Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00281-2021 de 28 de diciembre de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 204 min
Órgano: Agencia Española de Protección de Datos
Fecha: 28/12/2022
Num. Resolución: PS-00281-2021
Cuestión
1 / 75Expediente N.º: PS/00281/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en lo sucesivo, la parte reclamante) interpone...
Contestacion
1/75
? Expediente N.º: PS/00281/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en lo sucesivo, la parte reclamante) interpone reclamación ante la
Agencia Española de Protección de Datos (AEPD) con fecha 25/02/2021.La
reclamación se dirige contra VODAFONE ESPAÑA, S.A.U., con NIF A80907397 (en
adelante, la parte reclamada o VODAFONE). La reclamación se basa en que la
reclamada ha dado de alta una línea telefónica prepago asociada al NIF de la
reclamante, quien niega haberla contratado; ha consultado el sistema de información
crediticia de EQUIFAX utilizando como criterio de búsqueda el NIF de la reclamante
pese a no ostentar un interés legítimo para ese tratamiento; no ha atendido los
derechos de acceso y supresión ejercidos por la reclamante y ha respondido a su
solicitud de supresión que, al existir una línea vinculada a su NIF, ?no podrá suprimir
sus datos hasta que no llegue la fecha de expiración de la línea siempre y cuando el
propietario no realice alguna recarga?.
La reclamante ha aportado anexos a la reclamación estos documentos:
1. Copia de ocho correos electrónicos que intercambió desde su dirección electrónica,
***USUARIO.1@gmail.com, con VODAFONE en la dirección
derechosprotecciondatos@vodafone.es.
1.1.- De fecha 19/12/2020, enviado por la reclamante, en el que solicita el acceso a
sus datos que pudieran figuran en los registros de VODAFONE y con el que le remite
una copia de su DNI.
1.2.- De 21/12/2020 a las 19:20 horas, enviado por VODAFONE, en el que responde
que, a la vista de su solicitud de acceso, de conformidad con el artículo 15 del RGPD,
?Lamentamos informarle de que no se encuentra legitimada para obtener el derecho
de acceso con respecto a los datos personales (Documento Nacional de Identidad)
que constan en el sistema de VODAFONE ESPAÑA ya que usted no registra en el
mismo como titular de los datos requeridos. Le recordamos que, si lo desea, puede
ejercitar sus derechos de supresión, acceso, limitación, rectificación y portabilidad
mediante el envío de una comunicación por escrito, acompañada de copia de su DNI o
documento identificativo equivalente, a la dirección [...]? (El subrayado es nuestro)
1.3.- De 21/12/2020 a las 20:21 horas, enviado por la parte reclamante con este texto:
?Se adjunta denuncia interpuesta ante la policía nacional debido a una usurpación de
mi identidad, por lo cual les estoy solicitando el acceso a los datos personales que
puedan aparecer relacionados con mi DNI o nombre, ya que ustedes han consultado
mis datos el día 15/09/2020 18:40:27 en un fichero de Equifax de manera ilegítima ya
que no tengo ningún contrato ni relación con ustedes.? La reclamante le remite a la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/75
reclamada copia de la denuncia policial, de su DNI y de su solicitud de ejercicio del
derecho de acceso.
1.4.- De 29/12/2020, enviado por VODAFONE con una respuesta idéntica a la del
mensaje electrónico que dirigió a la reclamante el 21/12/2020.
1.5.- De 24/01/2021, enviado por la reclamante, en el que ejerce el derecho de
supresión de sus datos. El texto es el siguiente: ?Se envía este email para solicitar la
supresión de mis datos de sus bases de datos, ya que no me proporcionan la
información relacionada con mi DNI, y no deberían tener ninguno de mis datos ya que
no tengo ninguna relación con Vodafone. Se adjunta:
-Solicitud firmada. -DNI -Y ampliación de la denuncia en la que se ha proporcionado a
la policía nacional la información que me indican junto a la de otras empresas. [...]?
1.6.- De 26/01/2021, de VODAFONE, en el que responde:
?[...] A la vista de su solicitud, en la que ejercita el derecho de supresión de sus datos
personales de conformidad con el artículo 17 del Reglamento (UE) 2016/679 [...]
Lamentamos informarle de que esta entidad no puede generar la supresión de los
datos solicitados ya que los mismos son necesarios para prestar el servicio a la línea
prepago ***TELÉFONO.1, entendemos la finalidad de su requerimiento, sin embargo y
en caso de no reconocer el producto podríamos generar una rectificación de datos
para que el servicio conste a su nombre y pueda realizar uso del mismo; recalcamos
que los productos prepago no pueden ser desactivados, en su defecto podemos
esperar a que la tarjeta expire (Aproximadamente se estima fecha de expiración a
Junio de 2021 si no se generan recargas), luego de ello podría requerir nuevamente
su derecho de supresión.? (El subrayado es nuestro)
1.7.- De 01/02/2021, de la reclamante, con este texto: ?[...] Me indican desde el canal
de Vodafone España de facebook que abrieron la petición número 10915XXXX al
departamento de fraude, donde notifican que efectivamente hay un error y que está
solventado. ¿Me pueden confirmar la supresión de mis datos? [...] ?
1.8.- De 03/02/2021, enviado por VODAFONE, en el que dice que ?[...] En respuesta a
su correo, debemos de informarle que la línea ***TELÉFONO.1 correspondiente al
fichero registrado con su número de Documento Nacional de Identidad fue expirada
por nuestra área de fraude con la finalidad de evitar cualquier tipo de uso, sin embargo
la misma aun registra en nuestro sistema y solo será desconectada hasta el mes de
Junio de 2021, lo que imposibilita que sus datos sean suprimidos de nuestro sistema.
No obstante, el departamento de protección de datos genera un comunicado general
alertando a todas nuestras áreas el omitir cualquier tipo de gestión sobre el fichero
fraudulento, anexo a ello generamos la oposición al trato y uso de los datos con
finalidad comercial.
Por último, realizamos la aclaración que su requerimiento (Supresión de datos) solo
podrá ser atendido hasta la fecha expuesta con anterioridad (Junio de 2021), por ende
es necesario que nos remita esta petición a finales del mes expuesto.
Le recordamos que, si lo desea, puede ejercitar sus derechos de acceso, rectificación,
limitación, oposición y portabilidad mediante el envío de una comunicación por escrito,
acompañada de copia de su DNI o documento identificativo equivalente, a la dirección
[...]? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/75
2. Copia de la denuncia que interpuso en la comisaría de policía el 11/12/2020 y de la
ampliación de denuncia de fecha 23/01/2021.
2.1. Denuncia de 11/12/2020 (Atestado XXXXX/20) en la que la reclamante expone los
hechos acaecidos el 12/11/2020: al activar la tarjeta de crédito de la entidad financiera
ING recibe un mensaje de texto negándole la activación ya que consta incluida en el
fichero BADEXCUG. Tras consultar el motivo de la inclusión, pues no tiene ninguna
deuda, le responden que figura una deuda pendiente derivada de una compra
realizada en internet con la empresa Sequra por un importe de XXX,XX?. Contacta
con esa empresa, que le remite la copia de un contrato con sus datos personales si
bien el segundo apellido y la letra del DNI son erróneos. La reclamante les informa que
ella no ha efectuado ninguna compra y le responden que debe de interponer denuncia
en la Policía.
A preguntas del agente que levanta el atestado manifiesta que no ha perdido la
documentación y que los datos han podido obtenerse del BOE pues ha solicitado
varias becas y sus datos han sido publicados con el mismo error. A la pregunta del
agente relativa a si le había sucedido algo parecido anteriormente responde que
intentó darse de alta a través de su aplicación móvil en la cadena ?(?)? y le
comunicaron que ya había otra persona dada de alta con su nombre, pero no le dio
importancia.
2.2. Atestado XXX/21. Esta denuncia es ampliatoria ?de la inicial XXXXX/20 de
11/09/2020 y ampliatoria de la XXXXX/20 de 15/12/20?. La denunciante aporta, en
relación con el teléfono que supuestamente fue comprado con sus datos personales,
los siguientes datos utilizados por los autores del hecho que le facilitó la empresa con
la que supuestamente contrató: email ***USUARIO.2@outlook.com. Fecha de
nacimiento 17/08/19XX.
3. Un documento con el anagrama de EQUIFAX, de fecha ?11/12/2020?, con el
resultado de las búsquedas realizadas por el identificador NIF ***NIF.1 (el de la
reclamante) En el apartado ?Operaciones en el fichero Asnef?, no constan datos. En el
apartado ?Histórico de consultas? aparece registrada una consulta efectuada el
15/09/2020 a las 18:40.27.8. por Vodafone Ono, S.A.U.
4. Diversas capturas de pantalla obtenidas de la página que VODAFONE tiene en
Facebook con fragmentos de la conversación mantenida a través del chat entre
ambas. La reclamante dice: ?pueden consultar el hilo de correos que mantuve con
protección de datos de Vodafone. Les mandé fotocopia del DNI, denuncia de la policía
y tienen datos falsos en sus bases de datos [...]?. La reclamada contesta: ?¿Qué te
parece si revisamos tu caso desde aquí? Facilítanos tus datos de cliente (nombre,
apellidos, teléfono y DNI) para poder gestionar lo que necesites.? La reclamante
advierte que ella no es cliente de la operadora y se niega a facilitar por esta vía ningún
documento, pese a la insistencia de la entidad reclamada. La última captura de
pantalla recoge la respuesta de la reclamada en la que afirma que, desde el
departamento de fraude, ?a través de la petición que enviamos en el día de ayer nº
10915XXXX, lo han catalogado como un error, que desde dicho departamento lo han
subsanado.? Consta la fecha de 31/01/2021.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/75
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante, LOPDGDD), se dio traslado de la reclamación a la reclamada para que
procediese a su análisis e informase a esta Agencia en el plazo de un mes de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
Con fecha 05/07/2021 se recibe la respuesta de VODAFONE en la que afirma que ha
comunicado a la reclamante que, con fecha 27/05/2021, ha dado cumplimiento
efectivo a su derecho de supresión. Aporta copia de la carta de fecha 25/06/2021
dirigida a la reclamante (documento anexo 1) en la que si bien le comunica la
supresión de sus datos no consta referencia alguna a la fecha de 27/05/2021.
La reclamada respondió a las actuaciones de traslado realizadas por esta Agencia en
los términos siguientes:
1.Sobre las causas que motivaron la incidencia que ha originado la reclamación,
?confirma? que el 19/12/2020 la reclamante ejerció el derecho de acceso a sus datos y
que le respondió el 21/12/2020 informándole de ?que no se encuentra legitimada para
obtener el derecho de acceso con respecto a los datos personales (Documento
Nacional de Identidad) que consta en el sistema de mi [la reclamada] ya que la Señora
[la reclamante] no está registrada como titular de los datos requeridos.? ?Esto se debe
a que los datos de la Sra. [la reclamante] estaban relacionados con un tercero que
utilizó los datos de la Interesada de forma fraudulenta. En este supuesto, el único dato
personal de la reclamante que está relacionado con este fraude es el DNI, motivo por
el cual en las evidencias que se aportan de los sistemas de mi representada aparece
información de un tercero ?B.B.B.?, con el DNI de la reclamante ***NIF.1.? Añade que
la reclamante ejercitó de nuevo el derecho de acceso el 21/12/2020 y que le respondió
en los mismos términos de su contestación de fecha 21/12/2020.
Además, reconoce que la reclamante solicitó la supresión de sus datos y que le
respondió el 26/01/2021 que ?en este caso, el servicio contratado y relacionado con
sus datos se trata de un servicio prepago, lo que significa que una vez emitido no se
puede dar de baja hasta que expire. En este sentido, se le indica a la Sra. [reclamante]
que el servicio está programado para expirar en junio de 2021.?
Manifiesta que la reclamante acudió a Facebook y que le comunicó por esta vía que se
había informado al departamento de Fraude de la compañía para que analizara su
caso; que, tras recibir esta información, la reclamante le remitió un email el 01/02/2021
solicitando la supresión de sus datos al que la reclamada responde el 03/02/2021
?informando a la [reclamante] de que se ha registrado el caso como fraudulento para
evitar cualquier tipo de uso adicional de sus datos. Sin embargo, se le comunica que
la línea, al ser de prepago, no se puede desconectar hasta el mes de junio de 2021, lo
que imposibilita que los datos de la Interesada sean suprimidos del sistema de mi
representada.?
2. A propósito de las medidas adoptadas para evitar que se produzcan incidencias
similares, VODAFONE respondió que los hechos ?han sido provocados por un fraude
de un tercero al superar las políticas de seguridad de [la operadora reclamada]
satisfactoriamente, pues para llevar a cabo el alta de una línea prepago se exige la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/75
exhibición de un documento oficial de identificación ante los agentes de las tiendas
físicas de [la operadora reclamada].? Indica que no conoció la existencia de este
fraude hasta que se le fue notificado por la reclamante y que en ese momento ?se
inicia un procedimiento para comprobar los hechos y solucionar la situación.? (El
subrayado es nuestro)
Expone que, como consecuencia de este proceso, el departamento de Fraude clasificó
la situación como fraudulenta y generó un comunicado general que alertaba a todas
las áreas de la compañía para omitir cualquier tipo de gestión sobre el fichero
fraudulento.
El documento anexo 3 que VODAFONE ha aportado refleja la información que consta
en la pestaña ?Inf. de Contacto?, vinculada al NIF de la reclamante, que está asociado
al nombre de B.B.B., en la que bajo la rúbrica ?Form>Detalle Aviso? aparece esta
leyenda: ?No generar cambios en este fichero. No dar de alta ningún tipo de producto,
está calificado como fraude. Los datos registrados en la clienta son erróneos y
pertenecen a otro usuario.? (El subrayado es nuestro)
3.La reclamada manifiesta que ha atendido la solicitud de la reclamante de suprimir
sus datos de sus sistemas, ?previo bloqueo de los datos de la interesada? y aporta a tal
fin, además de la carta que le dirigió el 25/06/2021 (documento anexo 1), como
documento anexo 4 diversas capturas de pantalla con la siguiente información:
En la pestaña ?Registro de clientes? figura con el ?Nº de orden V? la referencia
***REFERENCIA.1; como ?Título? ?Instalación Prepago Con...? y como ?F. Apertura?
?17/11/2020?. En el recuadro inferior, ?Peticiones, reclamaciones, averías?, se registran
varias reclamaciones, entre ella una de fecha 26/01/2021 con esta información: Como
?Tipo?, consta ?Fraude?; como ?Código?, ?posible fraude? y como ?Subcódigo?,
?Suplantación?.
En la pestaña ?Info. de contacto? figura el NIF de la reclamante. Una pantalla
emergente pregunta si desea realizar la acción de cancelación de datos para ese NIF
y en ella está marcada la opción ?sí?. En la siguiente captura de pantalla un mensaje
emergente dice que no se ha encontrado ningún contacto coincidente con los criterios
de búsqueda.
TERCERO: Con fecha 2/06/2021 se admite a trámite la reclamación formulada por la
reclamante. De conformidad con el artículo 65.5 de la Ley Orgánica 3/2018, de 5 de
diciembre, de protección de datos de carácter personal y garantía de los derechos
digitales (LOPDGDD), esa decisión se notificó a la reclamante el 2/06/2021.
CUARTO: Acuerdo de inicio.
Con fecha 3/02/2022 la Directora de la AEPD acuerda iniciar procedimiento
sancionador a VODAFONE con arreglo a lo dispuesto en los artículos 63 y 64 de la
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), por la presunta infracción de los
artículos 6.1.(dos infracciones) 15 y 17 del RGPD, tipificadas, respectivamente, en los
artículos 83.5.a) y 83.5.b) del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/75
El acuerdo de inicio se notificó a VODAFONE electrónicamente, conforme a lo previsto
en la LPACAP como lo acredita el certificado expedido por la FNMT que obra en el
expediente.
QUINTO: Solicitud de ampliación de plazo y copia del expediente.
Mediante escrito recibido en la AEPD el 14/02/2022 VODAFONE solicita que se
amplíe el plazo otorgado inicialmente para formular alegaciones y que se le entregue
una copia del expediente.
La AEPD, mediante escrito que la reclamada recibió el 21/02/2022, le notifica que se
otorga, por el máximo permitido por el artículo 32.1 de la LPACAP, la ampliación de
plazo solicitada y le remite una copia de la documentación.
SEXTO: Alegaciones al acuerdo de inicio.
El 28/02/2022 VODAFONE presenta en esta Agencia sus alegaciones al acuerdo de
apertura en las que, en relación con la infracción del artículo 15 del RGPD, solicita
?tener por reconocida la responsabilidad de Vodafone Ono, S.A.U.?
Respecto a las restantes infracciones del RGPD que se le imputaron en el acuerdo de
iniciación -vulneración de los artículos 6.1. y 17 del RGPD- niega su comisión y solicita
el sobreseimiento del expediente con el consiguiente archivo de las actuaciones.
Subsidiariamente, para el caso de que se impusiera alguna sanción, solicita que ésta
se fije en la cuantía mínima en aplicación de las atenuantes cuya concurrencia invoca.
En apoyo de sus pretensiones aduce lo siguiente:
1. En primer término acota ?el objeto del debate? y hace un listado de lo que considera
son ?unos hechos, desnudos de cualquier valoración jurídica, que entendemos que
son relevantes y deben tenerse en cuenta a la hora de decidir sobre la imposición de
las sanciones a Vodafone y, llegado el caso, sobre su cuantía.?:
cliente de Vodafone.
2. El único dato personal de la Reclamante que fue tratado por Vodafone fue el
relativo a su Documento Nacional de Identidad ("DNI"): ***NIF.1.
3. Dicho dato personal se encuentra disponible, junto con el nombre y apellidos
de la Reclamante, (?).
4. El 15 de septiembre de 2020, Vodafone realizó una consulta en el sistema de
información crediticia e Equifax con el DNI de la Reclamante. Asimismo, en
septiembre de 2020 hasta un total de cinco entidades distintas realizaron
consultas a Equifax con dicho NIF. Cuatro de estas consultas se realizaron el 16
de septiembre de 2020, un día después de la realizada por Vodafone.
5. El 17 de noviembre de 2020, un tercero, bajo el nombre de B.B.B. (el
"Tercero"), dio de alta una tarjeta prepago utilizando el número de DNI de la
Reclamante.
6. La tarjeta prepago no fue dada de alta a nombre de la Reclamante, sino del
propio Tercero.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/75
7. El número de DNI de la Reclamante, como ella misma admite y como queda
acreditado en el expediente, ha sido utilizado para que terceros contraten o
intenten la contratación de otros servicios y realicen compras que nada tienen
que ver con Vodafone.
8. Como la Reclamante admite, la usurpación de la identidad no se produce
como consecuencia de la conducta de Vodafone, sino con anterioridad al
contacto del Tercero con Vodafone: "Tras solicitar el acceso en varios ficheros
de morosos debido a una usurpación de identidad se observa que Vodafone
ONO SAU ha consultado mi DNI en ASNEF Equifax.>> (El subrayado es
nuestro)
2. Las cuestiones sobre las que VODAFONE se pronuncia en su escrito de
alegaciones al acuerdo de inicio son estas:
(i) VODAFONE ?no ha infringido el artículo 6.1 del RGPD en ninguno de los
tratamientos de datos identificados en el Acuerdo de Inicio?: A) Alta de la línea móvil
prepago "a nombre de la reclamante"; y B) consulta a un fichero de información
crediticia vinculada al DNI de la reclamante.
(ii) Subsidiariamente, para el caso de que la AEPD entendiera que sí ha habido
infracción, alega que ?no existe culpa en las infracciones imputadas [...] y, en
consecuencia, no puede imponerse sanción alguna.?
(iii) VODAFONE ha reconocido la responsabilidad por la infracción del artículo 15 del
RGPD relativo al derecho de acceso.
(iv) VODAFONE niega haber infringido el artículo 17 del RGPD, relativo al derecho de
supresión.
(v) Subsidiariamente, ?para el caso de que se entendiera que Vodafone ha infringido
los artículos 6.1 y/o 17 del RGPD y, en el caso de la infracción del artículo 6.1, se
considere que sí puede imponerse una sanción a la parte reclamada, deberán tenerse
en cuenta las circunstancias atenuantes? que invoca en la alegación sexta de su
escrito.
Las consideraciones que VODAFONE hace sobre cada una de las cuestiones
apuntadas son, en síntesis, las siguientes:
(i) 1. Vulneración del artículo 6.1. del RGPD: alta de la línea móvil prepago a nombre
de la reclamante.
Comienza exponiendo lo que, a su parecer, es la postura mantenida por la AEPD en el
acuerdo de inicio.
