supuesto por cuanto la masa
máxima de los vehículos admitidos en el programa ha de ser inferior a 2 toneladas)
cuando los datos de ciertos antecedentes penales, como componentes del requisito de
honorabilidad tal y como se define en la LOTT, entrarían en juego para la concesión y
mantenimiento de la autorización preceptiva por parte de la Administración que la
otorga. Sin embargo, la competencia exclusiva para su control corresponde a dicha
Administración con las limitaciones indicadas anteriormente, y sin que en ningún caso
exista legitimación que habilite a la empresa a solicitar un certificado de antecedentes
penales o a verificar dicha información.
A falta de habilitación legal, no cabe, en este caso, acudir a otras bases jurídicas para
legitimar el tratamiento de datos personales relativos a condenas e infracciones
penales.
No obstante, AMAZON ROAD, en su escrito de respuesta al trámite de traslado de la
reclamación, manifestó que las bases legitimadoras de los tratamientos de datos que
realiza, dependiendo del tipo de datos recabados y de las finalidades previstas, son la
ejecución del contrato entre el transportista autónomo y la entidad, el consentimiento
de aquellos y el interés legítimo.
En relación con el tratamiento de los datos personales contenidos en los certificados
de antecedentes penales que recaba de los transportistas que participan en el
programa ?Amazon lex?, señala que la base jurídica es la ejecución del contrato y el
interés legítimo de AMAZON ROAD en proteger la confianza que los clientes tienen
depositada en la entidad y en garantizar que su posición como operador de transporte
no se vea comprometida.
Por otra parte, en la información que se ofrece a los interesados durante el proceso de
?verificación de antecedentes? (los detalles constan reseñados en el Antecedente
Primero) se indica como base jurídica para aquellos tratamientos de datos el
consentimiento de los interesados (?En relación con este proceso, doy mi
consentimiento a que se realicen las comprobaciones mencionadas??, entre las que
figura ?Un certificado del Ministerio de Justicia confirmando que no cuento con
antecedentes penales de ningún tipo?).
Ninguna de estas bases jurídicas puede legitimar un tratamiento de datos personales
que, como se ha dicho, solo puede llevarse a cabo en aquellos supuestos en los que
exista habilitación legal, de modo que no resulta necesario su análisis.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/64
No obstante, se estima oportuno realizar algunas precisiones al respecto:
a) La entidad reclamada considera que el tratamiento de los certificados en cuestión
es necesario para la ejecución del contrato que suscribe con los transportistas
autónomos, para garantizar la seguridad y confianza de los clientes, aplicar un
estándar mínimo de diligencia en la contratación de servicios de proveedores y para
evitar que su posición de operador de transportes se vea comprometida (las mismas
razones que aduce para justificar el interés legítimo).
No comparte esta Agencia que los certificados de antecedentes penales que la
reclamada solicita a los transportistas autónomos se necesaria para la ejecución de
este contrato de prestación de servicios, por las razones ya expuestas al referirnos a la
normativa que regula el transporte de mercancías.
Son los poderes públicos los encargados de conceder las autorizaciones necesarios
para el transporte público de mercancías, de modo que a AMAZON ROAD únicamente
le compete comprobar que el transportista autónomo pretende contratar cuenta con
esta concesión.
b) En relación con la base jurídica del interés legítimo, el artículo 6 del RGPD
establece:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o los derechos y libertades fundamentales del interesado que
requieran la protección de datos personales, en particular cuando el interesado sea un niño...?.
El Considerando 47 del RGPD precisa el contenido y alcance de esta base
legitimadora del tratamiento:
?(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que
se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica
para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del
interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su
relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una
relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en
las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la
existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un
interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de
datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y
los derechos fundamentales del interesado podrían prevalecer sobre los intereses del
responsable del tratamiento cuando se proceda al tratamiento de los datos personales en
circunstancias en las que el interesado no espere razonablemente que se realice un
tratamiento ulterior. Dado que corresponde al legislador establecer por ley la base jurídica para
el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no
debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus
funciones. El tratamiento de datos de carácter personal estrictamente necesario para la
prevención del fraude constituye también un interés legítimo del responsable del tratamiento de
que se trate. El tratamiento de datos personales con fines de mercadotecnia directa puede
considerarse realizado por interés legítimo?.
Los criterios interpretativos que se extraen de este Considerando son, entre otros, (i)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/64
que el interés legítimo del responsable prevalezca sobre los intereses o derechos y
libertades fundamentales del titular de los datos, a la vista de las expectativas
razonables que éste tenga, fundadas en la relación que mantiene con el responsable
del tratamiento; (ii) será imprescindible que se efectúe una ?evaluación meticulosa? de
los derechos e interés en juego, también en aquellos supuestos en los que el
interesado pueda prever de forma razonable, en el momento y en el contexto de la
recogida de datos, que pueda producirse el tratamiento con tal fin; (iii) los intereses y
derechos fundamentales del titular de los datos personales podrían prevalecer frente a
los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe
en circunstancias tales en las que el interesado ?no espere razonablemente? que se
lleve a cabo un tratamiento ulterior de sus datos personales.
La entidad reclamada no realizó este análisis previo, aunque se refiera al mismo en su
escrito de alegaciones a la propuesta, y no consta que haya informado debidamente a
los interesados sobre esta base legitimadora.
Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado
de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y
en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer
cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que
justificarían el tratamiento.
Del mismo modo, el interesado se ve privado de su derecho a alegar por qué causas
dicho interés legítimo del responsable del tratamiento podría ser contrarrestado por los
derechos o intereses del interesado. No habiéndosele dado oportunidad al interesado
de alegarlos frente al responsable, cualquier sopesamiento que realice el responsable
sin tener en cuenta las circunstancias que pudiera alegar el interesado a quien no se la
ha permitido hacerlo estaría viciado, por ser un acto contrario a una norma imperativa.
No cabe, por tanto, invocar esta base jurídica del interés legítimo con ocasión de un
trámite administrativo, como el de traslado de la reclamación. Aceptarlo sería tanto
como admitir un interés legítimo sobrevenido, o a posteriori, respecto del cual no se
han respetado las exigencias previstas en la normativa de protección de datos
personales y sobre el que no se informa a los interesados.
Aunque el interés legítimo no es aplicable, interesa analizar los términos en que debe
llevarse a cabo la ponderación que prevé el artículo 6.1.f) del RGPD entre el legítimo
interés del responsable de los datos y la protección de datos de carácter personal del
interesado, es decir, cómo juega dicho interés legítimo, si fuera aplicable.
El TJUE, en su sentencia de 04/05/2017, C-13/16, Rigas Satskime, apartado 28 a 34,
determinó cuáles son los requisitos para que un tratamiento pueda resultar lícito sobre
la base del interés legítimo. La sentencia TJUE de 29/07/2019, C-40/17, Fashion ID,
haciéndose eco de la sentencia citada, recoge dichos requisitos.
28. A tal respecto, el artículo 7, letra f), de la Directiva 95/46 -(actual artículo 6.1.f) del RGPD)-
fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito:
primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen
los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la
satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos y libertades
fundamentales del interesado en la protección de los datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/64
Esta base jurídica requiere la existencia de intereses reales, no especulativos y que,
además, sean legítimos. Y no solo la existencia de ese interés legítimo significa que
puedan realizarse aquellas operaciones de tratamiento. Es preciso también que estos
tratamientos sean necesarios para satisfacer ese interés y considerar la repercusión
para el interesado, el nivel de intrusismo en su privacidad y los efectos que pueden
repercutirle negativamente.
Aunque el responsable tenga dicho interés legítimo, ello no significa, en sí mismo
considerado, que pueda simplemente invocarse esta base jurídica como fundamento
del tratamiento. La legitimidad de este interés es solo un punto de partida, uno solo de
los elementos que deben ponderarse.
En esta caso, se considera que el tratamiento de datos personales que realiza
AMAZON ROAD no es necesario o estrictamente necesario para la satisfacción del
interés legítimo alegado (la sentencia citada de 04/05/2017, C-13/16, Rigas Satskime,
en su apartado 30, declara ?Por lo que atañe al requisito de que el tratamiento de
datos sea necesario, procede recordar que las excepciones y restricciones al principio
de protección de los datos de carácter personal deben establecerse sin sobrepasar los
límites de lo estrictamente necesario?).
Este principio, según el cual el tratamiento debe ser estrictamente necesario para la
satisfacción del interés legítimo, hay que interpretarlo de conformidad con lo
establecido en el artículo 5.1.c) RGPD, que hace referencia al principio de
minimización de datos, señalando que los datos personales serán ?adecuados,
pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados?.
De esta forma, deberán preferirse siempre medios menos invasivos para servir a un
mismo fin. Necesidad supone aquí que el tratamiento resulte imprescindible para la
satisfacción del referido interés, de modo que, si dicho objetivo se puede alcanzar de
forma razonable de otra manera que produzca menos impacto o menos intrusiva, el
interés legítimo no puede ser invocado.
El término ?necesidad? que utiliza el artículo 6.1 f) del RGPD tiene a juicio del TJUE un
significado propio e independiente en la legislación comunitaria. Se trata de un
?concepto autónomo del Derecho Comunitario? (STJUE de 16/12/2008, asunto C-
524/2006, apartado 52). De otra parte, el Tribunal Europeo de Derechos Humanos
(TEDH) ha ofrecido también directrices para interpretar el concepto de necesidad. En
su Sentencia de 25/03/1983 precisó que, sin perjuicio de que el tratamiento de los
datos de los reclamantes sea ?útil?, ?deseable? o ?razonable?, como precisó el TEDH en
su Sentencia de 25/3/1983, el término ?necesario? no tiene la flexibilidad que está
implícita en esas expresiones.
Cuanto más ?negativo? o ?incierto? pueda ser el impacto del tratamiento, más
improbable es que el tratamiento en su conjunto pueda considerarse legítimo.
Como puede apreciarse, lo expresado anteriormente se ajusta a la doctrina del
Tribunal Constitucional sobre el juicio de proporcionalidad que debe realizarse sobre
una medida restrictiva de un derecho fundamental. Según esta doctrina, deberán
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/64
constatarse tres requisitos: idoneidad (si la medida permite conseguir el objetivo
propuesto); necesidad (que no exista otra medida más moderada); proporcionalidad en
sentido estricto (más beneficios o ventajas que perjuicios).
En definitiva, se entiende que la recogida y utilización del certificado de antecedentes
penales que la entidad reclamada realiza supone un tratamiento de datos personales
excesivo, considerando que existen otras formas menos intrusivas para proteger la
confianza que los clientes tienen depositada en la entidad y para garantizar que su
posición como operador de transporte no se vea comprometida.
Por tanto, el interés legítimo invocado por AMAZON ROAD no prevalece frente los
derechos y libertades fundamentales de los interesados en la protección de sus datos
personales, por lo que no cabe considerar que el tratamiento de datos personales que
lleva a cabo esté amparado por el interés legítimo que prevé el artículo 6.1.f) del
RGPD.
c) Y tampoco la aceptación por los transportistas interesados del proceso de
?verificación de antecedentes? supone un consentimiento válido para el tratamiento de
datos personales relativos a antecedentes penales. De acuerdo con lo expresado en
las normas reseñadas, los tratamientos de datos personales objeto de la reclamación
requieren la existencia de una base legal que lo legitime, como el consentimiento del
interesado prestado válidamente, necesario cuando no concurra alguna otra base
jurídica de la mencionadas en el artículo 6.1 del RGPD o el tratamiento persiga un fin
compatible con aquel para el que se recogieron los datos, y siempre que el tratamiento
no requiera, como en este caso, de una habilitación legal.
El artículo 4 del RGPD define el ?consentimiento? en los términos siguientes:
?Artículo 4 Definiciones
A efectos del presente Reglamento se entenderá por:
11. «consentimiento del interesado»: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una
clara acción afirmativa, el tratamiento de datos personales que le conciernen?.
En relación con la prestación del consentimiento, debe tenerse en cuenta lo
establecido en el artículo 6 del RGPD, ya citado, y en los artículos 7 del RGPD y 7 de
la LOPDGDD.
Artículo 7 ?Condiciones para el consentimiento? del RGPD:
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá
ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que
también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma
que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y
utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que
constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada
del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a
su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil
retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/64
medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la
prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que
no son necesarios para la ejecución de dicho contrato?.
Artículo 6 ?Tratamiento basado en el consentimiento del afectado? de la LOPDGDD:
?1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se
entiende por consentimiento del afectado toda manifestación de voluntad libre, específica,
informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara
acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado
para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca
que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de
los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo
o control de la relación contractual?.
El consentimiento se entiende como un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con
garantías suficientes para acreditar que el interesado es consciente del hecho de que
da su consentimiento y de la medida en que lo hace. Y debe darse para todas las
actividades de tratamiento realizadas con el mismo o mismos fines, de modo que,
cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos
ellos de manera específica e inequívoca, sin que pueda supeditarse la ejecución del
contrato a que el afectado consienta el tratamiento de sus datos personales para
finalidades que no guarden relación con el mantenimiento, desarrollo o control de la
relación negocial. A este respecto, la licitud del tratamiento exige que el interesado sea
informado sobre los fines a que están destinados los datos (consentimiento
informado).
El consentimiento ha de prestarse libremente. Se entiende que el consentimiento no
es libre cuando el interesado no goza de verdadera o libre elección o no puede
denegar o retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le
permita autorizar por separado las distintas operaciones de tratamiento de datos
personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un
contrato o prestación de servicio sea dependiente del consentimiento, aún cuando éste
no sea necesario para dicho cumplimiento. Esto ocurre cuando el consentimiento se
incluye como una parte no negociable de las condiciones generales o cuando se
impone la obligación de estar de acuerdo con el uso de datos personales adicionales a
los estrictamente necesarios.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un
verdadero control sobre sus datos personales y el destino de los mismos, y ello haría
ilegal la actividad del tratamiento.
El Grupo de Trabajo del Artículo 29 analizó estas cuestiones en su documento
?Directrices sobre el consentimiento en virtud del Reglamente 2016/679?, revisadas y
aprobadas el 10/04/2018; que ha sido actualizado por el Comité Europeo de
Protección de Datos el 04/05/2020 mediante el documento ?Directrices 05/2020 sobre
el consentimiento con arreglo al Reglamento 2016/679?. De lo indicado en este
documento, interesa ahora destacar algunos aspectos relacionados con la validez del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/64
consentimiento, en concreto sobre los elementos ?específico?, ?informado? e
?inequívoco?:
?3.2. Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para el
tratamiento de sus datos debe darse «para uno o varios fines específicos» y que un interesado
puede elegir con respecto a cada uno de dichos fines. El requisito de que el consentimiento
deba ser «específico» tiene por objeto garantizar un nivel de control y transparencia para el
interesado. Este requisito no ha sido modificado por el RGPD y sigue estando estrechamente
vinculado con el requisito de consentimiento «informado». Al mismo tiempo, debe interpretarse
en línea con el requisito de «disociación» para obtener el consentimiento «libre». En suma,
para cumplir con el carácter de «específico» el responsable del tratamiento debe aplicar:
i) la especificación del fin como garantía contra la desviación del uso,
ii) la disociación en las solicitudes de consentimiento, y
iii) una clara separación entre la información relacionada con la obtención del consentimiento
para las actividades de tratamiento de datos y la información relativa a otras cuestiones.
Ad. i): De conformidad con el artículo 5, apartado 1, letra b), del RGPD, la obtención del
consentimiento válido va siempre precedida de la determinación de un fin específico, explícito y
legítimo para la actividad de tratamiento prevista. La necesidad del consentimiento específico
en combinación con la noción de limitación de la finalidad que figura en el artículo 5, apartado
1, letra b), funciona como garantía frente a la ampliación o difuminación gradual de los fines
para los que se realiza el tratamiento de los datos una vez que un interesado haya dado su
autorización a la recogida inicial de los datos. Este fenómeno, también conocido como
desviación del uso, supone un riesgo para los interesados ya que puede dar lugar a un uso
imprevisto de los datos personales por parte del responsable del tratamiento o de terceras
partes y a la pérdida de control por parte del interesado.
Si el responsable del tratamiento se basa en el artículo 6, apartado 1, letra a), los interesados
deberán siempre dar su consentimiento para un fin específico para el tratamiento de los datos.
En consonancia con el concepto de limitación de la finalidad, con el artículo 5, apartado 1, letra
b), y con el considerando 32, el consentimiento puede abarcar distintas operaciones, siempre
que dichas operaciones tengan un mismo fin. Huelga decir que el consentimiento específico
solo puede obtenerse cuando se informa expresamente a los interesados sobre los fines
previstos para el uso de los datos que les conciernen.
Sin perjuicio de las disposiciones sobre la compatibilidad de los fines, el consentimiento debe
ser específico para cada fin. Los interesados darán su consentimiento entendiendo que tienen
control sobre sus datos y que estos solo serán tratados para dichos fines específicos. Si un
responsable trata datos basándose en el consentimiento y, además, desea tratar dichos datos
para otro fin, deberá obtener el consentimiento para ese otro fin, a menos que exista otra base
jurídica que refleje mejor la situación?
Ad. ii) Los mecanismos de consentimiento no solo deben estar separados con el fin de cumplir
el requisito de consentimiento «libre», sino que también deben cumplir con el de
consentimiento «específico». Esto significa que un responsable del tratamiento que busque el
consentimiento para varios fines distintos, debe facilitar la posibilidad de optar por cada fin, de
manera que los usuarios puedan dar consentimiento específico para fines específicos.
Ad. iii) Finalmente, los responsables del tratamiento deben facilitar, con cada solicitud de
consentimiento separada, información específica sobre los datos que se tratarán para cada fin,
con el objeto de que los interesados conozcan la repercusión de las diferentes opciones que
tienen. De este modo, se permite a los interesados dar un consentimiento específico. Esta
cuestión se solapa con el requisito de que los responsables faciliten información clara, tal y
como se ha expuesto anteriormente en la sección 3.3?.
?3.3. Manifestación de voluntad informada
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De conformidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/64
con el artículo 5 del RGPD, el requisito de transparencia es uno de los principios
fundamentales, estrechamente relacionado con los principios de lealtad y licitud. Facilitar
información a los interesados antes de obtener su consentimiento es esencial para que puedan
tomar decisiones informadas, comprender qué es lo que están autorizando y, por ejemplo,
ejercer su derecho a retirar su consentimiento. Si el responsable no proporciona información
accesible, el control del usuario será ilusorio y el consentimiento no constituirá una base válida
para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el consentimiento no
será válido y el responsable podrá estar incumpliendo el artículo 6 de RGPD.
3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado ciertos
elementos que son cruciales para poder elegir. Por tanto, el GT29 opina que se requiere, al
menos, la información siguiente para obtener el consentimiento válido:
i) la identidad del responsable del tratamiento,
ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el
consentimiento,
iii) qué (tipo de) datos van a recogerse y utilizarse,
iv) la existencia del derecho a retirar el consentimiento,
v) información sobre el uso de los datos para decisiones automatizadas de conformidad con el
artículo 22, apartado 2, letra c), cuando sea pertinente, e
vi) información sobre los posibles riesgos de transferencia de datos debido a la ausencia de
una decisión de adecuación y de garantías adecuadas, tal y como se describen en el artículo
46?.
En el supuesto denunciado no existen evidencias sobre la prestación de un
consentimiento válido por parte de los transportistas autónomos participantes en el
programa ?***PROGRAMA.1? que ampare los tratamientos de datos personales que
AMAZON ROAD lleva a cabo con los antecedentes penales que solicita. Esta entidad
ni siquiera informa debidamente sobre este tratamiento de datos, sobre su finalidad y
base jurídica o el derecho a retirar el consentimiento, de conformidad con lo
establecido en el artículo 13 del RGPD; ni ha establecido ningún mecanismo para que
los interesados puedan consentir esta recogida de datos personales mediante un acto
afirmativo separado para estas concretas operaciones de tratamiento; ni el
consentimiento puede considerarse libre, al imponerse el tratamiento de datos
personales como un requisito para acceder a la contratación.