?La Agencia entiende que "el tratamiento del NIF de la reclamante vinculado a la
contratación de una línea prepago a nombre de B.B.B.. [el Tercero], línea que la
reclamada dio de alta el 17 de noviembre de 2020, no estaba fundado en
ninguna de las circunstancias legitimadoras del tratamiento previstas en el
artículo 6.1 RGPD", y que por ello el precepto resultaría infringido.
Siguiendo con su argumentación, la Agencia afirma que Vodafone "ha de poder
acreditar que la persona con la que contrató y se identificó con determinados
datos personales -en particular el NIF de la reclamante- era efectivamente su
titular", así como que Vodafone "no ha facilitado ninguna prueba que acredite
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/75
que, con ocasión de contratar la línea asociada al NIF de la reclamante, obró
con la diligencia que es exigible en cumplimiento del principio de licitud; principio
que está obligada a respetar y cuyo cumplimiento ha de poder demostrar".
Según la Agencia, la "mera exhibición de un documento identificativo [...]
constituye una medida claramente ineficaz e insuficiente".
A continuación, hace esta ?aclaración?: que el tercero que intervino en la contratación
no contrató la línea ?a nombre de la reclamante? sino a su propio nombre.
?En primer lugar, queremos aclarar que no estamos ante un supuesto de
suplantación de identidad en el que un tercero haya contratado una línea o
solicitado un duplicado de tarjeta SIM "a nombre de la reclamante" (así se afirma
de forma manifiestamente errónea y ajena a la verdad, por ejemplo, en las
páginas 31 y 42 del Acuerdo de Inicio). Lo que ha sucedido es que el Tercero,
utilizando el número de DNI de la reclamante, ha dado de alta una tarjeta
prepago a su propio nombre, no al de la reclamante.
En otras palabras, el titular de la línea móvil de prepago es el Tercero, no la
reclamante.? (El subrayado es nuestro)
Por último, VODAFONE niega haber vulnerado el principio de licitud y estima que sí
estaba legitimada para tratar el dato del NIF de la reclamante que el tercero que
intervino en la contratación le facilitó. Hace sobre el particular las siguientes
declaraciones:
?A diferencia de lo que opina la Agencia, Vodafone entiende que sí que estaba
legitimada para tratar los datos personales utilizado por el Tercero ?solicitante
de una tarjeta prepago ?, entre ellos el número de DNI facilitado, cuestión
distinta es que el dato del DNI tratado no correspondiera al Tercero que es quien
contrata la tarjeta prepago. Si bien no compartimos la interpretación ?
demasiado estricta, a nuestro parecer ? de la base jurídica legitimadora del
artículo 6.1 b) del RGPD que la Agencia hace en el último párrafo de la página
15 del Acuerdo de Inicio, resulta que la base jurídica legitimadora que ampara el
tratamiento de Vodafone es la indicada en el artículo 6.1 c) del RGPD: el
cumplimiento de una obligación legal.
Esta obligación legal la encontramos en la Disposición Adicional Única de la Ley
25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones (la ?Ley
25/2007?), que establece que:
"1. Los operadores de servicios de telefonía móvil que comercialicen servicios
con sistema de activación mediante la modalidad de tarjetas de prepago,
deberán llevar un libro-registro en el que conste la identidad de los clientes que
adquieran una tarjeta inteligente con dicha modalidad de pago.
Los operadores informarán a los clientes, con carácter previo a la venta, de la
existencia y contenido del registro, de su disponibilidad en los términos
expresados en el número siguiente y de los derechos recogidos en el artículo
38.6 de la Ley 32/2003.
La identificación se efectuará mediante documento acreditativo de la
personalidad, haciéndose constar en el libro-registro el nombre, apellidos y
nacionalidad del comprador, así como el número correspondiente al documento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/75
identificativo utilizado y la naturaleza o denominación de dicho documento. En el
supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta
de identificación fiscal, y se hará constar en el libro-registro la denominación
social y el código de identificación fiscal".
La reclamada finaliza su argumentación con esta afirmación:
?Vodafone está obligada por la Ley 25/2007 a tratar el "número correspondiente
al documento identificativo utilizado" por el comprador de la tarjeta prepago;
cuestión distinta es que dicho número resulte ser erróneo o haya sido utilizado
mediante un fraude por un tercero, pero ello no podrá suponer, en ningún caso,
una infracción del artículo 6.1 del RGPD.?
Sobre el ?grado de diligencia? que desplegó en relación con la conducta que ha dado
origen a la infracción del artículo 6.1 del RGPD que se le imputó en el acuerdo de
apertura (alta de una línea prepago vinculada al NIF de la reclamante), considera que
ha sido el ?adecuado?. Así, dice: ?En cualquier caso, las medidas adoptadas por
Vodafone para acreditar la identidad del solicitante de la tarjeta prepago no son
ineficaces ni insuficientes.? (El subrayado es nuestro) En defensa de esa posición
aduce:
?Creemos conveniente tomar como punto de partida lo exigido por la legislación,
que entendemos que es la vara de medir que debe ser tomada por Vodafone y
el resto de operadores.
En primer lugar, la Ley 25/2007 antes citada, norma directamente aplicable a
Vodafone, indica que los operadores de servicios de telefonía móvil que
comercialicen tarjetas prepago deberán acreditar la identidad de los clientes que
adquieran una de estas tarjetas "mediante documento acreditativo de la
personalidad, haciéndose constar en el libro-registro el nombre, apellidos y
nacionalidad del comprador, así como el número correspondiente a documento
identificativo utilizado y la naturaleza o denominación de dicho documento". La
norma no exige que se guarde copia del DNI, sino solo de los datos que obran
en el documento facilitado.
Asimismo, aunque la Ley Orgánica 5/1985, de 19 de junio, del Régimen
Electoral General, no resulta de aplicación al caso, sí que nos sirve como botón
de muestra a fin de demostrar que la exhibición de un DNI es suficiente para
identificar a la persona que va a ejercer uno de los derechos fundamentales por
antonomasia, el derecho de voto.?
VODAFONE añade que ?la obligación de identificación ha sido debidamente
trasladada por esa entidad a su mayorista, Sercom Soluciones, S.L. ("Sercom") que, a
su vez, suscribió un acuerdo con el punto de venta que dio de alta la tarjeta prepago al
Tercero.? Nos remitimos a las estipulaciones de los contratos celebrados entre
VODAFONE y SERCOM y entre esta última y el punto de venta
***ESTABLECIMIENTO.1 que se reproducen al final de este Antecedente.
Continuando con la cuestión de la diligencia que dice haber desplegado, la reclamada
añade:
?Por lo demás, en su Acuerdo de Inicio la Agencia estaría exigiendo a Vodafone
y, por extensión a miles de puntos de venta de Vodafone y del resto de
operadoras de telefonía, que se implementara, por ejemplo, un software de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/75
escaneo y verificación de DNIs: "La mera exhibición de un documento
identificativo, al que la reclamada alude -afirma que el tercero que contrató
superó la política de seguridad de la compañía por cuanto exhibió el documento
identificativo-, constituye una medida claramente ineficaz e insuficiente que está
muy por debajo de las posibilidades que el desarrollo técnico actual ofrece y que
no toma en consideración el evidente riesgo que la contratación de servicios que
la reclamada comercializa representa para los derechos y libertades de las
personas".
Lo anterior supone exigir a Vodafone un grado de diligencia totalmente
desmedido y fuera del estándar de mercado: no sólo es superior a los
estándares que dicta la normativa aplicable (nos remitimos a la Ley 25/2007),
sino que no se sigue ni tan siquiera en actuaciones tan sensibles como el ejercer
el derecho a voto.
Dicho esto, si la Agencia pretende aumentar las exigencias en materia de
identificación incorporando obligaciones de conservación y verificación técnica
de documentos, lo que procede es aprobar reglas a tal fin pero, en ningún caso,
podrá acusarse a Vodafone de negligencia o de falta de solidez de las medidas
tomadas en este momento, sino que primero deberían establecerse las citadas
reglas y posteriormente, en su caso, sancionar a la operadora que no las
aplique, pero lo que no es conforme a Derecho es pretender utilizar directamente
la vía sancionadora como método de fijación de los parámetros de seguridad
exigibles.
De hecho, en este caso concreto no existe ninguna posibilidad para los
operadores privados de comprobar si el número de DNI corresponde
efectivamente a la persona que dice ser su titular y lo acredita con un documento
que puede estar manipulado. Lo contrario iría en contra de la normativa de
protección de datos, y es que la única forma de evitar un fraude como el que ha
dado origen a este expediente sería que Vodafone tuviera acceso a una base de
datos que permitiera comprobar que si el número de DNI empleado por el
solicitante pertenece en realidad al solicitante en cuestión.? (El subrayado es
nuestro)
2. Vulneración del artículo 6.1 del RGPD: consulta al fichero de EQUIFAX vinculada al
NIF de la reclamante efectuada el 15/09/2020.
VODAFONE niega la infracción imputada y resume así la posición mantenida por la
AEPD en el acuerdo de apertura:
?La Agencia considera que: 1. No hay ninguna prueba que vincule la consulta
realizada a Equifax el 15 de septiembre de 2020 con el alta de la línea prepago
hecha el 17 de noviembre de 2020, [...]. 2. En el supuesto de que la consulta no
estuviera vinculada con el alta de la línea prepago, Vodafone no habría
"facilitado información sobre el origen del dato tratado y acerca de cuál fue el
motivo de la consulta", por lo que el tratamiento no podría calificarse de
"legítimo" en el sentido del artículo 20.1 e) de la LOPDGDD.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/75
A continuación, dedica un apartado específico en su escrito de alegaciones a subrayar
que ?el número de DNI de la Reclamante fue utilizado para realizar multitud de
consultas?: ?Tal y como ha quedado acreditado en el expediente, el número de la
Reclamante fue utilizado por distintos actores (entre ellos, Vodafone) para realizar
varias consultas a mediados de septiembre?. Incorpora a su escrito una relación de
consultas al fichero de EQUIFAX (un total de nueve) efectuadas por siete entidades
distintas utilizando como criterio de búsqueda el NIF de la reclamante durante el
periodo de tiempo comprendido entre el 19/06/2020 y el 16/09/2020.
La reclamada niega que la consulta al fichero de EQUIFAX constituya una infracción
de la normativa de protección de datos y sostiene que ?se realizó respetando lo
dispuesto en el artículo 20.1 e) de la LOPDGDD? y estuvo relacionada con ?una
solicitud online?.
Sobre la ?solicitud online? vinculada al NIF de la reclamante que supuestamente recibió
no aporta ningún documento que pruebe su existencia. La información que facilita
sobre la aludida ?solicitud online? consiste en la manifestación de que el producto
sobre el que versó la petición de contratación implicaba una financiación, pago
aplazado o facturación periódica, para concluir sin más que el tratamiento sí estaba
comprendido en el ámbito de aplicación del artículo 20.1 e) de la LOPDGDD.
Seguidamente expone las diferencias entre el alta de productos prepago y post pago a
efectos de examinar la solvencia del cliente. Dice que ?el alta de tarjetas prepago no
implican un proceso de scoring y de consulta a ficheros de morosidad. Dichos
procesos (incluyendo la consulta a Equifax) sólo se aplican a las financiaciones o a los
productos de Vodafone que suponen un pago aplazado o una facturación periódica.?
A efectos de prueba aporta como documentos 5 y 6, las "Condiciones Generales de
los Servicios de Comunicaciones Móviles. Prepago" y las ?Condiciones Generales de
los Servicios de Comunicaciones Móviles Pospago. Particulares", respectivamente, e
indica que su lectura permite comprobar que, mientras que en las relativas a servicios
pospago sí se informa sobre la posibilidad de que esa entidad compruebe la solvencia
del cliente mediante consultas a ficheros de solvencia patrimonial y de crédito
("Vodafone podrá comprobar la solvencia del Cliente a través de procedimientos
automatizados de "scoring", mediante la obtención de datos de las entidades
bancarias facilitadas por el Cliente o a través de ficheros de solvencia patrimonial y de
crédito"), esa posibilidad no se menciona en las relativas a servicios prepago.
Para mayor claridad se transcribe el siguiente fragmento de sus alegaciones:
?El pasado 15 de septiembre de 2020 Vodafone realizó una consulta al fichero
ASNEF con el DNI [...]. Esta consulta no está en modo alguna vinculada con el
alta de tarjeta prepago que se llevó a cabo en noviembre de 2020, dos meses
después, sino con una solicitud online. En este sentido, el alta de tarjetas
prepago no implican un proceso de scoring y de consulta a ficheros de
morosidad. Dichos procesos (incluyendo la consulta a Equifax) sólo se aplican a
las financiaciones o a los productos de Vodafone que suponen un pago
aplazado o una facturación periódica.[..]? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/75
En definitiva, la reclamada niega la comisión de las dos infracciones del artículo 6.1 del
RGPD que se le imputaron en el acuerdo de inicio del expediente y dice que ?En
consecuencia, no podrá imponerse a Vodafone la sanción propuesta por la Agencia.?
(ii) Con carácter subsidiario, para el caso de que la AEPD entienda que sí existieron
las infracciones que la reclamada niega, se alega de contrario que falta en ambos
casos el necesario elemento de la culpabilidad, lo que impediría a esta Agencia
sancionar esas conductas.
1. La reclamada afirma que ha actuado en todo momento cumpliendo con la diligencia
que le es exigible, que no concurre en su conducta culpabilidad, ni a título de dolo ni a
título de culpa.
Manifiesta que ha empleado la diligencia que le era exigible para identificar al
solicitante de la tarjeta prepago pues ?ha cumplido con lo dispuesto en la Ley
25/2007.?
Invoca como fundamento el artículo 28 de la Ley 40/2015, de Régimen Jurídico del
Sector Público (LRJSP), que proclama el principio de culpabilidad en el ámbito del
procedimiento administrativo sancionador y exige que el sujeto infractor sea
responsable a título de dolo o culpa, y se refiere también a la sentencia del Tribunal
Supremo de 23 de enero de 1998 [RJ 1998\601]) en la que el Tribunal expone que
?para la exculpación no bastará la invocación de la ausencia de culpa, sino que será
preciso que se haya empleado la diligencia que era exigible por quien aduce su
inexistencia.?
Añade que ?la Audiencia Nacional ha entendido, en casos en los que un tercero ha
accedido, mediante actividades delictivas, a datos de los interesados custodiados por
un responsable del tratamiento (no es el caso, Vodafone no custodiaba los datos de la
Reclamante), que imputar tales hechos al responsable del tratamiento podría conllevar
la vulneración del principio de culpabilidad.? Cita a tal efecto la SAN, Sala de lo
Contencioso-Administrativo, Sección 1ª, de 25/02/2010. En consideración a lo
expuesto dice: ?En este caso, estamos ante una práctica delictiva llevada a cabo por
un tercero quien, actuando con dolo, ha facilitado el número de DNI de un tercero al
solicitar el alta de una tarjeta prepago en su propio nombre, superando los controles
establecidos por Vodafone. Luego, si la anterior jurisprudencia ha resultado de
aplicación en casos en los que los datos de los interesados eran custodiados por el
responsable del tratamiento, con mayor razón deberá aplicarse también a aquellos
otros casos en los que no pesa el deber de custodia sobre el responsable (quien
puede lo más, puede lo menos).?
2. Alega que, en este supuesto, el tratamiento de un dato personal de la reclamante
?se ha debido a la existencia de un error humano, que son inevitables y sobre los que
Vodafone no puede tener un control efectivo.? Argumenta lo siguiente:
?[...] pueden existir casos, como el presente, en el que Vodafone trate un dato
personal que no pertenece al solicitante de la tarjeta prepago, sino a un tercero
(el Reclamante). Es lo que ha sucedido en este caso: es una evidencia y no lo
negamos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/75
En estos supuestos (residuales), estaríamos ante supuestos en los que el
solicitante (el Tercero), valiéndose de artimañas y utilizando a su favor su
experiencia criminal, ha logrado burlar los controles establecidos por Vodafone,
provocando el error humano en el Punto de Venta.
La Agencia se ha pronunciado en numerosas ocasiones sobre los errores
humanos, destacando que los mismos no pueden ser castigados. Por ejemplo,
en el Procedimiento Sancionador PS/00210/2019 y en el Procedimiento
E/02877/2019, en los que se citó la Sentencia de la Audiencia Nacional (Sala de
lo Contencioso, Sección 1ª) de 23 de diciembre de 2013 [JUR 2014\15015], en
la que a su vez se destacó que: "La cuestión, pues, ha de resolverse conforme a
los principios propios del derecho punitivo dado que el mero error humano no
puede dar lugar, por sí mismo (y sobre todo cuando se produce con carácter
aislado), a la atribución de consecuencias sancionadoras; pues, de hacerse así,
se incurriría en un sistema de responsabilidad objetiva vedado por nuestro orden
constitucional".
Y añade a continuación:
?A mayor abundamiento, si la Audiencia Nacional y la Agencia han considerado
el error humano como excusable en supuestos en los que no existía ningún
elemento externo que indujera a la persona física en cuestión a incurrir en el
error, con mayor razón deberá apreciarse la excusabilidad del mismo cuando ha
sido un tercero quien, mediante dolo criminal, ha inducido de forma directa al
error.? (El subrayado es nuestro)
(iii) VODAFONE ha reconocido la responsabilidad por la infracción del artículo 15 del
RGPD relativo al derecho de acceso. La reclamada ha manifestado al respecto:
?Tal y como hemos avanzado en la Alegación Previa anterior, Vodafone
reconoce su responsabilidad única y exclusivamente por la infracción del artículo
15 del RGPD, lo que deberá llevar aparejada una reducción de un 20% de la
sanción propuesta para esta infracción (100.000 euros). Asimismo, en caso de
que el pago se realizara antes de la resolución del presente procedimiento, la
sanción debería reducirse en un 20% adicional, siendo la cuantía a pagar de
60.000 euros.?
(iv) VODAFONE niega la infracción del artículo 17 del RGPD derivada de no haber
procedido a suprimir el dato del NIF de la reclamante cuando ella ejercitó este
derecho.
Alega que actuó correctamente y que no existe infracción del artículo 17 del RGPD. A
propósito de su respuesta a la supresión del dato del NIF solicitada por la reclamante,
reconoce que la ?redacción? fue ?poco afortunada? y dice que lo relevante a efectos de
determinar si se ha infringido el artículo 17 del RGPD no es tanto la respuesta que se
haya facilitado a la reclamante ??no negamos que la misma fuera desafortunada?- sino
el respeto por su parte de la normativa aplicable.
En defensa de que su actuación fue acorde con el artículo 17 del RGPD aduce lo
siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/75
1.En primer término, en congruencia con su alegación primera, en la que niega la
vulneración del artículo 6.1 del RGPD derivada de haber vinculado el alta de un
servicio prepago al NIF de la afectada, quien no intervino en la contratación de ese
servicio, considera que no ha existido un tratamiento ilícito del dato del NIF de la
reclamante.
Dice sobre el particular que el tratamiento del número de DNI que le proporcionó el
tercero solicitante de la tarjeta prepago ?[...] viene impuesto por la disposición
Adicional Única de la Ley 25/2007 ? . Y añade que ?Vodafone no guarda ese dato
(número de DNI) relacionado con la identidad de la Reclamante, sino con la identidad
(nombre y apellidos) del Tercero. Nos remitimos a lo ya expuesto en la Alegación
Primera para evitar repeticiones innecesarias.?
2. En segundo término, alega que, en el supuesto de hecho aquí planteado, concurrían
dos de las excepciones previstas en el apartado 3 del artículo 17 del RGPD:
De una parte, la excepción prevista en el apartado b) del artículo 17.3: ?El tratamiento
del número de DNI facilitado por el Tercero era necesario para que Vodafone
cumpliera con una obligación legal (artículo 17.3 b) del RGPD)?.
La obligación legal de tratar el dato del DNI y de conservarlo vendría impuesta por la
Disposición Adicional Única y el artículo 5, ambos de la Ley 25/2007. Así, considera
que, conforme a la Disposición Adicional, ?los operadores de telefonía están obligados
a recabar determinados datos del solicitante de una tarjeta prepago, entre ellos ?el
número correspondiente al documento identificativo utilizado??. Y que estaba obligado
a conservar el DNI ? facilitado por el contratante de la tarjeta prepago? en virtud de la
obligación de conservación del artículo 5 de la Ley 25/2007, precepto que resulta
aplicable al dato del NIF ?facilitado por el solicitante de una tarjeta prepago? en virtud
de la remisión a ese artículo que hace el punto 2 de la Disposición Adicional.