Es significativo que AMAZON ROAD, en su escrito de alegaciones a la propuesta de
resolución, no haya realizado ni una sola argumentación de contrario sobre los
razonamientos desarrollados en el presente Fundamento de Derecho, ya sea en
relación con la naturaleza de dato personal relativo a condenas e infracciones penales
que debe atribuirse al certificado negativo de antecedentes, o con la inexistencia de
habilitación legal que ampare el tratamiento de datos cuestionado en las actuaciones.
Tampoco hace mención si quiera a los motivos expuestos para justificar la
imposibilidad de acudir, en este caso, a otras bases jurídicas que pudieran hacer lícito
dicho tratamiento de datos, como son el interés legítimo o el consentimiento del
interesado válidamente prestado. Cabe destacar que hubiese invocado el interés
legítimo como base legitimadora del tratamiento y ahora, en su escrito de alegaciones
a la propuesta de resolución, no realice ninguna alegación que dé respuesta a los
argumentos anteriores, que ya figuraban en la propuesta elaborada por el instructor
del procedimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/64
En dicho escrito de alegaciones a la propuesta, AMAZON ROAD se ha limitado a
afirmar nuevamente, sin aportar ningún razonamiento, que el certificado de ausencia
de antecedentes penales no comporta un tratamiento de datos relativos a condenas e
infracciones penales y a señalar al respecto que el Código Penal, el Real Decreto
95/2009 y la Sentencia de la Audiencia Nacional de 20 de junio de 2017 no confirman
que así sea.
Sin embargo, lo señalado por la reclamada no coincide con lo indicado en esta
resolución y en la propuesta. Lo indicado anteriormente expresa que el Código Penal
establece que las anotaciones en el ?Registro Central de Penados y Rebeldes? no son
públicas; que el Real Decreto 95/2009 prevé la expedición de certificados sobre las
inscripciones incluidas en los registros de apoyo a la Administración de Justicia y
?certificaciones negativas respecto a personas que no figuren inscritas en los mismos?,
que requieren una consulta a los mismos registros en ambos casos; y sobre la
Sentencia citada, se dice que de la misma se infiere que el certificado de antecedentes
penales negativos también se considera un dato relativo a condenas e infracciones
penales, en la medida en que plantea cuál es la información que debe suministrarse
por parte del Registro Central y que debe constar en el certificado de antecedentes
penales.
Por otra parte, en el mencionado escrito de alegaciones a la propuesta de resolución,
AMAZON ROAD alega no existe un criterio unánime y consolidado sobre la utilización
de los certificados negativos de antecedentes penales entre los Estados miembros
sobre la interpretación realizada por la AEPD.
En el escrito de alegaciones a la apertura ya planteó esta cuestión en relación que
Países Bajos, Francia o Alemania, señalando que en estos países se admite una
interpretación distinta en relación con lo establecido en el artículo 10 del RGPD y
permiten a los empleadores confirmar que una persona aspirante a un empleo no tiene
antecedentes penales.
En la propuesta de resolución se advirtió que la entidad reclamada no había aportado
ninguna prueba sobre esta alegación ni comprobado si en dichos países existe una
norma que habilite esa comprobación de datos y en qué casos, como ocurre también
en nuestro ordenamiento jurídico para distintos ámbitos de empleo (entre otros,
abogados, administradores de Lotería y casas de apuestas, agencias encargadas de
adopciones internacionales, conductores de taxi, algunos empleados de casinos,
funcionarios públicos, o los mismos conductores de vehículos de pasajeros y
mercancías en los casos antes señalados).
Ahora, en respuesta a lo indicado en la propuesta, AMAZON ROAD reitera que la
autoridad de protección de datos de Países Bajos acepta estos certificados negativos
(Verklaring omtrent gedrag o "VOG") y aporta extractos de la página del Ministerio de
Justicia de ese país con información sobre dicho documento; y de la web de la
autoridad de control que admite su uso cuando concurra un interés legítimo del
empleador.
En relación con el caso francés, indica la reclamada que la autoridad de control (CNIL)
ha incluido información en su web según la cual, en ausencia de norma específica que
prevea la verificación de este tipo de antecedentes, el empleador podrá solicitar a un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/64
empleado que presente un extracto de sus antecedentes penales durante una
entrevista y hacer anotación sobre esta verificación ?si/no?, sin recabar copia del
documento, lo que equivale, a su juicio, al certificado negativo que recaba la
reclamada. Y aporta información obtenida de la web de la CNIL.
Nada indica esta vez, en cambio, en relación con la posición mantenida al respecto por
Alemania.
Analizada la información obtenida de las páginas web del Ministerio de Justicia y de la
autoridad de protección de datos de Países Bajos y de la web de la CNIL, considera
esta Agencia que coincide sustancialmente con lo argumentado en la presente
resolución.
En relación con Países Bajos, la entidad reclamada obtiene una conclusión que no
considera algunos aspectos reflejados en la información facilitada por aquellas
entidades, como son:
Según la información disponible en la web del Ministerio de Justicia, el certificado
?VOG? que emite dicho Ministerio verifica si el interesado ha cometido delitos penales
que representen un riesgo para el puesto de trabajo de que se trate.
Se informa al empleador que este certificado ?VOG? es uno de los instrumentos que
puede utilizar para evaluar la fiabilidad del personal futuro, recomendable para los
puestos donde es importante la confianza en el empleado, si bien, se advierte que esta
evaluación afecta a la privacidad del empleado y que, por ello, solo puede darse esa
evaluación bajo ciertas condiciones legales, mencionando expresamente el RGPD.
Se refiere esta información al interés legítimo, señalando que debe existir ese interés y
ser necesario. Y añade a este respecto que el empleador tiene la obligación de
proporcionar información, no utilizar los datos con otro propósito y conservar los datos
sólo por el tiempo necesario.
En cuanto a la autoridad de protección de datos de Países Bajos, informa igualmente a
través de su web que la evaluación solo está permitida bajo ciertas condiciones
legales, siendo de la más importantes que el empleador tenga una razón legítima,
exigiéndose que la evaluación sea necesaria, que se informe adecuadamente al
solicitante o empleado, que los datos recabados sean relevantes, de modo que no se
recopilen más datos de los necesarios, no utilizarlos para ningún otro propósito y se
sopesen los derechos entre sí para ver qué interés pesa más, el del empleador o el de
los empleados o solicitantes.
Pero también se indica que el ?VOG? puede solicitarse para algunos supuestos en los
que el chequeo es requerido por ley. Y que se aplican disposiciones especiales para
puestos de confianza, como agentes de policía, seguridad privada, personal de
aviación y otros.
En relación con el interés legítimo y el significado de aquel requisito de ?necesidad? se
aclara que el empleador no debe ser capaz de lograr su objetivo con un medio menos
drástico.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/64
Aconseja, asimismo, que se realice un inventario de los riesgos asociados a las
funciones dentro de su organización para verificar si estos riesgos pueden limitarse de
una manera distinta, resaltando que una buena organización, con controles internos o
distribución de poderes, puede garantizar que los riesgos se eliminen por completo y
no hacer necesaria la repetida evaluación del empleado.
Por otra parte, se recuerda la necesidad de analizar si procede realizar una evaluación
de impacto de protección de datos y la posibilidad de remitir una consulta previa a la
autoridad de protección de datos si no encuentra una forma de limitar el riesgo.
En el caso francés, su normativa distingue tres tipos de certificados de antecedentes
penales, que denomina Boletín nº 1, 2 y 3 (B1, B2 y B3). El primero incluye todas las
condenas y decisiones registradas, y solo puede ser entregado a autoridades
judiciales y establecimientos penitenciarios; el B2 contiene condenas por delitos
policiales, penas condicionales, etc., y puede expedirse a determinadas autoridades y
organismos privados por razones enumeradas exhaustivamente por la ley; y el B3
contiene únicamente las condenas más graves por delitos o faltas, penas privativas de
libertad y ciertas inhabilitaciones o incapacidades en curso, medidas de seguimiento y
prohibiciones de ejercer una actividad que implique contacto con menores, el cual sólo
puede ser entregado al interesado, a petición de éste.
La información ofrecida por la entidad CNIL en su web distingue dos supuestos. Por un
lado, la verificación de antecedentes prevista en una norma para determinadas
funciones ?sensibles? (boletines B2 y B3); y, por otro, a falta de una norma que prevea
la verificación de antecedentes, la posibilidad de que el empleador solicite a un
candidato o empleado un extracto de sus antecedentes penales (B3) durante una
entrevista, sin que el empresario pueda obtener copia ni tratar los datos (solo anotar la
verificación en las casillas del expediente de gestión de personal las formas ?si/no?).
Pero, en contra de lo señalado por AMAZON ROAD, no menciona en la información
aportada ninguna base jurídica que ampare este tratamiento de datos.
Esta información se completa señalando que cuando la verificación la realiza una
autoridad, el empleador no necesita consultar los antecedentes penales. Como así
ocurre en el caso que nos ocupa, en el que la normativa sectorial de transporte ya
contempla esta verificación para los casos en que resulta necesaria en orden a expedir
la autorización de transportista.
De acuerdo con todo lo expuesto, no cabe estimar la alegación formulada por
AMAZON ROAD sobre la ausencia de culpabilidad.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 6 del RGPD, que da lugar a la
aplicación de los poderes correctivos que el artículo 58 del citado Reglamento otorga a
la Agencia Española de Protección de datos.
III
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/64
El segundo aspecto de los incluidos en la reclamación a analizar es el que hace
referencia a la posición jurídica que en el tratamiento de datos ocupan las empresas
Accurate Background, Inc. y Amazon Development Centre (India) Private Limited.
La información de que se dispone proviene del texto de las capturas del contrato
mercantil, del apartado de verificación de antecedentes de la aplicación (aportadas por
el reclamante junto a la reclamación) y las respuestas proporcionadas por la
reclamada en sus escritos de 30/06/2020 y 07/06/2021, de respuesta al traslado y de
alegaciones a la apertura del procedimiento.
En la cláusula clausula 4(d) del contrato se recoge que el participante se obliga ?a
proporcionar respuestas completas y exactas a todas las preguntas relacionadas con
la verificación de su historial profesional y facilitar un certificado de ausencia de
antecedentes penales e información sobre su permiso de conducción?. Y en la
cláusula 13 se informa que los datos de los participantes se tratan para la ejecución
del contrato y con fines legales, administrativos y de gestión.
Por su parte, en el apartado de verificación de antecedentes de la aplicación, que
aparece configurado como un procedimiento en el que se evalúa la idoneidad de los
participantes para determinar su admisión a participar en el programa
?***PROGRAMA.1? y llevar a cabo la prestación de servicios, se hace referencia a las
entidades Accurate Background, Inc. y Amazon Development Centre (India) Private
Limited en los términos siguientes:
?Entiendo y consiento que Accurate Background se encargue de recopilar y tratar la
información en nombre de Amazon para realizar las verificaciones de antecedentes detalladas
anteriormente?.
?Entiendo Amazon Development Centre (India) Private Limited, en la India, podrá tener acceso
a los datos que proporcione a Amazon durante este proceso para dar soporte en la recogida de
la información por mi proporcionada, y presto mi consentimiento para dicho acceso?.
De los textos transcritos resulta evidente que intervienen en el proceso de verificación
de antecedentes las mercantiles Accurate Background, Inc. (recopilación y tratamiento
de la información) y Amazon Development Centre (India) Private Limited (acceso a los
datos para dar soporte a su recogida).
Ahora bien, resulta cierta confusión del hecho de que la verificación de antecedentes
se presente como una obligación surgida del contrato mientras que en la pantalla de
verificación de antecedentes se solicita el consentimiento del participante para este
proceso y para que aquellas entidades recopilen y traten su información o se dé
soporte.
Y esta confusión se incrementa si se consideran las dudas que generan los párrafos
transcritos, en los que se indica que Accurate Background, Inc. recopila y trata la
información ?en nombre de Amazon? y que Amazon Development Centre (India)
Private Limited podrá tener acceso a la información para dar ?soporte? a ?Amazon?;
junto con las manifestaciones de AMAZON ROAD contenidas en su escrito de
respuesta de 30/06/2020, según las cuales aquellas entidades ostentan la naturaleza
de encargados de tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/64
Esta indefinición sobre la condición bajo la que intervienen en el proceso las repetidas
mercantiles y la inexistencia de prueba alguna que acreditase el acceso por parte de
éstas a los datos personales como encargadas del tratamiento (la reclamada no aportó
ninguna documentación a este respecto con su escrito de 30/06/2020), motivó que en
el acuerdo de apertura del presente procedimiento sancionador se calificara a las
citadas entidades como ?terceros? en relación con el tratamiento de datos, y determinó
la imputación de una infracción por el presunto incumplimiento de lo establecido en el
artículo 7 del RGPD, en relación con el artículo 6.1.a) del mismo texto legal.
Bajo esta premisa, dicha imputación se fundamentó en el hecho de que el tratamiento
de los datos personales de los participantes en el programa ?***PROGRAMA.1? por
parte de Accurate Background, Inc. y Amazon Development Centre (India) Private
Limited requería el consentimiento de los interesados; y que el consentimiento
prestado en este caso no reunía los requisitos previstos para que pueda considerarse
un consentimiento válido, ya que no sería libre ni podría considerarse informado, en el
sentido expresado en el artículo 7 y Considerandos 32, 42 y 43 del RGPD, artículo 6
de la LOPDGDD y según las interpretaciones del Comité Europeo de Protección de
Datos contenidas en las Directrices 5/2020.
No obstante, AMAZON ROAD, con su escrito de alegaciones a la apertura del
procedimiento ha aportado copia de los contratos de encargo del tratamiento suscritos
con Accurate Background, Inc. y Amazon Development Centre (India) Private Limited,
en los que se estipula que estas entidades tratarán los datos en nombre de AMAZON
ROAD y de conformidad con sus instrucciones, con el fin de prestar los servicios.
Según estos contratos aquellas entidades intervienen como encargadas del
tratamiento y, como tales, vienen obligadas a notificar al responsable toda instrucción
que, en su opinión, infrinja la legislación aplicable, cualquier violación de los datos o
reclamación que reciba y a proporcionar al responsable una cooperación y asistencia
plenas; así como a establecer las medidas técnicas y organizativas adecuadas para
proteger los datos. Se prevé, asimismo, que el encargado del tratamiento devuelva al
responsable todos los datos personales o proceda a su destrucción a la terminación
del contrato, a elección del responsable del tratamiento.
Se trata, por tanto, de empresas que prestan servicio a AMAZON ROAD en las
comprobaciones iniciales sobre los transportistas participantes en el programa
?***PROGRAMA.1?, para lo cual tienen suscrito contrato de encargo de tratamiento.
De acuerdo con esto, las citadas entidades no pueden ser consideradas como terceros
y el tratamiento de los datos que realizan no requiere el consentimiento de los
interesados.
Las figuras de ?responsable del tratamiento? y ?encargado del tratamiento? se definen
en el artículo 4 del RGPD como sigue:
. ?Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios
del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros?.
. ?Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/64
servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento?.
Los conceptos de responsable y encargado de tratamiento no son formales, sino
funcionales y deben atender al caso concreto, a las actividades concretas en un
contexto específico.
El responsable del tratamiento lo es desde el momento que decide los fines y los
medios del tratamiento, no perdiendo tal condición el hecho de dejar cierto margen de
actuación al encargado del tratamiento. Así se expresa indubitadamente en las
Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los
conceptos de responsable del tratamiento y encargado en el RGPD:
?Un responsable del tratamiento es quien determina los propósitos y los medios del
tratamiento, es decir, el porqué y el cómo del tratamiento. El responsable del tratamiento debe
decidir sobre ambos propósitos y medios. Sin embargo, algunos aspectos más prácticos de la
implementación ("medios no esenciales") se pueden dejar en manos del encargado del
tratamiento. No es necesario que el responsable tenga realmente acceso a los datos que se
están tratando para calificarse como responsable? (la traducción es nuestra).
En el presente caso, consta que AMAZON ROAD es la responsable de los
tratamientos de datos ahora analizados, toda vez que, conforme define el artículo 4.7
del RGPD, es la entidad que determina la finalidad y medios de los tratamientos
realizados. En su condición de responsable del tratamiento está obligada a cumplir con
lo dispuesto en el transcrito artículo 24 del RGPD y, en especial, en cuanto al control
efectivo y continuado de las ?medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el presente
Reglamento?, entre las que se encuentran las dispuestas en el artículo 28 del RGPD
en relación con los encargados de los tratamientos que actúen en nombre y por cuenta
del responsable. En el apartado 3 de este artículo 28 se establece lo siguiente:
?3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al
Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del
responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, y las obligaciones y derechos del
responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o
una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión
o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al
responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por
razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del
tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas
técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con
su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos
de los interesados establecidos en el capítulo III;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/64
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los
artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a
disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez
finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos
que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de
los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y
contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de
otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los
Estados miembros?.
Es AMAZON ROAD, como responsable, la que puede decidir realizar por si misma
determinadas operaciones de tratamiento o contratar la totalidad o parte del
tratamiento con un encargado.
La esencia de la función del encargado el tratamiento es que los datos personales
sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica,
es el responsable el que determina la finalidad y los medios, al menos los esenciales,
mientras que el encargado del tratamiento tiene la función de prestar servicios a los
responsables del tratamiento. En otras palabras, ?actuando en nombre y por cuenta
del responsable del tratamiento? significa que el encargado del tratamiento está al
servicio del interés del responsable del tratamiento en llevar a cabo una tarea
específica y que, por tanto, sigue las instrucciones establecidas por éste, al menos en
lo que se refiere a la finalidad y a los medios esenciales del tratamiento encomendado.
El responsable del tratamiento es quien tiene la obligación de garantizar la aplicación
de la normativa de protección de datos y la protección de los derechos de los
interesados, así como ser capaz de demostrarlo (artículos 5.2, 24, 28 y 32 del RGPD).
El control del cumplimiento de la legalidad se extiende durante todo el tratamiento,
desde el principio hasta el final. El responsable del tratamiento debe actuar, en
cualquier caso, de forma diligente, consciente, comprometida y activa.
Ese mandato del legislador es independiente de que el tratamiento lo realice
directamente el responsable del tratamiento o de que lo efectúe valiéndose de un
encargado del tratamiento.
Además, el tratamiento ejecutado materialmente por un encargado de tratamiento por
cuenta del responsable del tratamiento pertenece a la esfera de actuación de éste
último, de igual forma que si lo realizara directamente él mismo. El encargado de
tratamiento, en el supuesto examinado, es una extension del responsable del
tratamiento.
A la luz del principio de responsabilidad proactiva (art 5.2 RGPD), el responsable del
tratamiento debe poder demostrar que ha tomado en cuenta todos los elementos
previstos en el RGPD. Antes de externalizar un tratamiento y a fin de evitar posibles
vulneraciones de derechos y libertades de los afectados, el responsable del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/64
tratamiento debe celebrar un contrato, otro acto jurídico o un acuerdo vinculante con la
otra entidad que establezca obligaciones claras y precisas en materia de protección de
datos.
El encargado del tratamiento solo puede realizar tratamientos sobre las instrucciones
documentadas del responsable, a menos que esté obligado a hacerlo por el Derecho
de la Unión o de un Estado miembro, que no es el caso. A este respecto, el artículo 29
del RGPD se refiere al ?Tratamiento bajo la autoridad del responsable o del encargado
del tratamiento? en los términos siguientes:
?El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable
o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo
instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la
Unión o de los Estados miembros?.