De otra parte, alega que concurría la excepción del apartado e) del artículo 17.3 del
RGPD. Afirma al respecto: ?Asimismo, Vodafone estaba facultada para conservar el
dato facilitado por el Tercero para el caso de que en el futuro dicho dato fuera
necesario para formular, ejercer o defenderse de alguna reclamación. En este sentido,
vuelve a cobrar importancia el hecho de que Vodafone no había asociado con la
identidad de la Reclamante, sino con la del Tercero, esto es, quien dio de alta la
tarjeta prepago, que además había sido marcada como "fraude".?
(v) Subsidiariamente, para el caso de que se entendiera que la reclamada ha infringido
los artículos 6.1 y/o 17 del RGPD y, respecto a las infracciones del artículo 6.1 del
RGPD, se concluyera que sí se puede imponer una sanción, rechaza la aplicación de
las agravantes que se apreciaron en el acuerdo de inicio y solicita que se estimen las
atenuantes que invoca. La reclamada alega, en síntesis, lo siguiente:
1. Infracción del artículo 6.1 del RGPD, concretada en el alta de una línea prepago
vinculada al NIF de la reclamante:
Solicita que se gradúe a la baja la sanción. Niega que concurran las agravantes que se
apreciaron en el acuerdo de inicio y hace las siguientes consideraciones a propósito
de cada una de ellas:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/75
1.1. Sobre la circunstancia agravante del artículo 83.2.a) del RGPD, la duración de la
infracción teniendo en cuenta el propósito de la operación de tratamiento:
?La Agencia considera que estamos ante una "infracción permanente", [...].
No estamos de acuerdo con la consideración de esta circunstancia como
agravante[...]
En primer lugar, [...], la Ley 25/2007 (Disposición Adicional Única en relación con
su artículo 5) impone al operador (Vodafone) la obligación de recabar y
conservar "el número correspondiente al documento identificativo utilizado".
En segundo lugar, el artículo 83.2 a) del RGPD establece que la "duración de la
infracción" se utilizará como agravante o atenuante "teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido".
En el presente caso sólo hay un afectado (la Reclamante) y no se ha acreditado
que se hayan generado daños y perjuicios.
En tercer lugar, las Sentencias de la Audiencia Nacional de 16 de septiembre de
2008 (Rec. 488/2006) y del Tribunal Supremo de 17 de abril de 2002 (Recurso
466/2000) citadas en el Acuerdo de Inicio no resultan de aplicación, pues los
supuestos de hecho y su naturaleza son totalmente distintos. En ambas
sentencias, que no versan sobre protección de datos personales, estamos ante
una conducta reiterada, consciente y activa por parte de los infractores,
elementos que no encontramos en el caso de Vodafone.?
1.2. Sobre la circunstancia agravante del artículo 83.2.d) del RGPD, el ?grado de
responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las
medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y
32?:
Se remite a lo invocado en la alegación primera a propósito de la solicitud del DNI para
acreditar la identidad del contratante de un servicio prepago. Añade que, ?en cuanto a
los riesgos, no estamos ante un caso de suplantación de identidad en el que el
servicio haya sido contratado "en nombre de" la Reclamante, sino que ha sido
contratado por el Tercero en su propio nombre utilizando el número de DNI de la
Reclamante.?
1.3. Sobre la circunstancia agravante del artículo 83.2.e) del RGPD, ?Toda infracción
anterior cometida por el responsable o encargado del tratamiento?:
Muestra su discrepancia con el criterio de la AEPD que ha considerado ?antecedentes
"pertinentes" los hechos acaecidos en los siguientes procedimientos sancionadores:
PS/00193/2021, PS/00186/2020, PS/00009/2020, PS/303/2020 y PS 348/2020.?
Subraya que estos procedimientos versaron sobre casos en los que un tercero,
haciéndose pasar por los reclamantes, contrató productos a nombre de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/75
reclamantes y éstos últimos recibieron las correspondientes facturas, lo que no ha
sucedido en el supuesto enjuiciado ahora.
1.4. Sobre la circunstancia agravante del artículo 83.2.g) del RGPD, ?Las categorías
de los datos de carácter personal afectados por la infracción?:
Muestra su desacuerdo con el criterio de la Agencia que ?considera que, atendiendo a
lo dispuesto en el Considerando 75 del RGPD, el número de DNI sería un "dato
particularmente sensible en tanto en cuanto [...] un tercero puede suplantar la
identidad de una persona física con total facilidad, con los riesgos que esto comporta
para la privacidad, el honor y el patrimonio del suplantado".
Justifica la inaplicación de la agravante en que no ha existido una usurpación de
identidad; en que el NIF de la reclamante ?no fue expuesto por Vodafone?, sino que
aparece publicado en el BOE y en que no fue VODAFONE quien facilitó al tercero el
dato personal de la reclamante, sino que el tercero estaba ya en posesión de ese dato.
Reproducimos el texto de su alegato:
?En nuestra opinión, son varias las consideraciones a tener en cuenta.
En primer lugar, el Considerando 75 del RGPD hace referencia a que "el
tratamiento pueda dar lugar a problemas de usurpación de identidad". En
nuestro caso, a diferencia de los citados por la Agencia en el punto anterior, no
se ha producido una usurpación de identidad: el Tercero ha contratado en su
propio nombre, no en el nombre de la Reclamante. Es el Tercero quien es titular
de la tarjeta prepago, no la Reclamante.
En segundo lugar, el número de DNI (único dato afectado) no fue expuesto por
Vodafone, sino que fue publicado ? (?) ? (?). (?).
Es decir, no es que Vodafone con su conducta haya facilitado a un tercero un
dato personal, sino que ese tercero ya estaba en posesión del dato personal y lo
que hace es utilizarlo en fraude contra la interesada y contra la propia
Vodafone.?
(El subrayado es nuestro)
Solicita que se apliquen las atenuantes siguientes:
(i) La ?inexistencia de intencionalidad o negligencia (artículo 83.2 b) del
RGPD)?
(ii) La ?cooperación con la autoridad de control al haber contestado al
traslado de la reclamación y haber facilitado la información solicitada
(artículo 83.2 f) del RGPD).?
2. Infracción del artículo 6.1 del RGPD, concretada en la consulta al fichero de
EQUIFAX. Solicita que se gradúe a la baja la sanción. Niega la concurrencia de las
agravantes apreciadas en el acuerdo de inicio y dice en este sentido:
2.1. Sobre la circunstancia agravante del artículo 83.2 a) del RGPD, ?La gravedad de
la infracción teniendo en cuenta el propósito de la operación de tratamiento? dice:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/75
?La Agencia considera que la consulta al fichero Equifax "representa una muy
grave intromisión en la esfera privada de la reclamante", pues la Reclamante no
mantiene ninguna relación con Vodafone.
Sin perjuicio de que, como se ha visto en la Alegación Segunda anterior, la
consulta no estaba relacionada con el alta de la tarjeta prepago, el artículo 83.2
a) del RGPD establece que la gravedad se utilizará como agravante o atenuante
"teniendo en cuenta la naturaleza, alcance o propósito de la operación de
tratamiento de que se trate, así como el número de interesados afectados y el
nivel de los daños y perjuicios que hayan sufrido".
En el presente caso sólo hay un afectado (la Reclamante) y no se ha acreditado
que se hayan generado daños y perjuicios.?
2.2. Sobre la circunstancia agravante del artículo 83.2 b) del RGPD, ?La
intencionalidad o negligencia en la infracción?, dice:
?Según la Agencia, la falta de diligencia de Vodafone sería "grave", pues el
tratamiento "se realizó sin haber verificado previamente si tenía la legitimación
necesaria".
Como se ha expuesto en la Alegación Segunda, Vodafone sí estaba legitimada a
llevar a cabo el tratamiento en cuestión en virtud del artículo 20.1 e) de la
LOPDGDD: la consulta no estaba relacionada con la solicitud de alta de la
tarjeta prepago, sino con un contrato que supone la financiación, el pago
aplazado o la facturación periódica.
Por lo demás, el número de DNI con el que se realizó la consulta fue facilitado
de forma fraudulenta por el Tercero, esto es, no se trata de una consulta
realizada de forma indiscriminada. Por ello, no se podrá apreciar una falta de
diligencia, y mucho menos calificarla como grave.?
2.3. Sobre la agravante del artículo 83.2 e) del RGPD, ?Toda infracción anterior
cometida por el responsable del tratamiento?, dice:
?La Agencia considera que son de aplicación los precedentes citados al
pronunciarse sobre la primera infracción del artículo 6.1 del RGPD:
PS/00193/2021, PS/00186/2020, PS/00009/2020, PS/303/2020 y PS 348/2020? y
que, en consecuencia, se remite a lo expuesto en el punto 3 respecto a la
infracción anterior.
2.4. Sobre la agravante del artículo 83.2 g), ?Las categorías de los datos de carácter
personal afectados por la infracción?, se remite a lo alegado para esta circunstancia en
el punto 4 de la infracción analizada anteriormente.
Solicita que se apliquen las circunstancias atenuantes siguientes:
(i) La cooperación con la autoridad de control, al haber contestado al traslado
de la reclamación y haber facilitado la información solicitada, artículo 83.2 f)
del RGPD.
(ii) Que la supuesta infracción no se alargara en el tiempo, artículo 83.2 a) del
(iii) La inexistencia de beneficios obtenidos a través de la infracción, artículo
83.2 k) del RGPD y artículo 76.2 c) de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/75
3. Infracción del artículo 17 del RGPD. Solicita la graduación a la baja del importe de la
sanción. Rechaza la aplicación de las agravantes que se apreciaron en el acuerdo de
inicio:
3.1. Sobre la circunstancia agravante del artículo 83.2.a) del RGPD, ?La importante
gravedad de la infracción teniendo en cuenta el alcance de la operación de
tratamiento?, dice:
?La Agencia achaca a Vodafone un "desconocimiento absoluto del contenido del
derecho" de supresión, ignorando, en opinión de esta Agencia, "cuáles son las
obligaciones que derivan para ella del artículo 17 del RGPD".
Dicho sea, con el debido respeto, no estamos de acuerdo con el carácter
generalizado de la valoración subjetiva de la Agencia. Como hemos expuesto en
la Alegación Quinta, a la que nos remitimos, aunque la Agencia acabe
entendiendo que Vodafone ha infringido el artículo 17 del RGPD, existen
argumentos para defender que se ha actuado de conformidad con lo dispuesto
en el artículo 17 del RGPD:
a) No ha tratado el número de DNI de forma ilícita.
b) En cualquier caso, estaba obligada por ley a conservar dicho dato y, además,
el mismo era necesario para la formulación, el ejercicio o la defensa de
reclamaciones
3.2. Sobre la circunstancia agravante del artículo 83.2 b) del RGPD, ?La
intencionalidad o negligencia de la infracción?, dice:
?La Agencia califica de "gravísima" la falta de diligencia de Vodafone por no
haber atendido "la supresión del dato del NIF solicitada por la reclamante pese a
estar obligada a ello conforme al artículo 17.1 d) RGPD".
Aunque se considerara que el tratamiento del número de DNI facilitada por el
Tercero es ilícito (quod non), deberá tenerse en cuenta la obligación de
conservación impuesta en la Ley 25/2007 que, en opinión de esta parte, hace
que la infracción no pueda calificarse de "gravísima negligencia".
Solicita que se apliquen como atenuantes estas circunstancias:
(i) Artículo 83.2.f) RGPD: ?la cooperación con la autoridad de control al haber
contestado al traslado de la reclamación y haber facilitado la información
solicitada?.
(ii) Artículo 83.2.k) del RGPD y 76.2.c) LOPDGDD: la ?inexistencia de
beneficios obtenidos a través de la infracción?.
Por último, VODAFONE propone como prueba la admisión de los documentos que
aporta anexos a sus alegaciones:
1. Captura de pantalla ?acreditativa de que el mayorista que ha suscrito un contrato
con Vodafone es Sercom Soluciones, S.L. quien, a su vez, contrató con el punto de
venta encargado de dar de alta la tarjeta prepago en cuestión,
***ESTABLECIMIENTO.1?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/75
2. Copia del contrato de Distribución Mayorista Prepago no exclusivo Vodafone
suscrito el 01/06/2019 entre Sercom Soluciones, S.L., (en adelante SERCOM) y
VODAFONE.
Destaca de su contenido la cláusula decimosegunda, dedicada al ?Cumplimiento de la
normativa aplicable? que estipula: Apartado 12.1:
?Como consecuencia del desarrollo de los servicios de distribución mayorista, el
mayorista podrá acceder a ciertos datos de carácter personal siempre que, a
través suya o de los Puntos de Venta Minoristas a los que suministre, contraten
los servicios de VODAFONE. Por este motivo, y de conformidad con la
normativa vigente, el MAYORISTA tendrá la consideración de encargado de
tratamiento debiendo formalizar el acuerdo estándar de tratamiento de datos que
se adjunta como Anexo III, a través del cual se recogen sus obligaciones en esta
materia.?
El Apartado 12.2. dice:
?Asimismo, el Mayorista dará traslado de todas las obligaciones en materia de
protección de datos de carácter personal a los puntos de venta Minoristas y
certificará haber dado traslado de estas obligaciones mediante la firma de un
certificado estándar que se adjunta como documento IV.? (El subrayado es
nuestro)
El Apartado 12.3. ?El Mayorista declara conocer y aceptar las políticas de VODAFONE
relativas al Fraude, Riesgo y Protección de la Información recogidas en el Anexo
V del presente contrato, y se compromete a implantar sus propias políticas
relativas a estos extremos relativas al desarrollo de su actividad y a trasladar las
mismas al Punto de Venta. [....]?
El Anexo II al contrato, ?Recogida de datos. Contrato de distribución mayorista? dice:
?El presente Anexo, [...], contiene las instrucciones relativas al cumplimiento de
la disposición Adicional Única de la Ley 25/2007, de 18 de octubre, de
Conservación de datos relativos a las Comunicaciones Electrónicas y a las
Redes Públicas de Comunicaciones respecto de (i) la identificación presencial y
recogida de datos de los clientes que adquieran una Tarjeta Prepago o un Pack
Prepago con carácter previo a la venta y (ii) la información a los mismos en los
términos descritos en la citada Ley , todo ello de conformidad con lo dispuesto
en la cláusula 11.2 del Contrato de Distribución Mayorista del que este Anexo
trae causa.
Los requisitos y procedimientos recogidos a continuación son los mínimos que
deberá cumplir el Mayorista o en su defecto el Punto de Venta minorista en
cumplimiento de lo establecido en el párrafo anterior, sin perjuicio del
cumplimiento de otros procedimientos vigentes con el mismo objeto disponibles
en el Portal Comercial. El Mayorista reconoce y acepta que los mismos podrán
ser modificados, reducidos o ampliados por VODAFONE en el caso de que fuera
necesario. Dichas actualizaciones serán oportunamente comunicadas por
VODAFONE al Mayorista a través del Portas comercial y éste deberá
comunicarlo a los Puntos de Venta minoristas.? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/75
Este Anexo II dedica la estipulación primera a la ?Identificación Presencial y Recogida
de Datos del Cliente/Comprador?, que dice así:
?1. El MAYORISTA deberá trasladar al Punto de Venta minorista mediante la
suscripción de un acuerdo que recoja obligaciones relacionadas en el presente
anexo, la obligación imprescindible de identificar PRESENCIALMENTE al
Cliente /Comprador mediante su tarjeta identificativa original. * La
documentación a presentar por las personas físicas según su nacionalidad y
situación, es la siguiente: -Para españoles: DNI o NIF. -Para ciudadanos de la
Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte. -Para
ciudadanos de fuera de la Comunidad Europea: Pasaporte o NIE.
2. Asimismo, el MAYORISTA deberá indicar al Punto de Venta minorista el
procedimiento que se deberá seguir para recoger datos y activar la tarjeta de
forma correcta.
Los datos se deberán recoger en los Puntos de Venta minoristas a través de la
herramienta de Vodafone WAS. También será posible activar a través del Web
Service habilitado en la Web del MAYORISTA, siempre que éste se integre con
Vodafone WAS. Será obligatorio comprobar que los datos proporcionados por el
Cliente/Comprado y grabados por Vodafone WAS o en Web Service se
corresponden con la documentación proporcionada.?
3. Copia del contrato suscrito entre Sercom Soluciones, S.L. y
***ESTABLECIMIENTO.1, el ?20/04/2021?, fecha posterior a los hechos.
4.Copia del texto que Sercom Soluciones, S.L. muestra en su web service, al que
deben acceder los distintos puntos de venta antes de activar las tarjetas prepago de
Vodafone.
5. Copia de las "Condiciones Generales de los Servicios de Comunicaciones Móviles.
Prepago".
Comienza indicando que ?Las presentes Condiciones Generales constituyen el
Contrato (en adelante, el Contrato) y son las únicas aplicables a la prestación de
servicios de comunicaciones móviles de Vodafone España, S.A.U., [...] en la
modalidad de Prepago (tarjeta) a los consumidores y usuarios [...] (en adelante, el
Cliente).?
Transcribimos algunas de sus estipulaciones:
?1. Objeto. - Vodafone prestará al Cliente el servicio telefónico móvil y los
servicios de comunicaciones electrónicas y valor añadido que solicite (en
adelante, el Servicio).
[...]
11.- Protección de Datos Personales. - Según lo dispuesto en la Ley Orgánica
15/1999 de Protección de Datos de carácter personal (LOPD), le informamos de
que los datos personales a los que Vodafone tenga acceso como consecuencia
de la prestación del Servicio se incorporarán a un fichero titularidad de Vodafone
y serán tratados con la finalidad de prestarle los servicios contratados.
El Cliente consiente, además, que Vodafone trate sus datos con las siguientes
finalidades: (i) llevar a cabo acciones comerciales generales o adaptadas a su
perfil, de los servicios de telecomunicaciones y de valor añadido prestados por
Vodafone, por empresas del Grupo Vodafone (www.vodafone.es) o por terceros
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/75
que intervengan en la prestación de dichos servicios, durante o con posterioridad
a la vigencia del contrato.
Las citadas acciones comerciales se podrán realizar mediante cualquier medio
de comunicación (teléfono, e-mail, sms, mms?); e (ii) instalar y actualizar en su
teléfono aquellas aplicaciones correspondientes a servicios de
telecomunicaciones y de valor añadido prestados por Vodafone, por empresas
del Grupo Vodafone o por terceros que intervengan en la prestación de dichos
servicios.
Asimismo, el Cliente consiente expresamente que Vodafone:
a) trate sus datos de tráfico y facturación, conforme a lo dispuesto en el art. 65.3
del Real Decreto 424/2005, de 15 de abril;
b) acceda y trate sus datos de navegación;
c) trate sus datos de localización, en el marco de la prestación de servicios de
valor añadido que impliquen dicha localización y siempre que previamente sean
solicitados por el Cliente y sólo por el tiempo necesario para prestarle los
mismos;
d) ceda sus datos personales a empresas del Grupo Vodafone
(www.vodafone.es), todo ello, con la finalidad de realizar acciones comerciales
en los mismos términos indicados en el apartado (i) del segundo párrafo de esta
Condición.
El Cliente podrá revocar todos los consentimientos expresados en esta
Condición dirigiéndose a Vodafone con la referencia ?Protección de Datos? por
cualquier medio de los indicados en la condición 6 de este Contrato.
En relación con los servicios de datos que el Cliente haya contratado o pueda
contratar, le informamos de que, en el marco de la prestación de los servicios
contratados, Vodafone podrá utilizar herramientas de control del volumen y el
uso de datos para gestionar el funcionamiento de su red, así como los servicios
contratados por el Cliente El Cliente podrá ejercitar los derechos de acceso,
rectificación, cancelación y oposición reconocidos en la LOPD dirigiéndose a
Vodafone por cualquier medio de los indicados en la cláusula 6.?
6. Copia de las "Condiciones Generales de los Servicios de Comunicaciones Móviles
Pospago. Particulares".
SÉPTIMO: Infracción del artículo 15 del RGPD: Efectos del pago anticipado de la
sanción.
En sus alegaciones al acuerdo de apertura de 28/02/2022 la reclamada solicita que se
tenga por reconocida su responsabilidad respecto a la infracción del artículo 15 del
RGPD que se le atribuyó en el citado acuerdo y para la que se fijó una posible sanción
de multa administrativa por importe de 100.000 euros.
Con fecha 01/03/2022 VODAFONE ordena un pago en la cuenta bancaria de la AEPD
por importe de 60.000 euros. La cantidad ingresada es el resultado de aplicar una
minoración del cuarenta por ciento a la cuantía de la multa prevista para la infracción
aludida. La reclamada ha hecho uso de las dos reducciones previstas en los apartados
2 y 3 del artículo 85 de la LPACAP. El pago realizado dentro del plazo concedido para
formular alegaciones a la apertura del procedimiento conlleva la renuncia a cualquier
acción o recurso en vía administrativa contra la sanción y el reconocimiento de
responsabilidad en relación con los hechos a los que se refiere el acuerdo de Inicio.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/75
El artículo 85 de la LPACAP dispone en su apartado 3 que ?el pago voluntario por el
presunto responsable, en cualquier momento anterior a la resolución, implicará la
terminación del procedimiento?.