El encargado del tratamiento tiene también la obligación de colaborar con el
responsable en garantizar los derechos de los interesados y cumplir las obligaciones
del responsable del tratamiento de conformidad con lo dispuesto en el citado art 28 del
RGPD (y conexos).
Por tanto, el responsable del tratamiento debe establecer modalidades claras para
dicha asistencia y dar instrucciones precisas al encargado del tratamiento sobre cómo
cumplirlas de forma adecuada y documentarlo previamente a través de un contrato o
bien en otro acuerdo (vinculante) y comprobar en todo momento del desarrollo del
contrato su cumplimiento en la forma establecida en el mismo.
En el presente caso, las entidades intervinientes han formalizado el correspondiente
contrato de encargo del tratamiento, que incluye las previsiones del artículo 28 del
RGPD, y han dispuesto las medidas técnicas y organizativas que debe aplicar y
mantener la entidad encargada del tratamiento.
Se concluye, en consecuencia, que los hechos que determinaron la apertura del
procedimiento sancionador, en relación con el acceso y tratamiento de los datos por
parte de Accurate Background, Inc. y Amazon Development Centre (India) Private
Limited, no son constitutivos de una infracción de lo establecido en el artículo 7 del
RGPD, en relación con el artículo 6.1.a) del mismo Reglamento.
IV
El RGPD, como norma común y aplicable de manera directa a los Estados miembros
de la Unión Europea, establece un sistema de protección en aquellos supuestos en
que se prevea la transferencia internacional de datos personales amparados por su
regulación. La finalidad de este sistema es lograr garantizar que la protección que
otorga la norma comunitaria no se vea mermada por la exportación de dichos datos a
países externos a la Unión Europea.
El principio general de este sistema de protección, establecido en el artículo 44 del
RGPD, consiste en que los datos únicamente podrán ser exportados si, por un lado, el
tratamiento objeto de la transferencia es lícito y cumple con lo dispuesto en el RGPD y,
por otro, si cumple con las condiciones que se establecen en el Capítulo V del mismo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/64
texto legal (artículos 44 a 50).
El artículo 45 del RGPD establece, como regla principal, que se podrá realizar una
transferencia de datos personales si el país, territorio u organización internacional
destinataria garantiza un nivel de protección adecuado reconocido por una decisión de
adecuación dictada por la Comisión Europea.
En ausencia de dicha decisión de adecuación, el artículo 46 del RGPD autoriza a
celebrar transferencias si el responsable o el encargado hubiera ofrecido garantías
adecuadas. Estas garantías adecuadas, que se pueden materializar a través de una
serie de instrumentos a que se refiere el mismo artículo, se subdividen a su vez en dos
grupos: aquellos a los que el propio RGPD otorga la naturaleza de garantía adecuada
por sí mismos, y aquellos que adicionalmente necesitarán la autorización de la
autoridad de control competente.
El siguiente escenario que contempla el RGPD, en ausencia de decisión de
adecuación y de garantías adecuadas (incluidas las normas corporativas vinculantes)
es permitir la realización de las transferencias si se cumple alguna de las condiciones
que enuncia el artículo 49.1. del RGPD, que establece lo siguiente:
?1. En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3,
o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas
vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer
país u organización internacional únicamente se realizará si se cumple alguna de las
condiciones siguientes:
a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras
haber sido informado de los posibles riesgos para él de dichas transferencias debido a la
ausencia de una decisión de adecuación y de garantías adecuadas;
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el
responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a
solicitud del interesado;
c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del
interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de
reclamaciones;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras
personas, cuando el interesado esté física o jurídicamente incapacitado para dar su
consentimiento;
g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión
o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la
consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo,
pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que
establece el Derecho de la Unión o de los Estados miembros para la consulta.
Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/64
incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna
de las excepciones para situaciones específicas a que se refiere el párrafo primero del
presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número
limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos
por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y
libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias
concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías
apropiadas con respecto a la protección de datos personales. El responsable del tratamiento
informará a la autoridad de control de la transferencia. Además de la información a que hacen
referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la
transferencia y de los intereses legítimos imperiosos perseguidos?.
En este caso, como ya se expuso en el Fundamento de Derecho III, el proceso previo
de verificación de antecedentes solicita el consentimiento de los interesados para la
comunicación de datos a las mercantiles Accurate Background, Inc. y Amazon
Development Centre (India) Private Limited. Al encontrarse estas empresas ubicadas
en Estados Unidos e India, respectivamente, se estaría produciendo una transferencia
internacional de datos para cuya ejecución sería necesario cumplir con las exigencias
que en torno a esta figura establece el RGPD.
Además, el contrato de servicios que AMAZON ROAD y los participantes en el
programa ?***PROGRAMA.1? suscriben, en su cláusula 13(b), hace referencia a la
cuestión de las transferencias internacionales de la siguiente manera:
?Usted presta su consentimiento para que Amazon y cualquier Entidad Vinculada (conforme
dicho término se define más adelante) lleve a cabo la transferencia de ?datos de carácter
personal? (en el sentido previsto en el Reglamento General de Protección de Datos ?
Reglamento (UE) 2016/679 y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal relativos a usted a cualquier Entidad Vinculada situada fuera del
Espacio Económico Europeo (el ?EEE?) para promover los intereses legítimos de Amazon y/o
cualquier Entidad Vinculada [?] se entiende por ?Entidad Vinculada? la ?sociedad de cartera?
de Amazon, cualquier ?sociedad filial? o una filial de su sociedad de cartera?.
Del ello parece desprenderse, en principio, que la entidad reclamada pretende
fundamentar la transferencia internacional de datos personales en la figura del
consentimiento del interesado, que el artículo 49.1.a) del RGPD configura como una
de las condiciones que, excepcionalmente, permiten la realización de transferencias
internacionales en ausencia de una decisión de adecuación y de garantías adecuadas.
Ahora bien, para que pudiera concurrir esta circunstancia, este consentimiento deberá
no solo cumplir con los requisitos generales que el RGPD impone en relación con el
consentimiento (libre, informado, específico e inequívoco), sino que además tendría
que otorgarse de manera explícita y la información a proporcionar con carácter previo
debería hacer referencia a los riesgos para el interesado acerca de la realización de
una transferencia internacional en ausencia de decisión de adecuación y de garantías
adecuadas.
El requisito suplementario de que el consentimiento en esta circunstancia revista la
formalidad de ser explícito equivale, de acuerdo con las Directrices 5/2020 del Comité
Europeo de Protección de Datos, a realizar una declaración expresa del
consentimiento. La forma más evidente sería realizando una declaración escrita,
aunque en el entorno digital o en línea pueden habilitarse formas que podrían suponer
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/64
un consentimiento explícito válido, como, por ejemplo, rellenar un impreso electrónico
o utilizar la firma electrónica. Igualmente, en el caso de páginas web, este
consentimiento explícito se podría recoger insertando unas casillas con las opciones
de aceptar y no aceptar junto a un texto referido al consentimiento que sea claro para
el interesado, siempre que se adopten medidas de seguridad adecuadas al entorno en
el que se presta el consentimiento.
En este caso, teniendo en cuenta lo expuesto sobre los requisitos que debe reunir el
consentimiento, en el acuerdo de apertura del procedimiento se realizó un análisis del
clausulado del contrato en referencia a las transferencias internacionales (cláusula
13.b), resultando que el consentimiento solicitado no sería acorde con lo dispuesto en
el RGPD, atendiendo a la indefinida información facilitada a los interesados y que
únicamente se habilita la aceptación final del clausulado del contrato. Con este motivo,
dicho acuerdo de apertura contiene una imputación por infracción de lo establecido en
el artículo 49.1 del RGPD, tipificada en el artículo 83.5 de la misma norma.
Posteriormente, con ocasión del trámite de alegaciones a la apertura, AMAZON ROAD
ha manifestado que las transferencias internacionales que realiza a empresas del
grupo o a sus proveedores situados fuera del EEE no están basadas en el
consentimiento del interesado y cumplen con las garantías exigidas por el RGPD.
Y señala al respecto que tiene suscritas con cada entidad las correspondientes
cláusulas contractuales tipo aprobadas por la Comisión Europea mediante la Decisión
2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la
transferencia de datos personales a los encargados del tratamiento establecidos en
terceros países, de conformidad con la Directiva 95/46/CE, las cuales constituyen una
de las garantías que pueden ofrecer los responsables del tratamiento de acuerdo con
lo dispuesto en el artículo 46 del RGPD.
Además, ha acreditado que Accurate Background Inc, desde el 11/08/2016, era una
entidad adherida al Escudo de Privacidad UE-EEUU.
Con las alegaciones a la apertura ha aportado los contratos de encargo del
tratamiento, las cláusulas tipo suscritas y las medidas que deben aplicarse. Dichas
cláusulas contractuales tipo se corresponden con las aprobadas por la Comisión
Europea mediante la Decisión 2010/87/UE.
Según se expuso anteriormente, el artículo 46 del RGPD admite que puedan
realizarse transferencias internacionales, sin que se requiera ninguna autorización
expresa de una autoridad de control, cuando el responsable o el encargado ofrezcan
garantías adecuadas. Este artículo establece lo siguiente:
?Artículo 46. Transferencias mediante garantías adecuadas
1. A falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del
tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional
si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con
derechos exigibles y acciones legales efectivas.
2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se
requiera ninguna autorización expresa de una autoridad de control, por:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/64
[?]
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas
por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93,
apartado 2;
[?]?.
Este sería el caso de las transferencias amparadas en las garantías proporcionadas
por los contratos basados en las cláusulas contractuales tipo de la Decisión
2010/87/UE, como las suscritas por AMAZON ROAD, que permanecen en vigor.