Así pues, la consecuencia jurídica que deriva de que la reclamada haya procedido al
pago anticipado de la sanción prevista para la infracción del artículo 15 del RGPD es la
terminación ipso iure del procedimiento exclusivamente respecto a la citada infracción.
Por tanto, la tramitación de este procedimiento se circunscribe a las restantes
infracciones del RGPD atribuidas a la parte reclamada: artículos 6.1 y 17.
OCTAVO: Práctica de prueba.
En diligencia de fecha 27/06/2022 la instructora del procedimiento deja constancia de
la apertura de una fase de prueba por un periodo de treinta días; de que se practicarán
pruebas ante VODAFONE y SERCOM SOLUCIONES, S.L., (SERCOM) y de la
práctica de las siguientes diligencias probatorias:
1. Dar por reproducida la reclamación presentada por la parte reclamante y su
documentación anexa, así como los documentos obtenidos y generados durante las
actuaciones de traslado de la reclamación.
2. Dar por reproducidas las alegaciones al acuerdo de inicio del procedimiento
sancionador presentadas por VODAFONE y la documentación que a ellas acompaña.
A. Petición de prueba a VODAFONE.
Se requiere a la reclamada para que proporcione la siguiente información y
documentación:
1. Copia del Registro de Actividades de Tratamiento (RAT) que tuviera aprobado en
septiembre de 2020.
2. Respecto a la infracción del artículo 6.1 del RGPD derivada de haber tratado el NIF
del reclamante vinculado al alta de una línea prepago que no contrató, se solicita:
2.1. Copia del formulario que cumplimentó ante el ?***ESTABLECIMIENTO.1? la
persona que se identificó con el NIF de la reclamante y solicitó el alta de la línea
prepago.
2.2. Copia del Anexo III al ?Contrato de Distribución Mayorista Prepago no exclusivo
Vodafone? suscrito con SERCOM. Anexo que versa sobre el encargo de tratamiento
que el Distribuidor formalizó con VODAFONE. Deberá aportarlo cumplimentado y
firmado (i). Asimismo, deberá aportar las modificaciones o adiciones al citado Anexo III
que estuvieran vigentes en noviembre de 2020 (ii).
2.3. Copia del Anexo IV al ?Contrato de Distribución Mayorista Prepago no exclusivo
Vodafone? suscrito con SERCOM que versa sobre el cumplimiento por el Mayorista de
las obligaciones de trasladar al punto de venta Minorista todas las obligaciones en
materia de protección de datos de carácter personal (i) Deberá aportar también el
certificado que recabó del Distribuidor mediante el que éste acreditó que había dado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/75
traslado de tales obligaciones al punto de venta Minorista, en este caso a
***ESTABLECIMIENTO.1,(ii).
2.4. Copia del Anexo V al Contrato de Distribución Mayorista Prepago no exclusivo
Vodafone suscrito con SERCOM que versa sobre las políticas de VODAFONE
respecto al Fraude, Riesgo y Protección de la Información (i).
Deberá aportar, además: (ii) Documento que VODAFONE hubiera recabado del
Distribuidor al objeto de tener constancia documental del cumplimiento de la obligación
de informar al punto de venta Minorista. (iii) Asimismo, deberá indicar si en fecha
noviembre de 2020 esas políticas (las reflejadas en el Anexo V) habían sido
modificadas, reducidas o ampliadas por VODAFONE y, en caso afirmativo, copia del
documento en el que se recoja.
2.5. Respecto al Anexo II al Contrato de Distribución Mayorista Prepago no exclusivo
Vodafone, suscrito con SERCOM, referente a las instrucciones relativas al
cumplimiento de la disposición Adicional Única de la Ley 25/2007, de 18 de octubre,
de Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes
Públicas de Comunicaciones al que alude la estipulación con el que se aporta la copia
del contrato que el Mayorista suscribió con el minorista ***ESTABLECIMIENTO.1, se
solicita:
(i) Que aporte una copia del contrato que la Distribuidora SERCOM tenía suscrito con
***ESTABLECIMIENTO.1, en fecha 17/11/2020, toda vez que el ejemplar de contrato
aportado data de ?20/04/2021?.
(ii) Que detalle cuáles son los controles que VODAFONE realiza respecto a los
contratos celebrados con los puntos de venta minoristas por parte del Distribuidor a fin
de verificar que son ajustados a Derecho.
2.6.¿De qué forma puede acreditar VODAFONE ante esta Autoridad Supervisora que,
efectivamente, el punto de venta recabó de la persona que solicitó la contratación de
una línea prepago su documento de identidad original (no fotocopia), que verificó su
identidad y que recabó del citado documento los datos de identidad del cliente?
2.7. Respecto al documento denominado Condiciones Generales de los Servicios de
Comunicaciones Móviles Prepago que VODAFONE ha aportado con sus alegaciones
al acuerdo de apertura como documento anexo número 5, se solicita que informe de
en qué momento se hace entrega del referido condicionado al cliente que contrata una
línea prepago con VODAFONE a través de un punto de venta minorista.
2.8. Respecto al documento número 4 aportado por VODAFONE anexo a sus
alegaciones al acuerdo de inicio -la captura de pantalla de una aplicación de
VODAFONE en la que a la izquierda aparece un campo con la leyenda ?Acceso
clientes? y debajo ?***ESTABLECIMIENTO.1? y a la derecha ?Indícanos el número de
teléfono a activar? e ?Indica los datos del cliente, un botón con la leyenda ?Activar? e
inmediatamente después ?información activación vodafone? que resulta ilegible y que
la operadora ha transcrito ? se solicita que informe de la fecha en la que tal aplicación
estuvo operativa; en particular desde qué fecha se utiliza con el punto de venta
minorista ***ESTABLECIMIENTO.1.
3.Respecto a la infracción del artículo 6.1 del RGPD derivada de haber efectuado una
consulta al fichero de solvencia patrimonial ASNEF utilizando como criterio de
búsqueda el NIF de la reclamante, se requiere:
3.1. Que acredite documentalmente que, según manifestó en sus alegaciones al
acuerdo de inicio, recibió una solicitud online para contratar un producto o servicio que
implicaba financiación o facturación periódica en la que la solicitante se identificó con
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/75
el NIF de la reclamante. Deberá aportar (i) los documentos que acrediten la solicitud
recibida y (ii) la documentación que entonces se recabó del solicitante del contrato a
fin de verificar su identidad.
3.2. Que acredite documentalmente que la persona que solicitó contratar un servicio
pospago que le llevo a hacer una consulta al fichero de solvencia ASNEF utilizando
como criterio de búsqueda el NIF de la reclamante fue informada de este tratamiento,
previamente a la consulta, en cumplimiento de lo dispuesto en el artículo 13 del
RGPD.
4. Respecto a la vulneración del artículo 17 del RGPD atribuida a VODAFONE, se
solicita:
4.1. Que explique las razones por las que no procedió ?sin dilación indebida? a suprimir
el dato del NIF de la reclamante al amparo del artículo 17.1.d) RGPD desde que la
entidad fue perfectamente conocedora de que el dato de la reclamante se había
vinculado a una contratación fraudulenta. En ese sentido nos remitimos a los correos
electrónicos intercambiado con la reclamante de los que resulta que en fecha
03/02/2021, cuando ya obraba en poder de VODAFONE la denuncia policial
interpuesta por la reclamante y diversos documentos remitidos por ella, reconoció que
se trataba de un fraude, pese a lo cual hasta el 27/05/2021, según tiene declarado, no
suprimió el dato de la reclamante de sus sistemas.
B. Solicitud de prueba a SERCOM relacionada con el contrato de ?Distribución
Mayorista Prepago. No exclusivo Vodafone?, que suscribió con esa operadora el
01/06/2019.
La notificación electrónica se puso a disposición de la destinataria el 27/06/2022
siendo rechazada el 08/06/2022.
NOVENO: Respuesta de VODAFONE a las pruebas practicadas.
El 21/07/2022 se recibe en la AEPD la respuesta de la reclamada a las pruebas
practicadas.
1. A la petición de que aporte una copia del RAT que estuviera aprobado en
septiembre de 2020, remite un documento del que comenta que está ?vigente en
noviembre de 2020? y ?que se aplica tanto a franquicias como a mayoristas?.
El documento, identificado con el número 1, lleva por rúbrica ?Detalles de la actividad
de tratamiento? (Processing Activity Details). La información versa, exclusivamente,
sobre ?Distribucion?Distribuidores Franquicias?. En el apartado ?Descripción del
tratamiento?, menciona la ?gestión de las tiendas de franquicia? y dice que el
tratamiento es el mismo que en las tiendas propias de VODAFONE con dos
diferencias: ?but with two different ERP in the front.?.
No se identifica con claridad a VODAFONE como responsable del tratamiento. Se
utiliza la referencia ?1.0? en la descripción del tratamiento que efectúa el
responsable/encargado de tratamiento y los fines del tratamiento. Sobre la base legal
del tratamiento dice que ?las personas han dado su consentimiento para el tratamiento
de sus datos personales para una o varias finalidades.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/75
2. En relación con la infracción del artículo 6.1 del RGPD derivada del alta de una línea
prepago vinculada al NIF de la reclamante:
2.1. Se solicita que aporte la copia del formulario que el cliente que contrató la línea
prepago cumplimentó en el ***ESTABLECIMIENTO.1. Esta petición tuvo su razón de
ser en que, a tenor del ?Contrato de Distribución Minorista? entre SERCOM y
***ESTABLECIMIENTO.1, ?En caso de que el operador lo requiera, el punto de venta
deberá imprimir el formulario por duplicado, obtener la firma del cliente, entregarle una
copia y conservar la otra para su recogida por parte del personal de Sercom.?
(estipulación 4.3)
VODAFONE responde remitiendo otro documento distinto del solicitado: facilita una
captura de pantalla con la información que se incorporó a la aplicación informática de
SERCOM, documento que ya había aportado.
2.2. Habida cuenta de que el apartado 12.2 del contrato de Distribución Mayorista
celebrado entre VODAFONE y SERCOM que facilitó a la AEPD con las alegaciones al
acuerdo de inicio establecía que ?el Mayorista dará traslado de todas las obligaciones
en materia de protección de datos de carácter personal a los puntos de venta
Minoristas y certificará haber dado traslado de estas obligaciones mediante la firma de
un certificado estándar que se adjunta como documento IV.?, se solicitó a esa
operadora que aportara el citado anexo IV y ?el certificado que recabó del Distribuidor
mediante el que éste acreditó que había dado traslado de tales obligaciones al punto
de venta Minorista, en este caso a ***ESTABLECIMIENTO.1?.
VODAFONE responde aportando dos veces un documento que nada certifica.
El documento remitido es un formulario (identificado como anexo IV) en el que,
además de no constar cumplimentados los datos del certificante (debería ser
SERCOM), puesto que los espacios destinados al NIF, nombre, domicilio y datos del
representante están vacíos, no hay sello ni firma de SERCOM. Figura el sello de
VODAFONE estampado dos veces y una firma sin indicación de a quién pertenece. No
hay en el documento ninguna mención a SERCOM.
2.3. Se solicitó a VODAFONE la copia del anexo V al Contrato de Distribución
Mayorista Prepago suscrito con SERCOM y la copia del documento que VODAFONE
hubiera recabado del distribuidor al objeto de tener constancia documental del
cumplimiento de la obligación de informar al punto de venta Minorista.
VODAFONE aporta el referido anexo V, que lleva por rúbrica ?Política anticorrupción,
sanciones económicas y seguridad corporativa? pero no ha remitido ningún documento
que acredite que SERCOM informó al punto de venta. Se ha limitado a facilitar dos
anexos al anexo V: A. ?Acuerdo de confidencialidad individual. Datos e información
propiedad de Vodafone España, S.A.U.? y B. ?Normas y procedimiento de seguridad.
Resumen normativa general de seguridad?. En ambos documentos (A y B) no aparen
cumplimentados los datos identificativos del declarante, es decir, estamos ante un
formulario en que no se identifica a nadie como autor de la declaración que en ellos se
recoge. No existe ningún sello o firma de SERCOM. Aparece por duplicado el sello de
VODAFONE. También una rúbrica de la que se ignora a quién pertenece.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/75
2.4. El anexo II al Contrato de Distribución Mayorista suscrito con SERCOM, versa
sobre las instrucciones relativas al cumplimiento de la disposición Adicional Única de
la Ley 25/2007.
Se pidió a VODAFONE que aportara (i) la copia del contrato que la distribuidora
SERCOM tenía suscrito con ***ESTABLECIMIENTO.1, en fecha 17/11/2020, toda vez
que el ejemplar de contrato aportado data de ?20/04/2021?, y (ii) que detallara cuáles
eran los controles que VODAFONE realiza respecto a los contratos celebrados por el
distribuidor, SERCOM, con los puntos de venta minoristas a fin de verificar que son
ajustados a Derecho.
Respecto a los controles, VODAFONE, ha respondido:
?[...] en relación con los controles que Vodafone realiza respecto a los contratos
celebrados entre los mayoristas y los minoristas, los mismos se detallan en las
siguientes cláusulas:
Cláusula 11.1 del contrato entre Vodafone y SERCOM (Documento 2 del escrito
de Alegaciones al Acuerdo de Inicio): "Con la finalidad de garantizar la calidad
de los servicios de VODAFONE asociados a los Productos y el prestigio de su
marca, la trazabilidad de los Productos activados y evitar el Fraude y/o Engaño
Comercial, el MAYORISTA deberá facilitar a VODAFONE diariamente a través
de Vodafone WAS un informe sobre todos los Puntos de Venta Minoristas con
los que trabaja así como el tipo de producto suministrado a los mismos por parte
del MAYORISTA incluyendo la siguiente información de cada Punto de Venta
Minorista:
? Sobre cada Punto de Venta Minorista: Detalle del nombre comercial, CIF,
denominación social, dirección, teléfono, localidad, código postal y sector de
actividad,
? Sobre los productos vendidos por El MAYORISTA a cada Punto de Venta
Minorista: número de productos vendidos por tipo de producto, MSISDN en su
caso y fecha de compra del producto por parte del Punto de Venta Minorista. Si
la fecha de información a VODAFONE de los productos vendidos por parte del
MAYORISTA al punto de venta minorista es posterior a la fecha de activación
del MSISDN por parte del minorista o, si la activación de los productos se realiza
con un NIF/CIF de un Punto de Venta minorista distinto del informado por parte
del MAYORISTA, la actuación del MAYORISTA podrá ser considerada Engaño
Comercial.
[...]".
Cláusula 9 del contrato de encargo del tratamiento (Documento 3): "El
Encargado del Tratamiento se asegurará de que cualquier Subencargado del
Tratamiento permita a Vodafone, sus clientes (incluidos los subcontratistas,
auditores u otros agentes de Vodafone y sus respectivos clientes) y/o las
Autoridades de Privacidad (cada una de ellas una "Parte de Auditoría") acceder
a sus sistemas informáticos y otros sistemas de información, registros,
documentos y acuerdos que razonablemente requiera la Parte de Auditoría, para
comprobar que el Encargado del Tratamiento y/o sus SubEncargados están
cumpliendo con sus obligaciones establecidas bajo el presente Acuerdo (o
cualquier contrato de subTratamiento subsiguiente) o cualquier Legislación de
Privacidad Aplicable [...]".
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/75
Además, como se ha apuntado en el apartado iii. anterior, mediante el Anexo IV
el mayorista certifica que ha trasladado a los puntos de venta las obligaciones
aplicables en materia de protección de datos.?
En definitiva, los controles consisten:
1.En las obligaciones que se establecen en la cláusula 11.1 del contrato de
Distribución, a tenor de la cual el distribuidor se obliga a informar a la operadora de la
identidad de los puntos de venta con los que concierta contratos y los productos
suministrados. Extremos que no permiten en ningún caso controlar si los puntos de
venta siguen el protocolo de identificación de los adquirentes de las tarjetas. Es más,
ni siquiera se menciona entre las obligaciones que asume el distribuidor SERCOM la
de facilitar a VODAFONE la copia de los documentos contractuales que suscribe con
los puntos de venta. La estipulación 9 del contrato de encargo de tratamiento,
disposición que no contempla las actuaciones de comprobación de la identidad del
contratante de las tarjetas prepago.
2. A través de un documento emitido por el mayorista certifica que ha trasladado a los
puntos de venta las obligaciones aplicables en materia de protección de datos según
el modelo que consta como anexo IV del contrato de distribución. Sin embargo, en el
certificado aportado, como se ha expuesto anteriormente, no se acredita nada pues lo
que aporta VODAFONE no es un certificado emitido por el distribuidor SERCOM sino
un formulario sin cumplimentar que lleva los sellos de VODAFONE.
2.5. A la pregunta formulada sobre cómo podía VODAFONE acreditar ante la AEPD
que el punto de venta recabó de la persona que solicitó la contratación de la línea
prepago su documento de identidad original (no fotocopia); que el punto de venta
verificó su identidad y que recabó del citado documento los datos de identidad del
cliente, la reclamada no acredita nada y se limita a responder refiriéndose de nuevo al
contrato celebrado con el punto de venta (documento 6). Dice lo siguiente:
?Como se indicó en el escrito de Alegaciones al Acuerdo de Inicio, SERCOM se
obligó a trasladar al punto de venta la "obligación imprescindible de identificar
PRESENCIALMENTE al Cliente/Comprador mediante su tarjeta identificativa
original". Además, se especifica que "la documentación a presentar por las
personas físicas" consiste en el "DNI o NIF" o en el "Pasaporte o NIE"
(Documento 2 del escrito de Alegaciones al Acuerdo de Inicio).
A su vez, esta obligación fue trasladada al punto de venta
(***ESTABLECIMIENTO.1), tal y como acredita el Documento 6 aportado con
este escrito:?.
El documento 6 mencionado corresponde al contrato entre SERCOM y el punto de
venta minorista ***ESTABLECIMIENTO.1.
2.6. VODAFONE aporta copia del contrato de distribución minorista de productos de
telefonía suscrito entre SERCOM y ***ESTABLECIMIENTO.1, (documento número 6).
La única referencia que existe en él a las obligaciones de las que supuestamente
debía informarle SERCOM en lo que concierne a la identificación de los adquirentes
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/75
de las tarjetas, es esta, en la que, como se puede verificar, no se exige que el cliente
aporte el documento identificativo original. El Condicionado General del contrato,
estipulación 4, ?Requisitos para la toma de datos de clientes de SIM/PACK:?, dice:
?4.1. En cumplimiento de lo dispuesto en la Disposición Adicional Única de la
Ley 25/2007 de 18 de octubre, de Conservación de Datos Relativos a las
Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones, el
Punto de Venta Autorizado al vender una SIM/PACK deberá cumplir con las
siguientes obligaciones
a. Llevar un libro-registro en el que conste la identidad de los clientes que
adquieran una tarjeta inteligente con dicha modalidad de pago.
b. Información previa a los clientes sobre la existencia y contenido del registro,
de su disponibilidad en los términos expresados en el número
siguiente y de los derechos recogidos en el artículo 38.6 de la Ley 32/2003.
c. La identificación se efectuará mediante documento acreditativo de la
personalidad, haciéndose constar en el libro-registro el nombre, apellidos y
nacionalidad del comprador, así como el número correspondiente al documento
identificativo utilizado y la naturaleza o denominación de dicho documento. En el
supuesto de personas jurídicas, [..]
d. En los casos en que el operador lo requiera, recoger y enviar la
documentación firmada por el cliente al lugar que Sercom le indique. [...] (El
subrayado es nuestro)
Estipulación 11. ?Protección de datos de carácter personal de clientes.
?El punto de venta dará cumplimiento a lo preceptuado en la Ley 25/2007, de 18
de octubre; en cuanto a la conservación de los datos recabados de los usuarios,
siendo, por tanto, de su exclusiva responsabilidad el cumplimiento o no de la
legalidad vigente en materia de protección de datos. El Punto de Venta reconoce
expresamente cumplir con todos los requisitos exigidos por la Ley 15/1999 de
Protección de Datos.?
3.Respecto a la infracción del artículo 6.1 del RGPD derivada de la consulta al fichero
de solvencia patrimonial ASNEF utilizando el NIF de la reclamante, se requirió a
VODAFONE que acreditara dos extremos:
1. La supuesta recepción de una solicitud online efectuada por quien se identificó con
el NIF de la reclamante para contratar un producto o servicio que implicaba
financiación o facturación periódica. A ese respecto se pidieron estos documentos: los
que acreditaran la recepción de la solicitud del producto a la que alude y los que se
recabaron del solicitante a fin de verificar su identidad.