La Decisión de Ejecución (UE) 2021/914, de la Comisión, de 4 de junio de 2021, que
aprueba las nuevas cláusulas contractuales tipo para la transferencia de datos
personales a terceros países de conformidad con el RGPD, establece un período de
validez transitorio para los contratos celebrados en el marco de la decisión 2010/87/UE
hasta el 27/09/2022 (se deroga esta decisión con efectos a partir del 27/09/2021, pero
se considera que los contratos celebrados antes de esta fecha ofrecen garantías
adecuadas en el sentido del artículo 46.1 del RGPD hasta el 27/09/2022, siempre que
las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas
y que las cláusulas contractuales tipo garanticen que la transferencia de datos
personales esté sujeta a garantías adecuadas -artículo 4 de la Decisión de Ejecución
(UE) 2021/914).
En consecuencia, de acuerdo con lo expuesto, las transferencias internacionales
objeto de las actuaciones no requieren que el interesados preste su consentimiento, ya
que este consentimiento solo opera, según el artículo 49.1.a) del RGPD, como una
excepción que habilitaría para llevar a cabo esta transferencia en ausencia de decisión
específica de adecuación y de garantías adecuadas de conformidad con el artículo 46
del mismo Reglamento.
Procede concluir, por tanto, que los hechos que determinaron la apertura del
procedimiento sancionador, en relación con las transferencias internacionales que
AMAZON lleva a cabo en el marco del programa ?***PROGRAMA.1?, no son
constitutivos de una infracción de lo establecido en el artículo 49.1 del RGPD.
V
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las
operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se
ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/64
manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
VI
Los hechos expuestos incumplen lo establecido en el artículo 6.1 del RGPD, en
relación con el artículo 10 de la misma norma, así como el artículo 10 de la
LOPDGDD, en lo referente al tratamiento de datos personales relativos a condenas e
infracciones penales, lo que supone la comisión de una infracción tipificada en el
artículo 83.5 del RGPD y en el artículo 71 de la LOPDGDD.
El artículo 83 del RGPD, bajo la rúbrica ?Condiciones generales para la imposición de
multas administrativas? dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una
empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a
tenor de los artículos 5, 6, 7 y 9?.
Asimismo, el artículo 71 de la LOPDGDD señala que ?Constituyen infracciones los
actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del
Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica.?
Por su parte, el artículo 72.1 de la LOPDGDD considera como ?muy grave?, a efectos
del plazo de prescripción de las infracciones:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del
tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
[?]
f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de
seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE)
2016/679 y en el artículo 10 de esta ley orgánica.
[?]?.
A fin de determinar la multa administrativa a imponer se han de observar las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/64
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas con
arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los
apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso
individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58,
apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía
en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate así como el número de
interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los
daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta
de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el
responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el mismo
asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación
aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los
beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de
la infracción?.
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD
dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el
apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también
podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la
infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción,
que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan
controversias entre aquellos y cualquier interesado?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/64
En este caso, considerando la gravedad de la infracción constatada, procede la
imposición de multa y, en su caso, la adopción de medidas. A este respecto, La multa
que se imponga deberá ser, en cada caso individual, efectiva, proporcionada y
disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de las sanciones
a imponer en el presente caso, se considera que procede graduar las multas de
acuerdo con los siguientes criterios:
1. Infracción del artículo 6.1 del RGPD en relación con el artículo 10 de la misma
norma, así como el artículo 10 de la LOPDGDD, tipificada en el artículo 83.5.a) y en el
artículo 71 de la LOPDGDD, y calificada como muy grave a efectos de prescripción en
el artículo 72.1 de la LOPDGDD:
Se estiman concurrentes como agravantes los criterios de graduación siguientes:
. Artículo 83.2.a) del RGPD: ?a) la naturaleza, gravedad y duración de la
infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación
de tratamiento de que se trate así como el número de interesados afectados y el
nivel de los daños y perjuicios que hayan sufrido?.
. La naturaleza y gravedad de la infracción, atendiendo a la naturaleza de la
información personal a la que se refiere la conducta infractora.
. La duración de la infracción, considerando el período durante el cual
AMAZON ROAD exigió a los transportistas el certificado de ausencia de
antecedentes penales.
Además, la infracción que se sanciona tiene carácter de infracción
permanente, considerando que sus efectos se mantienen en el tiempo más
allá del hecho inicial y durante todo el tiempo que dura la conducta infractora.
Con la recogida y conservación del certificado de ausencia de antecedentes
penales se crea un estado antijurídico que perdura en el tiempo, cuya
cesación depende de quien comete la infracción. Sobre este concepto, en
Sentencia de 27/05/2006, el TS ha declarado que ?constituyen infracciones
permanentes aquellas conductas antijurídicas que persisten en el tiempo y no
se agotan con un solo acto, determinando el mantenimiento de la situación
antijurídica a voluntad del autor, caso del desarrollo en el tiempo de
actividades sin las preceptivas autorizaciones y otros supuestos semejantes?.
En relación con este factor de graduación, la reclamada ha alegado que los
certificados negativos se conservaron durante 90 días para realizar la
verificación, por lo que, en la actualidad y desde mayo de 2020 (tres meses
después de suspender la recogida de estos certificados en marzo de 2020),
no posee ningún dato de este tipo. Como prueba, aporta una ?certificación? de
Accurate Background, de 19/01/2022, en el que declara que cualquier dato
relativo a los candidatos del programa ?***PROGRAMA.1? se elimina a los 90
días, según las instrucciones de la cuenta de Amazon. Así, entiende dicha
entidad que la infracción no puede calificarse como permanente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/64
Sin embargo, estas circunstancias no se ajustan a las constataciones puestas
de manifiesto en las actuaciones, ni habían sido manifestadas por AMAZON
ROAD con anterioridad. Las únicas instrucciones impartidas por esa entidad a
Accurate Background sobre el tratamiento de los datos son las que constan
en el contrato de encargo del tratamiento, las cuales, en cuanto a la
conservación de los datos, estipulan que el encargado del tratamiento
devuelva al responsable todos los datos personales o proceda a su
destrucción a la terminación del contrato, a elección del responsable del
tratamiento, y que los datos personales serán tratados por el encargado del
tratamiento durante el período de vigencia de los servicios.
Además, al tratarse de un requisito que condicionaba la contratación, ya
conoce la reclamada que los transportistas adheridos al programa
?***PROGRAMA.1? no tienen antecedentes penales.
En todo caso, la infracción no perdería su carácter de permanente, en la
medida en que vino produciéndose desde que AMAZON ROAD recibió el
?negocio de operador de transporte? y sucedió a Amazon Spain Fulfillment,
S.L.U. en todas las relaciones jurídicas afectas a dicho negocio, tras la
escisión que tuvo lugar en fecha 28/06/2019.
. El número de interesados: las operaciones de tratamiento que incurren en la
infracción señalada derivan de un procedimiento general establecido por la
reclamada que afecta a todos los aspirantes a participar en el programa
?***PROGRAMA.1?, respecto a los cuales se solicita el certificado de
antecedentes penales.
La reclamada ha manifestado que el tratamiento de datos relacionado con los
certificados negativos de antecedentes penales únicamente afectó al 16,76%
de todos los conductores de última milla registrados en España, al
representar el programa ?***PROGRAMA.1? una pequeña proporción de los
proveedores de transporte que realizan entregas en España (nunca han
superado el 5%). Sin embargo, no aporta prueba alguna al respecto ni detalla
cuánto son los afectados que quedan incluidos en tales porcentajes.
En las alegaciones a la propuesta, la reclamada insiste en las cifras
señaladas, pero sin aportar prueba alguna y sin especificar el número de
afectados que supuestamente representan esos porcentajes, a pesar de que
esta falta de justificación y detalle ya se hizo patente en la propuesta de
resolución.
. El nivel de daños y perjuicios sufrido por los interesados, en la medida en
que el tratamiento de los datos relativos a antecedentes penales ha
condicionado sus opciones de contratación y ha incrementado los riesgos
sobre su privacidad.
Sobre este factor agravante, AMAZON ROAD señala que requerir la
certificación negativa de antecedentes penales no ha perjudicado a los
participantes en el programa porque contrató a todos los transportistas que
disponían de ese documento, lo que implica, de contrario, que no contrató a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/64
aquellos que no disponían de tal documento cuando optaron al trabajo;
asimismo, no considera a posibles interesaos que pudieron optar por no
acudir al programa por este motivo.
Nada alega, en cambio, sobre la intrusión en la privacidad de los interesados
y los riesgos que para la misma representa ese certificado.
. Artículo 83.2.b) del RGPD: ?b) la intencionalidad o negligencia en la infracción".
La negligencia apreciada en la comisión de la infracción, teniendo en cuenta que
los requisitos exigidos por la entidad reclamada a los transportistas van más allá
de lo requerido por la normativa reguladora del transporte de mercancías.
Esta circunstancia, además de las significadas en el apartado anterior, ponen de
manifiesto la actuación negligente de AMAZON ROAD. A este respecto, se tiene
en cuenta lo declarado en Sentencia de la Audiencia Nacional de 17/10/2007 (rec.
63/2006) que, partiendo de que se trata de entidades cuya actividad lleva
aparejado en continuo tratamiento de datos, indica que ??el Tribunal Supremo
viene entendiendo que existe imprudencia siempre que se desatiende un deber
legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia
exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el
caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto?.
Se trata de una empresa que realiza tratamientos de datos personales de manera
sistemática y continua y que debe extremar el cuidado en el cumplimiento de sus
obligaciones en materia de protección de datos.
AMAZON ROAD cuestiona la negligencia apreciada en la comisión de la
infracción y considera, incluso, que su actuación no puede ser tachada de
imprudente o irresponsable, sino diligente y merecedora de ser valorada como
una atenuante, al haber acomodado su comportamiento a la interpretación de la
normativa de protección de datos surgida de la propia Agencia y de los tribunales
de Justicia.
Según dicha entidad, empezó a requerir los certificados de ausencia de
antecedentes penales antes de que la Agencia tuviese un criterio claro,
consolidado, expreso y público al respecto, el cual, además, no coincide con el de
otras autoridades de protección de datos; y antes de que fuese dictada la
Sentencia de la Audiencia Nacional de 10 de febrero de 2020; habiendo cesado
en esta recogida del certificado tan pronto conoció la existencia de un criterio
contrario a la interpretación que, de buena fe, entendió apropiada a las actividades
que se iban a llevar a cabo.