2. Que se informó a la persona que pidió contratar un servicio online, con carácter
previo al tratamiento (la consulta), conforme exige el artículo 13 del RGPD.
La reclamada responde a petición de prueba diciendo:
?Vodafone no ha podido localizar la solicitud en cuestión. No obstante, tal y
como se apuntó en el escrito de Alegaciones al Acuerdo de Inicio, la consulta al
fichero de ASNEF no estaba vinculada con el alta de la tarjeta prepago, en la
medida en que el alta de tarjeas prepago no implica un proceso de scoring ni la
consulta a ficheros de morosidad.? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/75
Respecto a la segunda petición dice:
?Nos remitimos a lo expuesto en la respuesta a la pregunta anterior.?
4.Respecto a la infracción del artículo 17 del RGPD, se pidió a VODAFONE que
explicara los motivos por los que no procedió ?sin dilación indebida? a suprimir el dato
del NIF de la reclamante al amparo del artículo 17.1.d) RGPD desde el momento en
que conoció que se había vinculado a una contratación fraudulenta, siendo así que los
correos electrónicos intercambiado con la reclamante evidenciaban ?que en fecha
03/02/2021, cuando ya obraba en poder de VODAFONE la denuncia policial
interpuesta por la reclamante y diversos documentos remitidos por ella, reconoció que
se trataba de un fraude, pese a lo cual hasta el 27/05/2021, según tiene declarado, no
suprimió el dato de la reclamante de sus sistemas.?
VODAFONE respondió reiterando lo alegado sobre esta infracción del RGPD en su
escrito de alegaciones al acuerdo de inicio.
DÉCIMO: Propuesta de resolución.
La propuesta de resolución, firmada y notificada el 10/10/2022, se formuló en los
siguientes términos:
a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una infracción del artículo
6.1. del RGPD, tipificada en el artículo 83.5.a) del RGPD, concretada en haber dado
de alta una línea prepago asociada al NIF de la reclamante, con una multa de 70.000
? (setenta mil euros).
2. Que por la Directora de la Agencia Española de Protección de Datos se sancione a
VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una infracción del artículo 6.1.
del RGPD, tipificada en el artículo 83.5.a) del RGPD, concretada en haber consultado
un fichero de información crediticia utilizando como criterio el NIF de la reclamante sin
estar legitimada para este tratamiento, con una multa de 70.000? (setenta mil euros).
3.Que por la Directora de la Agencia Española de Protección de Datos se sancione a
VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una infracción del artículo 17
del RGPD, tipificada en el artículo 83.5.b) del RGPD, con una multa 100.00 ? (cien mil
euros).>>
Obra en el expediente el certificado emitido por la FNMT que acredita que la
notificación fue aceptada por la reclamada el 17/10/2022.
Así pues, siendo de diez días el plazo otorgado para formular alegaciones a la
propuesta de resolución conforme al artículo 73.1 de la LPACAP, el referido plazo
finalizaría el 31/10/2022.
UNDÉCIMO: Con fecha 18/10/2022 se recibe en la AEPD un escrito de VODAFONE
en el que solicita que se amplíe, por el máximo permitido legalmente, el plazo otorgado
para formular alegaciones a la propuesta de resolución.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/75
La AEPD responde el 19/10/2022 denegando la ampliación solicitada. El escrito de
respuesta se notifica a la reclamada el 19/10/2022.
A las razones aducidas por VODAFONE para justificar su solicitud de ampliación -que
?el plazo inicialmente otorgado [...] no permite formular debidamente las oportunas
alegaciones y recabar las pruebas necesarias? debido a ?la complejidad del
procedimiento y la cuantía de la sanción que pudiese corresponder?- se respondió que
no obraba en el procedimiento ningún documento que fuera desconocido para la
reclamada, pues, por una parte, se le había hecho entrega de la copia del expediente
antes del trámite de alegaciones al acuerdo de inicio y, de otra, las únicas pruebas que
se practicaron con obtención de documentación lo habían sido ante la propia
VODAFONE toda vez que SERCOM no llegó siquiera a aceptar la notificación. Se
añadió que la reclamada había tenido la posibilidad de aportar pruebas en los trámites
de alegaciones al acuerdo de inicio y en la fase de prueba y que la propuesta de
resolución mantenía la calificación jurídica de los hechos que se hizo en el acuerdo de
inicio, limitándose, en esencia, a rebatir los argumentos que la reclamada había
esgrimido en su defensa en sus alegaciones al acuerdo de apertura.
DUODÉCIMO: VODAFONE no formula alegaciones a la propuesta de resolución.
A fecha 03/11/2022, tres días después de que finalizara el plazo otorgado para
formular alegaciones a la propuesta de resolución, no han tenido entrada en el
Registro de esta Agencia las alegaciones de VODAFONE.
Conforme al artículo 73.1 de la LPACAP, el plazo para formular alegaciones es de diez
días hábiles, que deberán computarse desde el siguiente a la aceptación de la
notificación. Así pues, habiendo aceptado VODAFONE la notificación de la propuesta
de resolución el día 17/10/2022, el plazo de alegaciones finalizó el día 31/10/2022.
De las actuaciones practicadas en el presente procedimiento y de la documentación
que obra en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: La reclamante, A.A.A., titular del NIF ***NIF.1, denuncia que VODAFONE,
entidad de la que no es cliente, ha dado de alta asociada a su NIF una línea telefónica
prepago sin su conocimiento ni consentimiento; ha consultado el sistema de
información crediticia de EQUIFAX utilizando como criterio de búsqueda su NIF y no
ha atendido los derechos de acceso y supresión que ejercitó ante la operadora.
SEGUNDO: VODAFONE trató el dato del NIF de la reclamante vinculado al alta de
una línea telefónica prepago, número (?), con fecha 17 de noviembre de 2020. Obran
en el expediente, aportadas por VODAFONE con su respuesta a la solicitud
informativa de la Subdirección de Inspección de Datos, diversas capturas de pantalla
de sus sistemas informáticos (documentos anexos 3 y 4) en las que figura registrada la
cuenta cliente ID ***ID.1, correspondiente al número de teléfono y a la fecha
precitados, y vinculada al nombre de B.B.B. y al NIF de la reclamante, ***NIF.1. El
dato del NIF se encuentra registrado en la ?(?)? en la pestaña ?Info. de contacto?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/75
TERCERO: VODAFONE declara que estaba legitimada para tratar el dato del NIF de
la reclamante que le facilitó el tercero que intervino en la contratación y que la base
jurídica del tratamiento es el artículo 6.1.c) del RGPD en conexión con la Disposición
Adicional Única de la Ley 25/2007. La reclamada ha declarado:
?Vodafone está obligada por la Ley 25/2007 a tratar el "número correspondiente al
documento identificativo utilizado" por el comprador de la tarjeta prepago; cuestión
distinta es que dicho número resulte ser erróneo o haya sido utilizado mediante un
fraude por un tercero, pero ello no podrá suponer, en ningún caso, una infracción del
artículo 6.1 del RGPD.?
CUARTO: VODAFONE reconoce en sus alegaciones al acuerdo de inicio (alegación
tercera) que el dato del NIF de la reclamante que fue objeto de tratamiento vinculado a
la línea prepago no pertenece al adquirente de la tarjeta. La entidad ha dicho:
?[...] pueden existir casos, como el presente, en el que Vodafone trate un dato
personal que no pertenece al solicitante de la tarjeta prepago, sino a un tercero (el
Reclamante). Es lo que ha sucedido en este caso: es una evidencia y no la negamos.?
QUINTO: VODAFONE manifiesta que el tercero que contrató con ella y se identificó
con el NIF de la reclamante ?superó satisfactoriamente las políticas de seguridad? de la
compañía ?pues para llevar a cabo el alta de una línea prepago se exige la exhibición
de un documento oficial de identificación ante los agentes de las tiendas físicas?. Ha
declarado que no conoció la existencia de este fraude hasta que se le fue notificado
por la reclamante y que en ese momento ?se inicia un procedimiento para comprobar
los hechos y solucionar la situación.? VODAFONE recibió la copia de la denuncia que
la reclamante formuló en la policía el 21/12/ 2020.
SEXTO: El contrato de Distribución Mayorista suscrito entre VODAFONE y SERCOM,
cláusula 12.2, dice que SERCOM ?dará traslado de todas las obligaciones en materia
de protección de datos de carácter personal a los puntos de venta Minoristas y
certificará haber dado traslado de estas obligaciones mediante la firma de un
certificado estándar que se adjunta como documento IV.?
Se requiere a VODAFONE en fase de prueba para que aporte el certificado emitido
por SERCOM al amparo de la referida estipulación. En respuesta, aporta un
documento -el formulario anexo IV- en el que no hay ninguna mención a SERCOM. En
el documento no están cumplimentados los datos del certificante (debería ser
SERCOM). Los espacios destinados al NIF, nombre, domicilio del certificante y los
datos de su representante están vacíos; no hay sello ni firma de SERCOM. Hay un
sello de VODAFONE estampado dos veces y una firma sin indicación de a quién
pertenece.
SÉPTIMO: El Anexo II al contrato entre SERCOM y VODAFONE, ?Recogida de datos.
Contrato de distribución mayorista?, contiene las instrucciones relativas al
cumplimiento de la disposición Adicional Única de la Ley 25/2007, respecto de (i) la
identificación presencial y recogida de datos de los clientes que adquieran una Tarjeta
Prepago o un Pack Prepago con carácter previo a la venta y (ii) la información a los
mismos en los términos descritos en la citada Ley , todo ello de conformidad con lo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/75
dispuesto en la cláusula 11.2 del Contrato de Distribución Mayorista del que el Anexo
trae causa.
Su estipulación primera, ?Identificación Presencial y Recogida de Datos del
Cliente/Comprador?, dice:
?1. El MAYORISTA deberá trasladar al Punto de Venta minorista mediante la
suscripción de un acuerdo que recoja obligaciones relacionadas en el presente
anexo, la obligación imprescindible de identificar PRESENCIALMENTE al
Cliente /Comprador mediante su tarjeta identificativa original. * La
documentación a presentar por las personas físicas según su nacionalidad y
situación, es la siguiente: -Para españoles: DNI o NIF. -Para ciudadanos de la
Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte. -Para
ciudadanos de fuera de la Comunidad Europea: Pasaporte o NIE. [...].?
El contrato de distribución minorista de productos de telefonía suscrito entre SERCOM
y ***ESTABLECIMIENTO.1, (documento número 6 de los aportados en fase de
prueba) no recoge la obligación de que el cliente exhiba el documento original. Su
estipulación 4, ?Requisitos para la toma de datos de clientes de SIM/PACK:?, dice:
?1. En cumplimiento de lo dispuesto en la Disposición Adicional Única de la Ley
25/2007 [...], el Punto de Venta Autorizado al vender una SIM/PACK deberá
cumplir con las siguientes obligaciones
[..]?
c. La identificación se efectuará mediante documento acreditativo de la
personalidad, haciéndose constar en el libro-registro el nombre, apellidos y
nacionalidad del comprador, así como el número correspondiente al documento
identificativo utilizado y la naturaleza o denominación de dicho documento. En el
supuesto de personas jurídicas, [..]?
OCTAVO: Se solicita a VODAFONE en fase de prueba que detalle cuáles son los
controles que realiza respecto a los contratos celebrados por el distribuidor, SERCOM,
con los puntos de venta minoristas a fin de verificar que son ajustados a Derecho.
De su respuesta -que se reproduce con detalle en el Antecedente octavo- los controles
consisten en:
1. Un documento que emite el distribuidor mayorista en el que certifica que ha
trasladado a los puntos de venta las obligaciones aplicables en materia de protección
de datos, anexo IV del contrato de distribución. Nos remitimos al Hecho Probado
SEXTO.
2. Las obligaciones establecidas en la cláusula 11.1 del contrato de Distribución, a
tenor de la cual el Distribuidor se obliga a informar a la operadora de la identidad de
los puntos de venta con los que concierta contratos y los productos suministrados, y la
estipulación 9 del contrato de encargo de tratamiento entre SERCOM y VODAFONE.
NOVENO: Se solicita a la reclamada en fase de prueba que aporte copia del RAT. El
documento que aporta (número 1 de los remitidos en fase de prueba) versa,
exclusivamente, sobre la actividad de los Distribuidores- Franquicias y no especifica si
el tratamiento de datos personales al que se está refiriendo tiene que ver con el que se
efectúa con la venta de productos prepago o de otro tipo de productos. Como base
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/75
legal del tratamiento dice que ?las personas han dado su consentimiento para el
tratamiento de sus datos personales para una o varias finalidades?.
DÉCIMO: Obra en el expediente un documento de EQUIFAX con la fecha
?11/12/2020? que recoge el resultado de la búsqueda efectuada en esa fecha en el
fichero ASNEF utilizando como criterio el NIF de la reclamante. En el apartado del
documento ?Histórico de consultas? está registrada una consulta realizada por
?Vodafone One, S.A.U.? el 15/09/2020, a las 18:40.27.8 horas.
UNDÉCIMO: VODAFONE reconoce en sus alegaciones al acuerdo de inicio que
consultó el fichero ASNEF utilizando como identificador el NIF de la reclamante;
declara que la consulta estuvo vinculada a ?una solicitud online? que había recibido y
que ?el producto en cuestión sobre el que se hizo la consulta a Equifax era un
producto relativo a una financiación, pago aplazado o facturación periódica, por lo que
cae dentro del ámbito de aplicación del artículo 20.1.e) de la LOPDGDD?.
DUODÉCIMO: Se solicita a VODAFONE en fase de prueba que acreditara
documentalmente que recibió una solicitud online para contratar un producto o servicio
que implicaba financiación o facturación periódica por una persona que se identificó
con el NIF de la reclamante. En particular se pidió que aportara (i) los documentos que
acrediten la solicitud recibida y (ii) la documentación que entonces se recabó del
solicitante del contrato a fin de verificar su identidad.
La reclamada responde: ?Vodafone no ha podido localizar la solicitud en cuestión? (El
subrayado es nuestro)
DÉCIMOTERCERO: Obra en el expediente la siguiente documentación que acredita
que la reclamante ejercitó el derecho de acceso y los términos de la respuesta de
VODAFONE, tanto al ejercicio del derecho por la reclamante como a la petición
informativa que sobre la cuestión le dirigió la Subdirección de Inspección de la AEPD:
1.Un correo electrónico que la reclamante envía el 19/12/2020 a
derechosprotecciondatos@vodafone.es desde su cuenta
(***USUARIO.1@gmail.com) en el que solicita el acceso a sus datos y con el
que aporta la copia de su DNI.
2.Un correo de VODAFONE a la reclamante, de fecha 21/12/2020, a las 19.20
horas, en el que acusa recibo de la petición y le responde que, de conformidad
con el artículo 15 del RGPD, ?Lamentamos informarle de que no se encuentra
legitimada para obtener el derecho de acceso con respecto a los datos
personales (Documento Nacional de Identidad) que constan en el sistema de
VODAFONE ESPAÑA ya que usted no registra en el mismo como titular de los
datos requeridos. Le recordamos que, si lo desea, puede ejercitar sus derechos
de supresión, acceso, limitación, rectificación y portabilidad mediante el envío de
una comunicación por escrito, acompañada de copia de su DNI o documento
identificativo equivalente, a la dirección [...]? (El subrayado es nuestro)
3.Un correo que la reclamante envía a VODAFONE el 21/12/2020, a las 20:21
horas, con este texto: ?Se adjunta denuncia interpuesta ante la policía nacional
debido a una usurpación de mi identidad, por lo cual les estoy solicitando el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/75
acceso a los datos personales que puedan aparecer relacionados con mi DNI o
nombre, ya que ustedes han consultado mis datos el día 15/09/2020 18:40:27 en
un fichero de Equifax de manera ilegítima ya que no tengo ningún contrato ni
relación con ustedes.? Anexa a él, además del DNI y del escrito solicitando el
acceso, la denuncia policial.
4.Un correo de VODAFONE de 29/12/2020 en el que acusa recibo de la solicitud
de acceso de 21 de diciembre y responde en los mismos términos que en su
anterior contestación (punto 2).
5. Una captura de pantalla de los sistemas VODAFONE (documento 2 anexo a la
respuesta al requerimiento informativo de la Subdirección de Inspección) en
cuya imagen se ve, en la pestaña ?Información llamante? el ID ***ID.1 (al que
está vinculado el NIF de la reclamante y el nombre y apellidos del tercero) y
debajo la pestaña correspondiente a la ?petición 10915XXXX?. En ella está
registrado como ?Título? ?Fraude?, como ?Tipo? ?Fraude? y como ?Código de
apertura? ?Fraude?. A continuación, se transcribe el texto de la solicitud
formulada por la reclamante, en la que se identifica por su nombre, apellidos, NIF
y domicilio; expone que desea ejercitar el derecho de acceso; pide que le
faciliten ?información sobre sus datos personales, contratos, etc que puedan
figurar en su empresa.? e indica que aporta la copia de su DNI.
6.VODAFONE responde al requerimiento informativo de la Subdirección de
Inspección de la AEPD que la reclamante ejercitó ante ella el derecho de acceso
a sus datos el 19 de diciembre de 2020 y que le respondió el 21 de diciembre de
2020 comunicándole ?que no se encuentra legitimada para obtener el derecho
de acceso con respecto a los datos personales (Documento Nacional de
Identidad) que consta en el sistema de mi [la reclamada] ya que la Señora [la
reclamante] no está registrada como titular de los datos requeridos.? ?Esto se
debe a que los datos de la Sra. [la reclamante] estaban relacionados con un
tercero que utilizó los datos de la Interesada de forma fraudulenta. En este
supuesto, el único dato personal de la reclamante que está relacionado con este
fraude es el DNI, motivo por el cual en las evidencias que se aportan de los
sistemas de mi representada aparece información de un tercero ?B.B.B.?, con el
DNI de la reclamante ***NIF.1.? (El subrayado es nuestro)
DECIMOCUARTO: Obra en el expediente esta documentación que acredita que la
reclamante ejercitó el derecho de supresión y la respuesta que recibió de VODAFONE:
1. Un correo electrónico que la reclamante envía el 24/01/2021 a VODAFONE,
derechosprotecciondatos@vodafone.es, con este texto:
?Se envía este email para solicitar la supresión de mis datos de sus bases de
datos, ya que no me proporcionan la información relacionada con mi dni, y no
deberían tener ninguno de mis datos ya que no tengo ninguna relación con
Vodafone.? (El subrayado es nuestro)
La reclamante anexó a su correo su petición de supresión de datos firmada; su
DNI y ?copia de la ampliación de la denuncia en la que se ha proporcionado a la
policía nacional la información que me indican junto a la de otras empresas. [...]?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/75
2. Un correo de VODAFONE a la reclamante, de 26/01/2021, en el que
responde: ?[...] A la vista de su solicitud, en la que ejercita el derecho de
supresión de sus datos personales de conformidad con el artículo 17 del
Reglamento (UE) 2016/679 [...] Lamentamos informarle de que esta entidad no
puede generar la supresión de los datos solicitados ya que los mismos son
necesarios para prestar el servicio a la línea prepago ***TELÉFONO.1,
entendemos la finalidad de su requerimiento, sin embargo y en caso de no
reconocer el producto podríamos generar una rectificación de datos para que el
servicio conste a su nombre y pueda realizar uso del mismo; recalcamos que los
productos prepago no pueden ser desactivados, en su defecto podemos esperar
a que la tarjeta expire (Aproximadamente se estima fecha de expiración a Junio
de 2021 si no se generan recargas), luego de ello podría requerir nuevamente su
derecho de supresión.? (El subrayado es nuestro)
3. Un correo que la reclamante dirige a VODAFONE el 1/02/2021 con este texto:
?[...] Me indican desde el canal de Vodafone España de facebook que abrieron la
petición número 10915XXXX al departamento de fraude, donde notifican que
efectivamente hay un error y que está solventado. ¿Me pueden confirmar la
supresión de mis datos? [...] ?
4. Correo de contestación de VODAFONE de 3/02/2021 en el que dice que ?[...]
En respuesta a su correo, debemos de informarle que la línea ***TELÉFONO.1
correspondiente al fichero registrado con su número de Documento Nacional de
Identidad fue expirada por nuestra área de fraude con la finalidad de evitar
cualquier tipo de uso, sin embargo la misma aun registra en nuestro sistema y
solo será desconectada hasta el mes de Junio de 2021, lo que imposibilita que
sus datos sean suprimidos de nuestro sistema.
No obstante, el departamento de protección de datos genera un comunicado
general alertando a todas nuestras áreas el omitir cualquier tipo de gestión sobre
el fichero fraudulento, anexo a ello generamos la oposición al trato y uso de los
datos con finalidad comercial.