Asimismo, alega al respecto que existían resoluciones de la propia Agencia que
avalaban la interpretación que Amazon Road realizó del artículo 10 del RGPD;
realizó una consulta telefónica al Ministerio de Justicia que, con carácter informal,
avaló dicha propuesta; que la interpretación literal del artículo 10 del RGPD y 10
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/64
de la LOPDGDD sugería que dichos artículos no se refieren a cualquier dato
relacionado con antecedentes penales, sino los datos relativos a condenas e
infracciones penales; que esta interpretación está avalada por otras jurisdicciones;
y resultaba acorde con la anterior normativa sobre protección de datos; y que en
marzo de 2020 suspendió el tratamiento de dichos certificados negativos.
La pretensión de AMAZON ROAD no puede aceptarse. Entiende esta Agencia
que la diligencia tiene que deducirse de hechos concluyentes, que consten
debidamente acreditados y directamente relacionados con los elementos que
configuran la infracción en la normativa vigente, de tal modo que pueda deducirse
que la misma se ha producido a pesar de todos los medios dispuestos por el
responsable para evitarla.
En este caso, no entiende esta Agencia que los argumentos defendidos por la
entidad reclamada tengan ese carácter.
No explica dicha entidad cómo puede aceptarse que su conducta ha sido diligente
por estar ajustada a una normativa no vigente, para el caso de que así fuese, que
no lo es. En los fundamentos de esta resolución ya se ha explicado que la
normativa anterior ya contemplaba la prohibición de tratar datos personales
relativos a infracciones penales, con referencia expresa a la Directiva 95/46/CE y
al Convenio N.º 108 del Consejo de Europa. La derogada Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal, en su artículo
7.5, establecía que estos datos sólo podían anotarse en registros de las
Administraciones Públicas competentes.
Tampoco explica AMAZON ROAD qué otras jurisdicciones han avalado su
?interpretación? de las normas aplicables.
Menos aceptable aún es defender esa diligencia en base a una supuesta consulta
telefónica que la propia entidad reclamada califica como ?informal?. Frente a ello,
el RGPD ha previsto un mecanismo como la ?consulta previa? para que los
responsables puedan consultar a la autoridad de control antes de realizar un
tratamiento de datos que entrañe un alto riesgo.
Sí consta acreditado, por otra parte, que la suspensión en la recogida de los
certificados de antecedentes penales se adoptó en marzo con carácter temporal,
pero por razones ajenas a las expresadas. Esta decisión se adoptó por la
situación de estado de alarma y la dificultad de obtener los repetidos certificados
durante ese período.
Nada se dice, en cambio sobre los análisis previos realizados para determinar la
viabilidad del tratamiento de datos y su base jurídica; nada sobre los riesgos que
conlleva y las evaluaciones de impacto realizadas; y tampoco sobre la
ponderación de intereses en juego que requiere un tratamiento de datos basado
en el interés legítimo del responsable.
AMAZON ROAD ha pretendido en general reducir la cuestión suscitada, también
en relación con la diligencia, a una cuestión interpretativa de la norma, pero
omitiendo aspectos sustanciales de la misma que determinarían igualmente la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/64
ilicitud del tratamiento de datos personales, aunque se aceptara la ?interpretación?
de la reclamada. No niega que se traten datos personales, pero omite que el
tratamiento de estos datos requiere en todo caso de una base jurídica y omite
también todos los argumentos que se exponen a este respecto en los
Fundamentos de Derecho de este acto. De acuerdo con estos argumentos,
suficientemente desarrollados, que han sido completamente ignorados por
AMAZON ROAD, no puede concluirse que la actuación de esta entidad ha sido
diligente.
. Artículo 83.2.d) del RGPD: ?d) el grado de responsabilidad del responsable o del
encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas
que hayan aplicado en virtud de los artículos 25 y 32?.
La entidad imputada no tiene implantados procedimientos adecuados de
actuación en la recogida y tratamiento de los datos de carácter personal, en lo que
se refiere a la recogida y tratamiento de datos personales de los transportistas
aspirantes a participar en el programa ?***PROGRAMA.1?, de modo que la
infracción no es consecuencia de una anomalía en el funcionamiento de dichos
procedimientos sino un defecto del sistema de gestión de los datos personales
diseñado por la responsable. Dicho procedimiento se adoptó por la reclamada a
iniciativa propia estableciendo unas exigencias que excedían las previsiones
normativas aplicables.
En opinión de AMAZON ROAD, la infracción resulta de una interpretación de la
norma y nada tiene que ver con el sistema de gestión de datos personales
diseñado por la misma, y añade que en sus escritos anteriores expuso las
medidas técnicas y organizativas implementadas. Sin embargo, lo que aquí se
valora tiene que ver, como bien se ha expresado anteriormente, con la decisión
adoptada por la propia entidad reclamada, en su ámbito de responsabilidad, de
incluir la recogida de los certificados de antecedentes penales en cuestión entre la
documentación que debía aportar un participante en ?***PROGRAMA.1?. La
infracción responde, por tanto, a una decisión de procedimiento y no a una
anomalía puntual. Como se ha dicho, esa decisión se adopta más allá de lo
exigido por el marco normativo que regula la actividad de los contratistas.
. Artículo 83.2.g) del RGPD: ?g) las categorías de los datos de carácter personal
afectados por la infracción?.
Se recopilan y tratan datos de carácter personal relativos a condenas e
infracciones penales, categoría especialmente merecedora de garantías.
Alega AMAZON ROAD que el tratamiento de datos relacionado con los
certificados negativos de antecedentes penales no puede ser comparado con el
tratamiento de datos sobre condenas e infracciones penales. A este respecto, nos
remitimos a lo expresado en los Fundamentos de derecho de este acto.
. Artículo 76.2.b) de la LOPDGDD: ?b) La vinculación de la actividad del infractor
con la realización de tratamientos de datos personales?.
La alta vinculación de la actividad del infractor con la realización de tratamientos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/64
de datos personales, considerando el nivel de implantación de la entidad y la
actividad que desarrolla, en la que se ven implicados datos personales de miles
de interesados, ya sean clientes destinatarios de los envío, empleados o
contratistas autónomos. Esta circunstancia determina un mayor grado de
exigencia y profesionalidad y, consiguientemente, de responsabilidad de la
entidad reclamada en relación con el tratamiento de los datos.
Señala la reclamada a este respecto que su actividad está relacionada con la
logística, como operador de transporte, y no con la explotación de bases de datos.
Sin embargo, este hecho no contradice las circunstancias consideradas en el
párrafo anterior, las cuales conllevan la exigencia de un grado alto de
profesionalidad en el tratamiento de los datos personales.
Lo mismo puede decirse, específicamente, en relación con el tratamiento de datos
en el ámbito laboral, considerando el número de empleados de que dispone y de
profesionales que le prestan servicio.
Nada que ver con el precedente que cita en sus alegaciones, referido a una
empresa con un único cliente, frente a los miles que atiende AMAZON ROAD.
. Artículo 83.2.k) del RGPD: ?k) cualquier otro factor agravante o atenuante
aplicable a las circunstancias del caso, como los beneficios financieros obtenidos
o las pérdidas evitadas, directa o indirectamente, a través de la infracción?.
La condición de gran empresa y volumen de negocio de AMAZON ROAD. Consta
en las actuaciones que dicha entidad tiene la condición de (?).
Solicita AMAZON ROAD que esta circunstancia agravante se valore atendiendo a
las cifras del ejercicio 2019, inferiores a las ofrecidas en 2020, pero no considera
dicha entidad que el período de desarrollo de operaciones en 2019 es inferior a
seis meses, contados desde la fecha en que recibió de Amazon Spain Fulfillment,
S.L.U. el negocio de operador de transporte. Extrapolando las cifras de 2019 a un
período de un año, las diferencias con 2020 no son significativas.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
Infracción del artículo 6.1 del RGPD en relación con el artículo 10 de la misma norma,
así como el artículo 10 de la LOPDGDD, es de 2.000.000 euros (dos millones de
euros).
Ninguno de los factores de graduación considerados queda atenuado por el hecho de
que la entidad reclamada no haya sido objeto de un procedimiento sancionador con
anterioridad, circunstancia esta que ha sido alegada por la entidad reclamada para que
sea considerada como una atenuante.
A este respecto, la Sentencia de la AN, de 05/05/2021, rec. 1437/2020, indica:
?Considera, por otro lado, que debe apreciarse como atenuante la no comisión de una
infracción anterior. Pues bien, el artículo 83.2 del RGPD establece que debe tenerse en cuenta
para la imposición de la multa administrativa, entre otras, la circunstancia "e) toda infracción
anterior cometida por el responsable o el encargado del tratamiento". Se trata de una
circunstancia agravante, el hecho de que no concurra el presupuesto para su aplicación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/64
conlleva que no pueda ser tomada en consideración, pero no implica ni permite, como pretende
la actora, su aplicación como atenuante?.
Según el citado artículo 83.2 del RGPD, al decidir la imposición de una multa
administrativa y su cuantía de debe tener en cuenta ?toda infracción anterior cometida
por el responsable?. Es una previsión normativa que no incluye la inexistencia de
infracciones precedentes como factor de graduación de la multa, el cual debe
entenderse como un criterio próximo a la reincidencia, aunque más amplio.
Lo mismo puede decirse respecto de la ausencia de beneficios también alegada como
atenuante por la entidad reclamada. Sobre este criterio, el artículo 76.2 de la
LOPDGDD, en su letra c), incluye entre los criterios que deben sopesarse a la hora de
fijar la cuantía de la sanción ?los beneficios obtenidos como consecuencia de la
comisión de la infracción? y no la ausencia de estos beneficios. La misma Sentencia de
la Audiencia Nacional citada, de 05/05/2021, se refiere a la necesidad de que concurra
el ?presupuesto? de hecho contemplado en la norma para que pueda aplicarse un
determinado criterio de graduación, y, como se ha dicho, la ausencia de beneficios no
está entre las circunstancias reguladas en el artículo citado.