Por último, realizamos la aclaración que su requerimiento (Supresión de datos)
solo podrá ser atendido hasta la fecha expuesta con anterioridad (Junio de
2021), por ende es necesario que nos remita esta petición a finales del mes
expuesto. [...]? (El subrayado es nuestro)
DECIMOQUINTO: VODAFONE ha invocado estos motivos para explicar por qué no
procedió a suprimir el NIF de la reclamante ?sin dilación indebida?, de conformidad con
el artículo 17.1.d) del RGPD, después de saber que estaba vinculado a una
contratación fraudulenta:
- ?[...], Vodafone no guarda el número de DNI relacionado con la identidad de la
Reclamante, sino con la identidad (nombre y apellidos) del tercero que dio de
alta la tarjeta prepago.?
- Que concurren dos de las excepciones del artículo 17.3 del RGPD:
El apartado b), ?El tratamiento del número de DNI facilitado por el tercero era
necesario para que Vodafone cumpliera con una obligación legal?, en conexión
con la Disposición Adicional Única y el artículo 5 de la Ley 25/2007.
El apartado e): ?El tratamiento del número de DNI facilitado por el tercero era
necesario para la formulación, el ejercicio o la defensa de reclamaciones?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/75
DECIMOSEXTO: VODAFONE manifiesta en su respuesta al requerimiento informativo
de la Subdirección de Inspección que atendió el derecho de supresión de la
reclamante y suprimió su NIF de sus sistemas con fecha 27/05/2021.
DECIMOSÉPTIMO: El documento número 4 de los que VODAFONE facilitó a la
Subdirección de Inspección con su respuesta al requerimiento informativo, incluye dos
capturas de pantalla que acreditan que el 26/01/2021 existían en los sistemas de la
operadora reclamada registros en los que se menciona el carácter fraudulento de la
línea prepago vinculada al NIF de la reclamante. En el documento, la ?(...)? incorpora la
siguiente información: En la pestaña ?Registro de clientes? figura con el ?Nº de orden
V? la referencia ***REFERENCIA.1; como ?Título? ?Instalación Prepago Con...? y como
?F. Apertura? ?17/11/2020?. En el recuadro inferior, ?Peticiones, reclamaciones,
averías?, se registran varias reclamaciones, entre ella una de fecha 26/01/2021 con
esta información: Como ?Tipo?, consta ?Fraude?; como ?Código?, ?posible fraude? y
como ?Subcódigo?, ?Suplantación?.
FUNDAMENTOS DE DERECHO
I
Competencia de la AEPD
En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de sus datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD),
reconoce a cada autoridad de control y según lo establecido en los artículos 47 y 48 de
la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y
garantías de los derechos digitales (LOPDGDD), la Directora de la Agencia Española
de Protección de Datos es competente para iniciar y resolver este procedimiento.
Asimismo, el artículo 63.2 de la LOPDGDD determina que ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Procedimiento que se sustancia ante la AEPD
El Título VIII de la LOPDGDD lleva por rúbrica del ?Procedimiento en caso de posible
vulneración de la normativa de protección de datos? (artículos 63 a 69) El artículo 63.2
dispone que ?Los procedimientos tramitados por la Agencia Española de Protección
de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente
ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en
cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre
los procedimientos administrativos.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/75
A tenor de los artículos 63.1 y 64.1 y 2 de la LOPDGDD los procedimientos que se
tramitan por la AEPD son dos: Aquellos en los que ?un afectado reclame que no ha
sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15
a 22 del Reglamento (UE) 2016/679? y aquellos que ?tengan por objeto la
determinación de la posible existencia de una infracción de lo dispuesto en el
Reglamento (UE) 2016/679 y en la presente ley orgánica?. El artículo 64.1 de la
LOPDGDD remite al primero de los procedimientos indicados cuando verse
?exclusivamente? sobre ?la falta de atención de una solicitud de ejercicio de los
derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.?
Si el afectado no solicita a la AEPD ?exclusivamente? la tutela de los derechos que
tiene reconocidos en los artículos 15 a 22 del RGPD, sino que simultáneamente
presenta una reclamación por una presunta infracción de la normativa de protección
de datos de carácter personal, corresponde a la AEPD determinar si ambas
pretensiones se sustanciarán o no en el mismo procedimiento.
Como la AEPD indicó en el acuerdo de apertura de este procedimiento, en el supuesto
aquí planteado, en el que la reclamante solicita la tutela de los derechos que tiene
reconocidos en los artículos 15 y 17 del RGPD y, simultáneamente, denuncia la
infracción de disposiciones del RGPD, se estimó conveniente tramitar ambas
pretensiones a través del procedimiento sancionador. En la decisión adoptada se
valoró la gravedad que entrañaba la conducta de la reclamada que, bajo la apariencia
formal de haber atendido los derechos cuya tutela se reclamaba, actuó ignorando
radicalmente su contenido. También, el gran volumen de datos personales que la
reclamada trata en el desarrollo de su actividad empresarial pues estamos ante la
primera operadora de telecomunicaciones móviles del mercado nacional por número
de clientes.
III
Artículo 85 de la LPACAP e infracción del artículo 15 del RGPD.
El artículo 85 de la LPACAP dispone:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario, pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/75
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.?
En el Antecedente séptimo de esta resolución se recoge que VODAFONE procedió en
fecha 01/03/2022 al pago anticipado de la sanción fijada en el acuerdo de apertura
para la infracción del artículo 15 del RGPD con una reducción del cuarenta por ciento.
A tenor del artículo 85.3. de la LPACAP el pago anticipado de la sanción prevista
provocó la terminación del procedimiento sancionador respecto a dicha infracción.
IV
Disposiciones aplicables
El RGPD se ocupa en su artículo 5 de los principios que presiden el tratamiento de los
datos personales, precepto que dispone:
?1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente con el interesado (transparencia>>)
b) [...] («limitación de la finalidad»);
c) [...] («minimización de datos»);
d)exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas
razonables para que se supriman o rectifiquen sin dilación los datos personales que
sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) [...] («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra
su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas
u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto
en el apartado 1 y capaz de demostrarlo (>)?
El artículo 6 del RGPD bajo la rúbrica ?Licitud del tratamiento? concreta en su apartado
1 los supuestos en los que el tratamiento de datos de terceros es considerado lícito:
?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física.
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/75
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
Por su parte, la LOPDGDD establece en el artículo 20, bajo la rúbrica ?Sistemas de
información crediticia?:
?1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales
relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por
sistemas comunes de información crediticia cuando se cumplan los siguientes
requisitos:
a) [...]
b) [...]
c) [...]
d) [...]
e) Que los datos referidos a un deudor determinado solamente puedan ser
consultados cuando quien consulte el sistema mantuviese una relación contractual
con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera
solicitado la celebración de un contrato que suponga financiación, pago aplazado o
facturación periódica, como sucede, entre otros supuestos, en los previstos en la
legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento
de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del
Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con
arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin
facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en
tanto se resuelve sobre la solicitud del afectado.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste
no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya
consultado el sistema informe al afectado del resultado de dicha consulta.?
El Capítulo III del RGPD, ?Derechos de los interesados?, se refiere entre otros al
derecho de supresión de los datos. El artículo 17 del RGPD dispone:
?Derecho de supresión («el derecho al olvido»)
?1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del
tratamiento la supresión de los datos personales que le conciernan, el cual estará
obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna
de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que
fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad
con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se
base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no
prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al
tratamiento con arreglo al artículo 21, apartado 2;
d)los datos personales hayan sido tratados ilícitamente;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/75
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal
establecida en el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información mencionados en el artículo 8, apartado 1.
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo
dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento,
teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará
medidas razonables, incluidas medidas técnicas, con miras a informar a los
responsables que estén tratando los datos personales de la solicitud del interesado de
supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de
los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable;
c)por razones de interés público en el ámbito de la salud pública de conformidad con
el artículo 9, apartado 2, letras h) e i), y apartado 3;
d)con fines de archivo en interés público, fines de investigación científica o histórica o
fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que
el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar
gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.? (El subrayado es
nuestro)
V
Infracción del artículo 6.1. del RGPD: Tratamiento del NIF de la reclamante vinculado
al alta de una línea prepago.
1.En el acuerdo de inicio se atribuyó a VODAFONE una infracción del artículo 6.1. del
RGPD derivada de haber tratado el NIF de la reclamante vinculado a una línea
prepago que ella no contrató, toda vez que el tratamiento de ese dato personal no
estaba basado en ninguna de los causas de licitud que el precepto establece.
En sus alegaciones al acuerdo de inicio VODAFONE negó que el tratamiento
efectuado vulnerase el artículo 6.1 del RGPD. Consideró que este tratamiento era lícito
e invocó como base jurídica su apartado c): ?el tratamiento es necesario para el
cumplimiento de una obligación legal aplicable al responsable del tratamiento?.
Explicó que la obligación legal venía impuesta por la disposición Adicional Única de la
Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones (en adelante la
Ley 25/2007) que establece:
?Servicios de telefonía mediante tarjetas de prepago.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/75
1. Los operadores de servicios de telefonía móvil que comercialicen servicios
con sistema de activación mediante la modalidad de tarjetas de prepago,
deberán llevar un libro-registro en el que conste la identidad de los clientes que
adquieran una tarjeta inteligente con dicha modalidad de pago.
Los operadores informarán a los clientes, con carácter previo a la venta, de la
existencia y contenido del registro, de su disponibilidad en los términos
expresados en el número siguiente y de los derechos recogidos en el artículo
38.6 de la Ley 32/2003.
La identificación se efectuará mediante documento acreditativo de la
personalidad, haciéndose constar en el libro-registro el nombre, apellidos y
nacionalidad del comprador, así como el número correspondiente al documento
identificativo utilizado y la naturaleza o denominación de dicho documento. En el
supuesto de personas jurídicas, [...].
2. Desde la activación de la tarjeta de prepago y hasta que cese la obligación de
conservación a que se refiere el artículo 5 de esta Ley, los operadores cederán
los datos identificativos previstos en el apartado anterior, cuando para el
cumplimiento de sus fines les sean requeridos por los agentes facultados, los
miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos
Policiales de las Comunidades Autónomas con competencia para la protección
de las personas y bienes y para el mantenimiento de la seguridad pública, el
personal del Centro Nacional de Inteligencia en el curso de las investigaciones
de seguridad sobre personas o entidades, así como los funcionarios de la
Dirección Adjunta de Vigilancia Aduanera.
3. Los datos identificativos estarán sometidos a las disposiciones de esta Ley,
respecto a los sistemas que garanticen su conservación, no manipulación o
acceso ilícito, destrucción, cancelación e identificación de la persona autorizada.
[...]?. (El subrayado es nuestro)
El apartado 3 de la disposición Adicional remite a otros preceptos de la Ley 25/2007
como los artículos 8 y 9. El artículo 8, ?Protección y seguridad de los datos? dispone:
?1. Los sujetos obligados deberán identificar al personal especialmente
autorizado para acceder a los datos objeto de esta Ley, adoptar las medidas
técnicas y organizativas que impidan su manipulación o uso para fines distintos
de los comprendidos en la misma, su destrucción accidental o ilícita y su pérdida
accidental, así como su almacenamiento, tratamiento, divulgación o acceso no
autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de
diciembre, y en su normativa de desarrollo.
2. Las obligaciones relativas a las medidas para garantizar la calidad de los
datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las
establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de
desarrollo.
3. El nivel de protección de los datos almacenados se determinará de
conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y
en su normativa de desarrollo.
4. La Agencia Española de Protección de Datos es la autoridad pública
responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica
15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los
datos contemplados en la presente Ley.? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/75
El artículo 9 de la Ley 25/2007, ?Excepciones a los derechos de acceso y cancelación?
dispone en su apartado 2:
?El responsable del tratamiento de los datos denegará el ejercicio del derecho de
cancelación en los términos y condiciones previstos en la Ley Orgánica 15/1999,
de 13 de diciembre.? (El subrayado es nuestro)
Las referencias a la Ley Orgánica 15/1999 de Protección de Datos de Carácter
Personal (LOPD) deben entenderse hechas ahora al RGPD y a la LOPDGDD.
El tratamiento de datos personales que los operadores efectúen al amparo de la Ley
25/2007 está sujeto, en todo caso, a la normativa de protección de datos de carácter
personal. Así lo confirma el Consejo de Estado en su Dictamen 32/2007, de
22/02/2007, emitido en relación con el Anteproyecto de Ley de Conservación de datos
relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
en el que, por lo que respecta a los datos tratados en aplicación de la Disposición
Adicional Única, menciona, reiterándolo, el criterio del Gabinete Jurídico de la AEPD
en su informe:
?La llevanza del libro-registro aludido supondrá un tratamiento de datos, como
señala la AEPD, que en todo punto deberá resultar conforme con lo dispuesto en
la Ley Orgánica 15/1999; ahora bien, podrán establecerse especialidades o
excepciones en aquellos aspectos en los que esa ley orgánica permite que las
mismas se establezcan mediante ley (por ejemplo, artículo 6.1 y 11.2.a).?
2. A la vista de lo alegado por la reclamada en defensa la licitud de su conducta -
alegaciones que se exponen con detalle en el punto 2, apartado (i) A del Antecedente
Sexto de esta resolución- corresponde examinar cuál es el contenido y la razón de ser
de la obligación que la disposición Adicional Única de la Ley 25/2007 impone a los
operadores de telefonía, en este caso a VODAFONE.
La necesidad de determinar el alcance de esa obligación legal deriva de que es en
ella, en conexión con el artículo 6.1.c) del RGPD, en la que se pretende fundar la
licitud del tratamiento objeto de la reclamación y de que la reclamada se ha referido a
la disposición Adicional Única como ?la vara de medir que debe ser tomada por
Vodafone y el resto de los operadores.?
La finalidad perseguida con la obligación recogida en la mentada disposición es
contribuir a la lucha contra la delincuencia, dotando a las autoridades que tienen la
competencia de velar por la seguridad pública de un instrumento que les permita
controlar el uso de esos dispositivos con fines delictivos. El Preámbulo de la Ley
25/2007, apartado II, penúltimo párrafo, dice:
?En las disposiciones contenidas en la parte final se incluyen contenidos
diversos. Por un lado, y a los efectos de poder establecer instrumentos para
controlar el empleo para fines delictivos de los equipos de telefonía móvil
adquiridos mediante la modalidad de prepago, se establece, como obligación de
los operadores que comercialicen dicho servicio, la llevanza de un registro con la
identidad de los compradores.? (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/75
Sobre el contenido de la obligación impuesta se advierte que no se reduce a que los
operadores dejen constancia en un libro-registro de la ?identidad? de la persona que
adquiere una tarjeta prepago (?llevar un libro-registro en el que conste la identidad de
los clientes que adquieran una tarjeta?). La norma no obliga únicamente al operador a
llevar un libro-registro con la ?identidad? del adquirente de la tarjeta inteligente. Esa
conducta está precedida de una doble obligación a la que queda sujeto el operador
responsable del tratamiento: la ?identificación? del adquirente de la tarjeta prepago y el
empleo para efectuar tal ?identificación? de un medio específico (?mediante un
documento acreditativo de la personalidad?).
El diccionario de la Real Academia de la Lengua Española (RAE) define el término
?identificación? como ?acción y efecto de identificar o identificarse? y el término
?identificar? como ?Reconocer si una persona o cosa es la misma que se supone o se
busca.? El término ?identidad? (en su segunda acepción) como ?conjunto de rasgos
propios de un individuo o de una colectividad que los caracterizan frente a los demás?.
Se concluye así que la disposición Adicional examinada obliga al operador, con
carácter previo a la recogida de datos personales en el libro-registro, a ?reconocer? que
los datos de identidad que el adquirente de la tarjeta inteligente le ha facilitado
coinciden, son los mismos, que figuran en el documento acreditativo de su
personalidad. En definitiva, en el contexto en el que es aplicable la disposición
adicional Única -el de la adquisición de las tarjetas prepago- la obligación de
?identificar? que recae sobre el operador se traduce en ?reconocer? si los datos de
identidad, esto es, los elementos o rasgos con los que se ha caracterizado ante él la
persona que pretende adquirir una tarjeta inteligente -el nombre, apellidos, número del
documento identificativo facilitado y naturaleza del documento e incluso su imagen
física- son los que figuran en el ?documento? ?acreditativo de la personalidad?.
La ley 25/2007 obliga al operador a que la acción de identificar, de ?Reconocer si una
persona [...] es la misma que se supone [..].?, se lleve a cabo a través de un
?documento acreditativo de la personalidad?. En nuestro ordenamiento jurídico ese
documento es, por excelencia, el ?documento nacional de identidad? o ?DNI?, único que
por sí solo prueba indubitadamente la identidad de su titular.
La Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (en
adelante Ley Orgánica 4/2015) establece en su artículo 8, enmarcado en el Capítulo II,
?Documentación e identificación personal?:
?Acreditación de la identidad de los ciudadanos españoles.
1. Los españoles tienen derecho a que se les expida el Documento Nacional de
Identidad.
El Documento Nacional de Identidad es un documento público y oficial y tendrá
la protección que a estos otorgan las leyes. Es el único documento con
suficiente valor por sí solo para la acreditación, a todos los efectos, de la
identidad y los datos personales de su titular.
2. En el Documento Nacional de Identidad figurarán la fotografía y la firma de su
titular, así como los datos personales que se determinen reglamentariamente,
que respetarán el derecho a la intimidad de la persona sin que, en ningún caso,
puedan ser relativos a la raza, etnia, religión, creencias, opinión, ideología,
discapacidad, orientación o identidad sexual, o afiliación política o sindical. La
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/75
tarjeta soporte del Documento Nacional de Identidad incorporará las medidas de
seguridad necesarias para la consecución de condiciones de calidad e
inalterabilidad y máximas garantías para impedir su falsificación.? (El subrayado
es nuestro)
La Ley Orgánica 4/2015 menciona también, como medios para la identificación
personal, estos documentos: El ?Pasaporte de ciudadanos españoles?, regulado en el
artículo 11 que dispone ?1. El pasaporte español es un documento público, personal,
individual e intransferible que, salvo prueba en contrario, acredita la identidad y
nacionalidad de los ciudadanos españoles fuera de España, y dentro del territorio
nacional, las mismas circunstancias de los españoles no residentes.? Y los que
acreditan la identidad de los ciudadanos extranjeros en los términos del artículo 13.
A su vez, el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la
expedición del documento nacional de identidad y sus certificados de firma electrónica,
cuya última actualización es de 30/05/2015 (en lo sucesivo, el Real Decreto
1553/2005) dice en su artículo 1:
?1. El Documento Nacional de Identidad es un documento personal e
intransferible emitido por el Ministerio del Interior que goza de la protección que
a los documentos públicos y oficiales otorgan las leyes. Su titular estará obligado
a la custodia y conservación del mismo.
2. Dicho Documento tiene suficiente valor, por sí solo, para acreditar la identidad
y los datos personales de su titular que en él se consignen, así como la
nacionalidad española del mismo.
3. A cada Documento Nacional de Identidad, se le asignará un número personal
que tendrá la consideración de identificador numérico personal de carácter
general.
4.[...]? (El subrayado es nuestro)
Por su parte, el artículo 11 del Real Decreto, bajo la rúbrica ?Contenido? indica:
?El Documento Nacional de Identidad recogerá gráficamente los siguientes datos
de su titular: En el anverso: [...] Número personal del Documento Nacional de
Identidad y carácter de verificación correspondiente al Número de Identificación
Fiscal.? (El subrayado es nuestro)
La referencia explícita que la disposición Adicional de la Ley 25/2007 hace al medio de
identificación, al ?documento? acreditativo de la personalidad, presupone que el
operador tiene que acceder materialmente al documento. Queda descartado el uso de
la fotocopia, ya que carece de las garantías de seguridad de las que goza el
documento original. Por lo que concierne al DNI, nos remitimos al inciso último del
artículo 8.2 de la Ley Orgánica 4/2015, reproducido más arriba, y al artículo 10 del
Real Decreto 1553/2005 ?Características de la tarjeta soporte? que dice:
?1. El material, formato y diseño de la tarjeta soporte del Documento Nacional de
Identidad se determinará por el Ministerio del Interior, teniendo en cuenta en su
elaboración la utilización de procedimientos y productos conducentes a la
consecución de condiciones de calidad e inalterabilidad y máximas garantías
para impedir su falsificación. Llevará incorporado un chip electrónico al objeto de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/75
posibilitar la utilidad informática a que se refiere el artículo 1.4 de este Real
Decreto.?