Este criterio de graduación se establece en la LOPDGDD de acuerdo con lo previsto
en el artículo 83.2.k) del RGPD, según el cual las multas administrativas se impondrán
teniendo en cuenta cualquier ?factor agravante o atenuante aplicable a las
circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas
evitadas, directa o indirectamente, a través de la infracción?, entendiéndose que evitar
una pérdida tiene la misma naturaleza a estos efectos que la obtención de beneficios.
Si a esto añadimos que las sanciones deberán ser ?en cada caso individual? efectivas,
proporcionadas y disuasorias, conforme a lo previsto en el artículo 83.1 del RGPD,
admitir la ausencia de beneficios como una atenuante, no solo es contrario a los
presupuestos de hechos contemplados en el artículo 76.2.c), sino también contrario a
lo establecido en el artículo 83.2.k) del RGPD y a los principios señalados.
Así, valorar la ausencia de beneficios como una atenuante anularía el efecto
disuasorio de la multa, en la medida en que minora el efecto de las circunstancias que
inciden efectivamente en su cuantificación, reportando al responsable un beneficio al
que no se ha hecho merecedor. Sería una rebaja artificial de la sanción que puede
llevar a entender que infringir la norma sin obtener beneficios, financieros o del tipo
que fuere, no le producirá un efecto negativo proporcional a la gravedad del hecho
infractor.
En todo caso, las multas administrativas establecidas en el RGPD, conforme a lo
establecido en su artículo 83.2, se imponen en función de las circunstancias de cada
caso individual y, en el presente, no se estima que la ausencia de beneficios sea un
factor de graduación adecuado y determinante para valorar la gravedad de la conducta
infractora. Solo en el caso de que esta ausencia de beneficios sea relevante para
determinar el grado de antijuricidad y de culpabilidad presentes en la concreta
actuación infractora podrá considerarse como una atenuante, en aplicación del artículo
83.2.k) del RGPD, que se refiere a ?cualquier otro factor agravante o atenuante
aplicable a las circunstancias del caso?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/64
Sobre el hecho de que la reclamada no haya sido sancionada con anterioridad, en sus
últimas alegaciones, cita tres precedentes en los que esta Agencia ha considerado
esta circunstancia como una atenuante. Uno de estos precedentes también se invoca
para solicitar que se trate como atenuante la no obtención de beneficio alguno por los
hechos reclamados.
A este respecto, se considera lo establecido en el artículo 35.1.c) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, según el cual un acto administrativo puede separarse del criterio seguido en
actuaciones precedentes, siempre que se motive adecuadamente dicha decisión
Por otra parte, con el propósito de que sea considerada una circunstancia atenuante,
la reclamada ha manifestado que el tratamiento de datos objeto de la reclamación fue
suspendido en marzo de 2020 y no ha sido reanudado. Sobre esta cuestión, debe
señalarse que la citada entidad no ha aportado prueba alguna; que dicha decisión, de
confirmarse, habría sido adoptada con la intervención previa de la AEPD y por razón
de la reclamación que ha motivado las actuaciones; y que resulta insuficiente para
?poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción?,
según los términos del artículo 83.2.f) del RGPD, o ?para paliar los daños y perjuicios
sufridos por los interesados?, según el apartado 2.c) del mismo artículo. No puede
entenderse como atenuante, en ningún caso, la cesación de la conducta vulneradora
del ordenamiento jurídico. Mitigar los efectos adversos o paliar los daños y perjuicios
causados implican actuaciones a mayores que la mera cesación de la conducta, a los
efectos de restablecer, en la medida de los posible, los derechos de los interesados.
AMAZON ROAD insiste en este hecho en el escrito de alegaciones a la propuesta,
aclarando que esta decisión estuvo motivada por las circunstancias del momento, en
referencia expresa a la situación de pandemia, y que así lo comunicó a los usuarios
del programa ?***PROGRAMA.1? mediante correo electrónico de marzo de 2020.
Señala, asimismo, que dicha suspensión temporal se convirtió en definitiva tras
conocer la Sentencia de 10/02/2020, dictada por la Sala de lo Social de la Audiencia
Nacional, sin detallar cuándo se tomó esa decisión; y que todo ello ocurrió antes de la
apertura del procedimiento sancionador.
Aporta copia del correo supuestamente enviado a los transportistas en marzo, pero
ninguna prueba sobre su envío efectivo. En todo caso, cabe destacar que, según se
expresa en el texto del correo aportado, la suspensión temporal de la recogida del
certificado de antecedentes penales se adopta por la imposibilidad de obtenerlo debido
al estado de alarma. En este mismo correo se emplaza a los destinatarios a aportar el
certificado de antecedentes penales en un plazo de 60 días (?No obstante, deberás
subir este documento en un plazo de 60 días desde la finalización del registro en
***PROGRAMA.1. Si pasado este plazo no has subido el documento, dejarás de ser
elegible para participar en el programa ***PROGRAMA.1?).
Debe significarse, además, que AMAZON ROAD, en el escrito de respuesta al traslado
de la reclamación, de fecha 30/06/2020, aun calificaba aquella suspensión como
temporal. Luego, la decisión de no recabar aquellos certificados se adopta una vez
conocida la reclamación por medio de esta Agencia.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/64
VII
La infracción cometida puede conllevar la imposición al responsable de la adopción de
medidas adecuadas para ajustar su actuación a la normativa mencionada en este
acto, de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD, según el
cual cada autoridad de control podrá ?ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado [?]?.
Así, procede requerir a la entidad responsable para que, en el plazo que se indica en
la parte dispositiva, adecúe a la normativa de protección de datos personales las
operaciones de tratamiento que realiza y la información que facilita a los interesados,
con el alcance expresado en los Fundamentos de Derecho del presente acuerdo.
En concreto, procede requerir a AMAZON ROAD para que cese en la conducta
infractora, en cuanto a la exigencia de un certificado de ausencia de antecedentes
penales a los aspirantes en el programa ?***PROGRAMA.1?; se corrijan los efectos de
la infracción que se hubiese cometido, lo que conlleva la supresión de toda la
información relativa a dichos certificados que hubiesen podido aportar los
transportistas contratados o aspirantes; y se lleve a cabo la necesaria adecuación, en
este caso, a las exigencias contempladas en los artículos 6.1 del RGPD, en relación
con el artículo 10 de la misma norma, y artículo 10 de la LOPDGDD.
La entidad reclamada afirma que no recaba los certificados negativos de los
participantes en el programa ?***PROGRAMA.1? desde marzo de 2020 y que tampoco
conserva dichos certificados, alegando que se conservaban únicamente por 60 días
desde la verificación de antecedentes. Sin embargo, no ha aportado ninguna
documentación al respecto que acredite que efectivamente ha adoptado estas
medidas, habiendo suprimido esta exigencia en los procesos de selección que sigue
en la actualidad. Así, no consta en las actuaciones que haya rectificado la información
relativa a estos procesos o el proceso de registro en su aplicación móvil, el contrato
que se suscribe con los interesados, etc.
Sobre la eliminación de los certificados de antecedentes penales a los 90 días, ya se
ha dicho con anterioridad que esa supuesta eliminación no se ajusta a las
estipulaciones que constan en los contratos suscritos por AMAZON ROAD con el
encargado del tratamiento, que tiene encomendada la función de recabar y analizar la
documentación de los aspirantes al programa ?***PROGRAMA.1?. No consta
acreditado que AMAZON ROAD haya modificado sus instrucciones iniciales al
respecto.
Por otra parte, dicha entidad deberá efectuar las aclaraciones oportunas en la
información en materia de protección de datos personales que facilita a los
interesados, en relación con la naturaleza que se atribuye a la intervención en el
tratamiento de los datos por parte de Accurate Background, Inc. y Amazon
Development Centre (India) Private Limited y sobre las circunstancias que sirven de
base a las transferencias internacionales de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/64
AMAZON ROAD deberá, asimismo, aportar los medios acreditativos del cumplimiento
de lo requerido.
A este respecto, se advierte que la no atención de los requerimientos de este
organismo puede ser considerado como una infracción administrativa grave al ?no
cooperar con la Autoridad de control? ante tales requerimientos, pudiendo ser valorada
tal conducta a la hora de la apertura de un procedimiento administrativo sancionador
con multa pecuniaria.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMAZON ROAD TRANSPORT SPAIN, S.L., con
CIF B88405303, por una infracción del artículo 6.1 del RGPD, en relación con el
artículo 10 del RGPD y del artículo 10 de la LOPDGDD, tipificadas en el artículo 83.5
del RGPD y en el artículo 71 de la LOPDGDD, y calificada como muy grave a efectos
de prescripción en el artículo 72.1 de la LOPDGDD, una multa de 2.000.000 euros
(dos millones de euros).
SEGUNDO: DECLARAR la inexistencia de infracciones en relación con la imputación
a la entidad AMAZON ROAD TRANSPORT SPAIN, S.L. de una posible vulneración de
lo establecido en los artículos 7 y 49.1 del RGPD.
TERCERO: REQUERIR a la entidad AMAZON ROAD TRANSPORT SPAIN, S.L., para
que, en el plazo de un mes, contado desde la notificación de la presente resolución,
adecúe a la normativa de protección de datos personales las operaciones de
tratamiento que realiza y la información que facilita a los interesados, con el alcance
expresado en el Fundamento de Derecho VII de esta resolución. En el plazo indicado,
AMAZON ROAD TRANSPORT SPAIN, S.L. deberá justificar ante esta Agencia
Española de Protección de Datos la atención del presente requerimiento.
CUARTO: NOTIFICAR la presente resolución a la entidad AMAZON ROAD
TRANSPORT SPAIN, S.L.
QUINTO : Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/64
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
De conformidad con lo establecido en el artículo 76.4 de la LOPDGDD y dado que el
importe de la sanción impuesta es superior a un millón de euros, será objeto de
publicación en el Boletín Oficial del Estado la información que identifique al infractor, la
infracción cometida y el importe de la sanción.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-231221
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es