Al hilo de lo expuesto, cabe precisar que resulta irrelevante la alegación de
VODAFONE, a tenor de la cual el tercero que intervino en la contratación no contrató
la línea ?a nombre de la reclamante? sino a su propio nombre. La reclamada insiste en
esa idea en varias ocasiones y toma en consideración para ello que el tercero que
intervino en la contratación se identificó con el NIF de la reclamante, pero no con el
nombre y apellidos de la reclamante sino con el de B.B.B.. Sin embargo, lo
determinante es que el NIF que utilizó el adquirente del producto prepago era el de la
reclamante y ese dato tiene ?per se" valor para identificar plenamente a su titular con
todos los datos que en él se consignan, también el nombre y apellidos. Mientras los
nombres y apellidos pueden coincidir en varios sujetos, el NIF es exclusivo de la
persona a quien se le asigna.
3. En consideración a lo expuesto, es obligado concluir que el artículo 6.1.c) del
RGPD, en conexión con la disposición Adicional Única de la Ley 25/2007, es un
fundamento válido de la licitud del tratamiento que los operadores de telefonía hagan
de los datos personales de los que sean titulares los adquirentes de tarjetas
inteligentes, siempre y cuando el tratamiento de datos que la operadora efectúe se
ciña y tenga únicamente como finalidad cumplir las previsiones de esa ley.
En ese sentido cabe advertir que el apartado c) del artículo 6.1 del RGPD, en conexión
con la Ley 25/2007, no ampara el tratamiento que las operadoras realicen, para otras
finalidades distintas de la perseguida por la disposición Adicional Única, de los datos
recabados en cumplimiento de esa disposición, como por ejemplo los vinculados con
el desarrollo y ejecución del contrato. Los tratamientos que eventualmente realice un
operador con otra finalidad que no sea la contemplada en la disposición Adicional
precitada, deberán estar amparados en alguna de las restantes bases jurídicas
descritas en el artículo 6.1. del RGPD, pero no en el apartado c) en conexión con la
Ley 25/2007.
Asimismo, hay que concluir respecto al supuesto que aquí se examina que no es
posible amparar la licitud del tratamiento que VODAFONE hizo del NIF de la
reclamante en la base jurídica del apartado c) del artículo 6.1 del RGPD en relación
con la obligación impuesta en la disposición Adicional Única de la Ley 25/2007.
La obligación impuesta en la disposición citada de la Ley 25/2007, conectada con el
artículo 6.1.c) del RGPD, habilita a los operadores, exclusivamente, a tratar los datos
de los que sean titulares las personas que adquieran una tarjeta prepago; de manera
que el tratamiento de un dato que no identifique al adquirente de ese tipo de servicios
queda fuera de la cobertura de la precitada disposición Adicional.
Como hemos señalado anteriormente, en el tratamiento de datos que los operadores
lleven a cabo en cumplimiento de la Ley 25/2007 es preceptivo respetar siempre la
normativa de protección de datos. Es más, la Ley 25/2007 prevé expresamente que se
apliquen a los datos que en ella se mencionan las obligaciones que establece el
RGPD (antes LOPD) para garantizar la calidad de los datos. En el contexto de la
disposición Adicional Única de la Ley 25/2007, la inexactitud de los datos que el
operador vincula al adquirente de una tarjeta prepago -especialmente si el dato es un
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/75
DNI, pues identifica inequívocamente a una persona- impide que ese tratamiento se
repute lícito sobre la base del artículo 6.1.c) del RGPD en conexión con la disposición
de la Ley 25/2007. Disposición que, como se ha dicho, impone al operador la
obligación de recoger los datos que identifiquen al adquirente de la tarjeta inteligente
pero no los datos de terceras personas.
Las razones expuestas conducen a rechazar las alegaciones de VODAFONE al
acuerdo de inicio de este procedimiento en las que sostiene que la circunstancia de
que el dato del NIF sea erróneo resulta irrelevante y en nada afecta a la licitud del
tratamiento efectuado. La reclamada ha dicho:
?Vodafone está obligada por la Ley 25/2007 a tratar el "número correspondiente
al documento identificativo utilizado" por el comprador de la tarjeta prepago;
cuestión distinta es que dicho número resulte ser erróneo o haya sido utilizado
mediante un fraude por un tercero, pero ello no podrá suponer, en ningún caso,
una infracción del artículo 6.1 del RGPD.? (El subrayado es nuestro)
Por otra parte, VODAFONE ha reconocido en sus alegaciones al acuerdo de inicio
(alegación tercera) que el dato del NIF de la reclamante que fue objeto de tratamiento
vinculado a la línea prepago no pertenecía al adquirente de la tarjeta. La entidad ha
dicho:
?[...] pueden existir casos, como el presente, en el que Vodafone trate un dato
personal que no pertenece al solicitante de la tarjeta prepago, sino a un tercero
(el Reclamante). Es lo que ha sucedido en este caso: es una evidencia y no la
negamos.? (El subrayado es nuestro)
En definitiva, la conducta de VODAFONE que es objeto de análisis constituye un
tratamiento ilícito del NIF de la reclamante y vulnera el artículo 6.1 del RGPD. La
reclamada trató el NIF de la reclamante y no el del adquirente del servicio prepago,
único dato que estaba habilitada para recoger a tenor de la obligación legal cuyo
cumplimiento ha invocado: la disposición Adicional Única de la Ley 25/2007.
4.Acreditada la existencia de una conducta antijurídica de VODAFONE -el tratamiento
del NIF del reclamante sin base jurídica- la cuestión se centra en determinar si de tal
conducta puede nacer responsabilidad administrativa sancionadora.
4.1. Como menciona la reclamada en su escrito de alegaciones, la responsabilidad
objetiva está proscrita en nuestro ordenamiento jurídico. En el Derecho Administrativo
sancionador rige el principio de culpabilidad, por lo que el elemento subjetivo o
culpabilístico es una condición indispensable para que surja la responsabilidad
sancionadora. El Tribunal Constitucional, entre otras, en su STC 76/1999, ha
declarado que las sanciones administrativas participan de la misma naturaleza que las
penales, al ser una de las manifestaciones del ius puniendi del Estado, y que, como
exigencia derivada de los principios de seguridad jurídica y legalidad penal
consagrados en los artículos 9.3 y 25.1 de la CE, es imprescindible su existencia para
imponerlas.
A propósito de la culpabilidad de la persona jurídica procede citar la STC 246/1991, 19
de diciembre de 1991 (F.J. 2), conforme a la cual, respecto a las personas jurídicas, el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/75
elemento subjetivo de la culpa se ha de aplicar necesariamente de forma distinta a
como se hace respecto de las personas físicas y añade que ?Esta construcción distinta
de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia
naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el
elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las
que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que
deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que
dicha protección sea realmente eficaz [...]? (El subrayado es nuestro)
La Ley 40/2015 de Régimen Jurídico del Sector Público establece en el artículo 28,
?Responsabilidad?:
?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas, así como, cuando una Ley les
reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades
sin personalidad jurídica y los patrimonios independientes o autónomos, que
resulten responsables de los mismos a título de dolo o culpa.?
A la luz de este precepto la responsabilidad sancionadora puede exigirse a título de
dolo o de culpa, siendo suficiente en el último caso la mera inobservancia del deber de
cuidado.
4.2. VODAFONE dedica la alegación tercera de sus alegaciones al acuerdo de inicio a
defender que, respecto a la conducta antijurídica que ha quedado acreditada, no
intervino culpabilidad de ningún tipo por su parte. En consecuencia, solicita el archivo
del expediente por inexistencia del necesario elemento de la culpabilidad.
La reclamada ha tratado de justificar la ausencia de culpabilidad de su conducta -el
alta de la línea prepago vinculada al NIF de la reclamante - con diversos argumentos,
como la actuación criminal de un tercero (el contratante), quien habría burlado los
controles de VODAFONE. También en la existencia de un error no imputable a la
entidad. Ha manifestado que ?[...] pueden existir casos, como el presente, en el que
Vodafone trate un dato personal que no pertenece al solicitante de la tarjeta prepago,
sino a un tercero (el Reclamante). [...] estaríamos ante supuestos en los que el
solicitante (el Tercero), valiéndose de artimañas y utilizando a su favor su experiencia
criminal, ha logrado burlar los controles establecidos por Vodafone, provocando el
error humano en el Punto de Venta.?
La decisión de archivar un expediente sancionador puede fundarse en la ausencia del
elemento de la culpabilidad cuando el responsable de la conducta antijurídica hubiera
obrado con toda la diligencia que las circunstancias del caso exigen. Así lo reconoce la
reclamada cuando se hace eco del pronunciamiento de la STS de 23 de enero de
1998 en la que, según manifiesta, el Tribunal declara que ?para la exculpación no
bastará la invocación de la ausencia de culpa, sino que será preciso que se haya
empleado la diligencia que era exigible por quien aduce su inexistencia.?
En cumplimiento del principio de culpabilidad la AEPD ha acordado en numerosas
ocasiones el archivo de procedimientos sancionadores en los que no concurría el
elemento de la culpabilidad del sujeto infractor. Supuestos en los que, pese a existir un
comportamiento antijurídico, había quedado acreditado que el responsable había
obrado con toda la diligencia que resultaba exigible, por lo que no se apreciaba culpa
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/75
alguna en su conducta. Ese ha sido el criterio mantenido por la Sala de lo Contencioso
Administrativo, sección 1ª, de la Audiencia Nacional. Pueden citarse, por ser muy
esclarecedoras, las siguientes sentencias:
- SAN de 26 de abril de 2002 (Rec. 895/2009) que dice:
?En efecto, no cabe afirmar la existencia de culpabilidad desde el resultado y esto es
lo que hace la Agencia al sostener que al no haber impedido las medidas de seguridad
el resultado existe culpa. Lejos de ello lo que debe hacerse y se echa de menos en la
Resolución es analizar la suficiencia de las medidas desde los parámetros de
diligencia media exigible en el mercado de tráfico de datos. Pues si se obra con plena
diligencia, cumpliendo escrupulosamente los deberes derivados de una actuar
diligente, no cabe afirmar ni presumir la existencia de culpa alguna.? (El subrayado es
de la AEPD)
- SAN de 29 de abril de 2010, Fundamento Jurídico sexto, que, a propósito de una
contratación fraudulenta, indica que ?La cuestión no es dilucidar si la recurrente trató
los datos de carácter personal de la denunciante sin su consentimiento, como si
empleó o no una diligencia razonable a la hora de tratar de identificar a la persona con
la que suscribió el contrato?. (El subrayado es de la AEPD)
4.3. Llegados a este punto conviene recordar nuevamente lo que la STC 246/1991 ha
dicho a propósito de la culpabilidad de la persona jurídica: que no falta en ella la
?capacidad de infringir las normas a las que están sometidos?. ?Capacidad de
infracción [...] que deriva del bien jurídico protegido por la norma que se infringe y la
necesidad de que dicha protección sea realmente eficaz [...]?. (El subrayado es
nuestro)
En conexión con lo expuesto hay que referirse al artículo 5.2. del RGPD (principio de
responsabilidad proactiva), conforme al cual el responsable del tratamiento será
responsable del cumplimiento de lo dispuesto en el apartado 1- por lo que aquí
interesa, del principio de licitud en relación con el artículo 6.1 del RGPD- y capaz de
demostrar su cumplimiento. El principio de proactividad transfiere al responsable del
tratamiento la obligación no solo de cumplir con la normativa, sino también la de poder
demostrar dicho cumplimiento
El artículo 5.2 se desarrolla en el artículo 24 del RGPD que obliga al responsable a
adoptar las medidas técnicas y organizativas apropiadas ?para garantizar y poder
demostrar? que el tratamiento es conforme con el RGPD. El precepto establece:
?Responsabilidad del responsable del tratamiento?
?1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento, así como los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el presente Reglamento. Dichas
medidas se revisarán y actualizarán cuando sea necesario.
2.Cuando sean proporcionadas en relación con las actividades de tratamiento,
entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por
parte del responsable del tratamiento, de las oportunas políticas de protección
de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/75
3.La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrán ser
utilizados como elementos para demostrar el cumplimiento de las obligaciones
por parte del responsable del tratamiento.? (El subrayado es nuestro)
El artículo 25 del RGPD, ?Protección de datos desde el diseño y por defecto?,
establece:
?1.Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la
naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de
diversa probabilidad y gravedad que entraña el tratamiento para los derechos y
libertades de las personas físicas, el responsable del tratamiento aplicará, tanto
en el momento de determinar los medios de tratamiento como en el momento
del propio tratamiento, medidas técnicas y organizativas apropiadas, como la
seudonimización, concebidas para aplicar de forma efectiva los principios de
protección de datos, como la minimización de datos, e integrar las garantías
necesarias en el tratamiento, a fin de cumplir los requisitos del presente
Reglamento y proteger los derechos de los interesados.
2.[...]? (El subrayado es nuestro)
Cabe preguntarse cuáles son los parámetros de la diligencia debida que VODAFONE
debía haber observado en relación con la conducta examinada. La respuesta es que la
diligencia que debió observar es aquella que era precisa para cumplir las obligaciones
que le impone la disposición Adicional Única de la Ley 25/2007 en relación con los
artículos 5.2, 24 y 25 del RGPD, a la luz de la doctrina de la Audiencia Nacional y la
jurisprudencia del Tribunal Supremo.
Es plenamente aplicable al caso, pese a haberse dictado durante la vigencia de la Ley
Orgánica 15/1999, la SAN de 17/10/2007 (Rec. 63/2006), que, después de referirse a
que las entidades en las que el desarrollo de su actividad conlleva un continuo
tratamiento de datos de clientes y terceros han de observar un adecuado nivel de
diligencia, dice: ?[...] el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto?. (El subrayado
es de la AEPD)
VODAFONE sostiene que, en el cumplimiento de la obligación que le impone la Ley
25/2007, observó toda la diligencia que era exigible. Para comprobar esta afirmación
nada mejor que examinar la documentación que obra en el expediente y acredita
cuáles fueron las medidas efectivamente adoptadas por esa operadora.
Se preguntó a VODAFONE en fase de prueba cómo podía acreditar ante la AEPD que
el punto de venta recabó de la persona que solicitó la contratación de la línea prepago
su documento de identidad original (no fotocopia); que el punto de venta verificó su
identidad y que recabó del citado documento los datos de identidad del cliente. La
reclamada respondió que el distribuidor SERCOM se había obligado en el contrato de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/75
Distribución Mayorista suscrito con VODAFONE a trasladar al punto de venta la
obligación imprescindible de identificar al cliente/comprador mediante su tarjeta
identificativa original y que, a su vez, esta obligación se había traslado al contrato
suscrito entre el distribuidor SERCOM y el punto de venta minorista,
***ESTABLECIMIENTO.1.
Se puede constatar así que las medidas que la operadora reclamada tenía articuladas
consistían, únicamente, en haber establecido cláusulas contractuales en virtud de las
cuales los sujetos que intervienen en el tratamiento de los datos de un adquirente de
una tarjeta prepago -varios sujetos, pues al encargado de tratamiento, el Distribuidor
Mayorista, le siguen varios sub encargados, los puntos de venta, en este caso
concreto ***ESTABLECIMIENTO.1- se obligan a actuar con arreglo a Derecho.
Estamos ante meras estipulaciones contractuales. Lo cierto es que VODAFONE no ha
podido ni siquiera aportar los documentos que, en cumplimiento de las previsiones del
contrato de Distribución Mayorista, debía tener en su poder, como es el caso del
certificado que debía expedir el distribuidor mayorista.
Así, en el Hecho Probado sexto se recoge que el contrato de Distribución Mayorista
suscrito entre VODAFONE y SERCOM, establecía (cláusula 12.2) que SERCOM ?dará
traslado de todas las obligaciones en materia de protección de datos de carácter
personal a los puntos de venta Minoristas y certificará haber dado traslado de estas
obligaciones mediante la firma de un certificado estándar que se adjunta como
documento IV.?.
Solicitado en pruebas a VODAFONE el certificado emitido por SERCOM al amparo de
la referida estipulación, la reclamada respondió aportando un formulario, anexo IV al
contrato, en el que no existe ninguna mención a SERCOM: en el documento aportado
no están cumplimentados los datos de quien debería ser el certificante (SERCOM).
Están vacíos los espacios destinados a su NIF, nombre, domicilio y datos de su
representante; no hay sello ni firma de SERCOM sino un sello de VODAFONE
estampado dos veces y una firma sin indicación de a quién pertenece.
El Anexo II al contrato entre SERCOM y VODAFONE, que lleva la rúbrica ?Recogida
de datos. Contrato de distribución mayorista?, dice que contiene las instrucciones
relativas al cumplimiento de la disposición Adicional Única de la Ley 25/2007, respecto
de (i) la identificación presencial y recogida de datos de los clientes que adquieran una
Tarjeta Prepago o un Pack Prepago con carácter previo a la venta y (ii) la información
a los mismos en los términos descritos en la citada Ley , todo ello de conformidad con
lo dispuesto en la cláusula 11.2 del Contrato de Distribución Mayorista del que el
Anexo trae causa.
Se comprueba que el Anexo II al contrato de Distribución Mayorista dice en su
estipulación primera, ?Identificación Presencial y Recogida de Datos del
Cliente/Comprador?:
?1. El MAYORISTA deberá trasladar al Punto de Venta minorista mediante la
suscripción de un acuerdo que recoja obligaciones relacionadas en el presente
anexo, la obligación imprescindible de identificar PRESENCIALMENTE al
Cliente /Comprador mediante su tarjeta identificativa original. * La
documentación a presentar por las personas físicas según su nacionalidad y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/75
situación, es la siguiente: -Para españoles: DNI o NIF. -Para ciudadanos de la
Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte. -Para
ciudadanos de fuera de la Comunidad Europea: Pasaporte o NIE. [...].? (El
subrayado es nuestro)
Sin embargo, en el contrato de distribución minorista de productos de telefonía suscrito
entre SERCOM y ***ESTABLECIMIENTO.1, (documento número 6 de los aportados
en fase de prueba) para la venta de los servicios prepago de VODAFONE no se
incluye ninguna referencia a que el documento identificativo que se recabe del
comprador deba de ser el original (nos remitimos al artículo 4.1.c) del contrato, ver
Hecho Probado séptimo, tercer párrafo).
Respecto a los controles previstos por VODAFONE para verificar el cumplimiento que
los encargados y sub encargados hacen de las obligaciones que les imponen los
contratos, se solicitó en fase de prueba que detallara cuáles eran los que tenía
establecidos a fin de verificar que los contratos con los puntos de venta minorista eran
ajustados a Derecho.
VODAFONE explica que los controles consistían, por una parte, en el certificado que
SERCOM emitía según el modelo del Anexo IV al contrato de Distribución Mayorista,
en cumplimiento de la obligación establecida en su cláusula 12.2. A propósito de este
certificado, como ha quedado expuesto, pese a que se solicitó en fase de prueba, la
reclamada no lo ha aportado, pues el documento que remite no incluye ninguna
referencia a SERCOM por lo que difícilmente puede certificar algo a través de él. Por
otra, VODAFONE se refirió a que el distribuidor, a tenor de la cláusula 11.1 del
contrato de Distribución Mayorista, venía obligado a informar a VODAFONE de la
identidad de los puntos de venta con los que concertaba contratos y sobre los
productos que se le suministraban. En relación con esta medida se ignora de qué
forma, con esa sola medida, podía VODAFONE conocer, y menos aún controlar, si los
puntos de venta seguían o no el protocolo de identificación de los adquirentes de las
tarjetas prepago que preveía el contrato con el Distribuidor Mayorista.
Resulta también llamativa la falta de diligencia demostrada por VODAFONE en su
obligación de llevar un registro de las actividades de tratamiento (RAT). Esta carencia
repercute directamente en la probabilidad de que la reclamada adopte las medidas
oportunas para garantizar el cumplimiento del principio de licitud respecto de un dato
personal como el NIF, cuyo tratamiento no aparece reflejado en el RAT que la entidad
ha aportado.
El artículo 30 del RGPD obliga a que se describan en el RAT, entre otros, ?las
categorías de datos personales?. En respuesta a la petición hecha a la reclamada en
fase de prueba para que aportara ese registro, el documento que ha facilitado versa
exclusivamente sobre la actividad de los Distribuidores -Franquicias y no hace ninguna
referencia al dato del NIF ni a los documentos identificativos que han de recabarse con
ocasión de la venta de productos prepago. Tampoco menciona como base legal del
tratamiento la que ha invocado en sus alegaciones como fundamento jurídico del
tratamiento (el artículo 6.1.c, del RGPD en relación con la disposición Adicional de la
Ley 25/2007). Por el contrario, en el RAT aportado se contempla como base legal que
?las personas han dado su consentimiento para el tratamiento de sus datos personales
para una o varias finalidades?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/75
Así pues, la política de privacidad de VODAFONE que dice fue burlada por la
actuación criminal de un tercero, queda reducida, en la práctica, a incluir en los
contratos suscritos con el distribuidor mayorista y entre éste y los puntos de venta la
obligación de identificar al adquirente del servicio prepago con arreglo a la disposición
Adicional de la Ley 25/2007. Eso, con la matización de que el contrato con
***ESTABLECIMIENTO.1 no exigía que el documento identificativo fuera el original.
Las obligaciones adicionales que se incorporan al contrato de Distribución Mayorista,
como los certificados que debía emitir el distribuidor, no se han cumplido.
No se contempla la adopción de ninguna medida específica conforme a los artículos
5.2, 24 y 25 del RGPD para acreditar el cumplimiento de la obligación que se deriva
para VODAFONE de la Ley 25/2007. En definitiva, no ha existido una conducta
proactiva concretada en la adopción de medidas técnicas y organizativas apropiadas
para aplicar de forma efectiva los principios de protección de datos.
Resulta por tanto que, como se indicó en el acuerdo de inicio, la política de seguridad
de VODAFONE es claramente ineficaz e insuficiente, está muy por debajo de las
posibilidades que el desarrollo técnico actual ofrece y no toma en consideración el
evidente riesgo que la contratación de los servicios que comercializa representa para
los derechos y libertades de las personas
4.4. Por último, se reproducen las alegaciones que ha hecho VODAFONE a propósito
de las consideraciones que se incluyeron en el acuerdo de inicio de este
procedimiento respecto a la infracción del artículo 6.1 del RGPD que nos ocupa.
Se dijo en el acuerdo de inicio que, en virtud del principio de responsabilidad proactiva
(artículo 5.2 RGPD), el responsable del tratamiento debía estar en condiciones de
demostrar que el tratamiento de datos que llevó a cabo había respetado los principios
de protección de datos, en particular el principio de licitud. Lo que significaba que
debía de poder acreditar que había identificado a la persona con la que contrató a
través del medio exigido en la Ley 25/2007 y que esa persona era la titular del NIF
objeto de tratamiento.
Se añadió que la reclamada, en su respuesta a la solicitud informativa de la
Subdirección de Inspección, previa a la admisión a trámite de la reclamación, había
aportado a esta Agencia diversa documentación con la que pretendía justificar que su
actuación fue ajustada a Derecho pero que, sin embargo, no facilitó ninguna prueba
que demostrara que, con ocasión de contratar la línea asociada al NIF de la
reclamante, obró con la diligencia que era exigible en el cumplimiento del principio de
licitud. Se había limitado a manifestar que el tercero que contrató con ella y se
identificó con el NIF de la reclamante ?superó satisfactoriamente las políticas de
seguridad? de la compañía ?pues para llevar a cabo el alta de una línea prepago se
exige la exhibición de un documento oficial de identificación ante los agentes de las
tiendas físicas?. (El subrayado es nuestro)
Se dijo entonces que la política de seguridad que la reclamada seguía no le permitía
demostrar, ni siquiera indiciariamente, que los agentes de la tienda recabaron al
tercero contratante la exhibición de un documento identificativo; que éste lo exhibió;
que la reclamada, a través de sus agentes, lo cotejó con los datos de identidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/75
proporcionados y que el resultado de ese cotejo confirmó que el contratante era el
titular de los datos facilitados como suyos, por lo que esa política no resultaba acorde
con la actitud proactiva que debe adoptar el responsable para cumplir la obligación
impuesta por el RGPD de respetar el principio de licitud.
Se hizo referencia también a las consideraciones que sobre el principio de proactividad
ofrece el Dictamen 3/2010, del Grupo de Trabajo del artículo 29 (GT29) -WP 173-
emitido durante la vigencia de la derogada Directiva 95/46/CEE, pero cuyas
reflexiones son aplicables en la actualidad, en el que se afirma que la ?esencia? de la
responsabilidad proactiva es la obligación del responsable del tratamiento de aplicar
medidas que, en circunstancias normales, garanticen que, en el contexto de las
operaciones de tratamiento, se cumplen las normas en materia de protección de datos
y en tener disponibles documentos que demuestren a los interesados y a las
Autoridades de control qué medidas se han adoptado para alcanzar el cumplimiento
de las normas en materia de protección de datos.
Por todo ello, en el acuerdo de apertura se consideró que la política de seguridad de
VODAFONE era claramente ineficaz e insuficiente y se advertía, además, que esa
falta de solidez de las medidas incidía en la graduación de la sanción de multa
debiendo aplicarse como agravante la circunstancia del artículo 83.2.d) del RGPD
relativa al ?grado de responsabilidad del responsable (...) habida cuenta de las
medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y
32.?
Frente a esas consideraciones hechas por la AEPD en el acuerdo de inicio, que se
reiteran, VODAFONE ha manifestado lo siguiente:
?[...]si la Agencia pretende aumentar las exigencias en materia de identificación
incorporando obligaciones de conservación y verificación técnica de
documentos, lo que procede es aprobar reglas a tal fin [...] y posteriormente, en
su caso, sancionar a la operadora que no las aplique, pero lo que no es
conforme a Derecho es pretender utilizar directamente la vía sancionadora como
método de fijación de los parámetros de seguridad exigibles.?
?De hecho, en este caso concreto no existe ninguna posibilidad para los
operadores privados de comprobar si el número de DNI corresponde
efectivamente a la persona que dice ser su titular y lo acredita con un documento
que puede estar manipulado. Lo contrario iría en contra de la normativa de
protección de datos, y es que la única forma de evitar un fraude como el que ha
dado origen a este expediente sería que Vodafone tuviera acceso a una base de
datos que permitiera comprobar que si el número de DNI empleado por el
solicitante pertenece en realidad al solicitante en cuestión.? (El subrayado es
nuestro)
Las reflexiones que se hicieron en el acuerdo de apertura, que se reiteran en esta
resolución, no son, como aduce VODAFONE, un intento de la Agencia de ?aumentar?
?las exigencias en materia de identificación incorporando obligaciones de
conservación y verificación técnica de documentos?. En contra de lo que la reclamada
sostiene la AEDP se ha limitado a examinar la suficiencia de las medidas que
VODAFONE tenía establecidas para acreditar la identidad de quien contrata con ella
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/75
un servicio prepago en cumplimiento de la disposición Adicional de la Ley 25/2007, a
la luz de los artículos 5.2, 24 y 25 del RGPD.
Por tanto, en atención a lo expuesto, debe concluirse que VODAFONE es responsable
de una infracción del artículo 6.1. del RGPD tipificada en el artículo 83.5.a) RGPD,
precepto que dice:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo
del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;?.
El artículo 72.1.b) de la LOPDGDD califica de infracción muy grave ?El tratamiento de
datos personales sin que concurra alguna de las condiciones de licitud del tratamiento
establecidas en el artículo 6 del Reglamento (UE) 2016/679.? El plazo de prescripción
de las infracciones muy graves (artículo 72.1) es de tres años.
VI
Infracción del artículo 6.1 del RGPD: Consulta al fichero ASNEF vinculada al NIF de la
reclamante:
En el acuerdo de inicio de este procedimiento sancionador se identificó a VODAFONE
ESPAÑA, S.A.U., con NIF A8090739, como responsable de una presunta infracción
del artículo 6.1. del RGPD concretada en haber consultado el fichero de solvencia
ASNEF utilizando el NIF de la reclamante sin que concurriera una circunstancia
legitimadora de ese tratamiento. Posteriormente, la propuesta de resolución confirmó
la imputación de la referida infracción a VODAFONE ESPAÑA, S.A.U.
Sin embargo, en el documento de EQUIFAX, de fecha 11/12/2020, que la reclamante
anexó a su reclamación, acreditativo de la consulta al fichero ASNEF el 15/09/2020
vinculada a su NIF, consta que quien realizó esa consulta fue la sociedad VODAFONE
ONO, S.A.U. Esta sociedad, cuyo NIF es A62186566, es una persona jurídica distinta
de la identificada como parte reclamada de este procedimiento.
El artículo 28 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público (LRJSP), bajo la rúbrica ?Responsabilidad? dispone en el apartado 1:
?Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las
personas físicas y jurídicas, [...], que resulten responsables de los mismos a título de
dolo o culpa.?
Por tanto, por lo que atañe a la infracción del artículo 6.1 del RGPD concretada en
haber tratado sin legitimación el NIF de la reclamante para consultar un fichero de
solvencia el 15/09/2020, debe acordarse el archivo del presente expediente
sancionador por no ser imputable tal conducta a la parte reclamada, VODAFONE
ESPAÑA, S.A.U., con NIF A80907397.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/75
Se indica, asimismo, que, en tanto no haya prescrito, nada impide la apertura de un
expediente sancionador contra VODAFONE ONO, S.A.U., como responsable de una
infracción del artículo 6.1. del RGPD derivada del tratamiento del NIF de la reclamante
sin base jurídica concretado en la consulta a un fichero de solvencia.
Según se indicó en el acuerdo de inicio de este procedimiento, el artículo 72 de la
LOPDGDD califica la infracción del artículo 6.1 del RGPD de muy grave y establece
para ella un plazo de prescripción de tres años, por lo que la infracción mencionada
prescribirá el 15/09/2023.
VII
Infracción del artículo 17 del RGPD
1.En el acuerdo de inicio del procedimiento sancionador se atribuyó a VODAFONE
una infracción del artículo 17 del RGPD por no haber atendido, en los términos
establecidos en el Reglamento (UE) 2016/679, el derecho de supresión que ejercitó la
reclamante respecto al dato de su NIF, pese a que la operadora reclamada venía
obligada a la supresión conforme al apartado 1.d) de esa disposición. Infracción que la
reclamada ha rechazado.
Nos referiremos, en primer término, a los hechos relacionados con esta conducta
contraria al RGPD:
La reclamante solicitó a VODAFONE la supresión del dato de su NIF el 24/01/2021. La
reclamada no atendió su derecho hasta el 27/05/2021, cuando habían transcurrido
más de cuatro meses desde la solicitud y después de que conociera por la AEPD, en
el marco de las actuaciones de traslado de la Subdirección de Inspección, que existía
una reclamación contra ella presentada por afectada ante esta Agencia.
La reclamante facilitó a VODAFONE, anexos a su solicitud de supresión de fecha
24/01/2020 enviada a la dirección electrónica derechosprotecciondatos@vodafone.es,
estos documentos: la solicitud firmada, copia de su DNI y de la ampliación de la
denuncia presentada en la Policía. La copia de la denuncia policial se había remitido a
VODAFONE días antes, con un correo de 21/12/2020.
VODAFONE respondió mediante un correo electrónico de fecha 26/01/2021 en el que
dijo:
?[...] A la vista de su solicitud, en la que ejercita el derecho de [...] Lamentamos
informarle de que esta entidad no puede generar la supresión de los datos
solicitados ya que los mismos son necesarios para prestar el servicio a la línea
prepago ***TELÉFONO.1, entendemos la finalidad de su requerimiento, sin
embargo y en caso de no reconocer el producto podríamos generar una
rectificación de datos para que el servicio conste a su nombre y pueda realizar
uso del mismo; recalcamos que los productos prepago no pueden ser
desactivados, en su defecto podemos esperar a que la tarjeta expire
(Aproximadamente se estima fecha de expiración a Junio de 2021 si no se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/75
generan recargas), luego de ello podría requerir nuevamente su derecho de
supresión.? (El subrayado es nuestro)
La reclamada, además de manifestar en su respuesta que ?no puede? proceder a la
supresión del dato porque era necesario para prestar el servicio a la línea prepago y
?recalcar? que los productos prepago no pueden ser desactivados, informó a la
reclamante de que debería de esperar a que la tarjeta prepago expirase, lo que se
produciría previsiblemente, siempre que no se generasen recargas, en junio de 2021.
Le comunicó que, en esa fecha, debería ejercitar nuevamente su derecho de
supresión. VODAFONE le ofreció también esta alternativa que se califica por sí misma:
poner la línea a su nombre. En otras palabras, rectificar los datos de nombre y apellido
que le facilitó el tercero que contrató con ella y que constaban en sus sistemas y
sustituirlos por los de la reclamante.
VODAFONE respondió el 3/02/2021 a un correo electrónico de la reclamante de fecha
1/02/2021 en el que preguntaba si, como le habían informado a través de Facebook, la
operadora había procedido ya a la supresión de su NIF. En este correo de 3/02/2021
VODAFONE reiteró la negativa a atender el derecho supresión y dijo:
?(...) En respuesta a su correo, debemos de informarle que la línea
***TELÉFONO.1 correspondiente al fichero registrado con su número de
Documento Nacional de Identidad fue expirada por nuestra área de fraude con la
finalidad de evitar cualquier tipo de uso, sin embargo, la misma aun registra en
nuestro sistema y solo será desconectada hasta el mes de Junio de 2021, lo que
imposibilita que sus datos sean suprimidos de nuestro sistema. (...)
Por último, realizamos la aclaración que su requerimiento (Supresión de datos)
solo podrá ser atendido hasta la fecha expuesta con anterioridad (Junio de
2021), por ende es necesario que nos remita esta petición a finales del mes
expuesto. (...)? (El subrayado es nuestro)
Del mensaje se infiere con claridad que VODAFONE reconocía que el NIF vinculado a
la línea prepago no pertenecía al contratante sino a la reclamante, pues la línea ?fue
expirada? por el área de ?fraude? de la operadora; pero, pese a ello, el dato personal
de la reclamante no será suprimido hasta el mes de junio, cuando la línea prepago sea
desconectada.
2. La reclamada ha negado que haya vulnerado el artículo 17 del RGPD y ha
manifestado que, pese a que la ?redacción? de sus respuestas fuera ?poco afortunada?,
respetó la normativa aplicable.
Ha argumentado que, de conformidad con el artículo 17 del RGPD, no estaba obligada
a suprimir el dato del NIF de la reclamante porque el tratamiento de ese dato no era
ilícito. Y ha justificado su afirmación, en línea con lo alegado en este procedimiento, en
que el tratamiento del DNI que le facilitó el solicitante de la tarjeta prepago ?[...] viene
impuesto por la disposición Adicional Única de la Ley 25/2007?. Además, añade que
?Vodafone no guarda ese dato (número de DNI) relacionado con la identidad de la
Reclamante, sino con la identidad (nombre y apellidos) del Tercero?. Nos remitimos a
lo ya expuesto en la Alegación Primera para evitar repeticiones innecesarias
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/75
Ha argumentado, también, que concurrían dos de las excepciones del apartado 3 del
artículo 17 del RGPD:
La prevista en la letra b), sobre la que dice que ?El tratamiento del número de DNI
facilitado por el Tercero era necesario para que Vodafone cumpliera con una
obligación legal?, que es la impuesta por la disposición Adicional Única y el artículo 5,
ambos de la Ley 25/2007. Considera que, de acuerdo con la disposición Adicional ?los
operadores de telefonía están obligados a recabar determinados datos del solicitante
de una tarjeta prepago, entre ellos ?el número correspondiente al documento
identificativo utilizado??, y que, conforme a las normas sobre conservación de los datos
del artículo 5 de la Ley 25/2007, estaba obligada a conservar el DNI ?facilitado por el
contratante de la tarjeta prepago?.
La segunda excepción a la aplicación del apartado 1 del artículo 17 del RGPD que a
juicio de la parte reclamada sería aplicable es la del apartado e) del artículo 17, sobre
la que comenta que estaba ?facultada para conservar el dato facilitado por el Tercero
para el caso de que en el futuro dicho dato fuera necesario para formular, ejercer o
defenderse de alguna reclamación. En este sentido, vuelve a cobrar importancia el
hecho de que Vodafone no había asociado con la identidad de la Reclamante, sino
con la del Tercero, esto es, quien dio de alta la tarjeta prepago, que además había
sido marcada como "fraude".
3. La Ley 25/2007 establece en el artículo 9, ?Excepciones a los derechos de acceso y
cancelación?:
?1. [...].
2. El responsable del tratamiento de los datos denegará el ejercicio del derecho
de cancelación en los términos y condiciones previstos en la Ley Orgánica
15/1999, de 13 de diciembre.? (El subrayado es nuestro).
Remisión que, como ya se ha dicho, debe entenderse a la normativa vigente, el RGPD
y la LOPDGDD. A su vez, el artículo 17 del RGPD, ?Derecho de supresión («el
derecho al olvido»)?, dispone:
?1. El interesado tendrá derecho a obtener sin dilación indebida del responsable
del tratamiento la supresión de los datos personales que le conciernan, el cual
estará obligado a suprimir sin dilación indebida los datos personales cuando
concurra alguna de las circunstancias siguientes:
a)
[...]
d)los datos personales hayan sido tratados ilícitamente; [..]?
El artículo 17 del RGPD es taxativo al obligar al responsable del tratamiento a suprimir,
sin dilación indebida, un dato personal cuando, como aquí sucede, el tratamiento sea
ilícito, pero, en todo caso, con la salvedad de que el tratamiento del dato sea necesario
para alguna de las finalidades que detalla el apartado 3 del artículo 17 (letras a, a e).
Ha quedado debidamente justificado en el Fundamento V de esta resolución que el
tratamiento del dato del NIF de la reclamante efectuado por VODAFONE vinculado a
una línea prepago vulneró el principio de licitud pues no estaba amparado en ninguna
de las bases jurídicas que relaciona el artículo 6.1 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/75
Por otra parte, las razones que la reclamada dio a la reclamante para justificar que no
suprimiera el dato del NIF ?sin dilación indebida?, estaban relacionadas con supuestas
exigencias técnicas del producto contratado por el tercero con el NIF de la reclamante,
circunstancia que no está recogida entre las excepciones a la aplicación del artículo
17.1 que contempla el artículo 17.3 del RGPD.
El cumplimiento de la obligación que el artículo 17.1 del RGPD impone al responsable
del tratamiento -proceder sin dilación indebida a la supresión de los datos del
interesado cuando exista alguna de las circunstancias que en él se relacionan- no
puede subordinarse o hacerse depender de más salvedades que las previstas en el
apartado 3 del artículo 17 del RGPD. En ningún caso en cuestiones relacionadas con
el funcionamiento del negocio del responsable, ya sean de naturaleza técnica, como
las que la reclamada adujo en los mensajes que dirigió a la reclamante, o de otra
índole.
Se añade a lo ya expuesto que cuando VODAFONE respondió, denegándola, a la
primera solicitud de la reclamante para que suprimiera su NIF conocía que el
tratamiento de este dato podía ser ilícito, toda vez que dos días después de esa
primera solicitud de supresión ya estaba registrada en sus sistemas la existencia de un
posible fraude en la contratación de la línea prepago.
No obstante, antes del correo de VODAFONE de 3/02/2021, en el que deniega la
supresión del NIF -correo de respuesta a otro de la reclamante de fecha 01/02/2021 en
el que pedía la confirmación de la supresión de su NIF- la reclamada era plenamente
consciente de que era ilícito el tratamiento del NIF de la reclamante que efectuaba
vinculado a la línea controvertida, pues su departamento de fraude ya había
catalogado como tal la línea. Pese a ello, la reclamada insistió en responder a la
reclamante que el NIF no podía suprimirse porque los productos prepago no podían
ser desactivados y era necesario esperar a que la tarjeta expirase.
VODAFONE suprime el NIF de la reclamante más de cuatro meses después de la
primera solicitud y lo hace después de conocer que existía una reclamación contra
ella, a raíz de las actuaciones de traslado de la Subdirección de Inspección de esta
Agencia.
La conducta de VODAFONE, que no atendió, siendo procedente, el derecho que el
artículo 17 del RGPD le reconoce a la reclamante, constituyen una clara vulneración
de esa norma.
En sus alegaciones VODAFONE niega haber vulnerado el artículo 17 del RGPD.
Los argumentos que VODAFONE invoca en defensa de la inexistencia de la infracción
del artículo 17.1. del RGPD consisten, en esencia, en dos excepciones a la aplicación
del artículo 17.1 previstos en el artículo 17.3 del RGPD y en la afirmación de que la
entidad no guardaba el dato del DNI objeto de tratamiento ?relacionado? con la
?identidad? de la reclamante, sino con la ?identidad? del tercero que intervino en la
contratación. En particular, manifiesta que ?Vodafone no guarda ese dato (número de
DNI) relacionado con la identidad de la Reclamante, sino con la identidad (nombre y
apellidos) del Tercero. Nos remitimos a lo ya expuesto en la Alegación Primera para
evitar repeticiones innecesarias.? ?Vodafone no había asociado con la identidad de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/75
Reclamante, sino con la del Tercero, esto es, quien dio de alta la tarjeta prepago, que
además había sido marcada como "fraude". (El subrayado es nuestro)
Empezando por esta última consideración, se debe indicar que contiene afirmaciones
contradictorias. Como se dice en el Fundamento V, siguiendo a la RAE, el término
?identidad? es el ?conjunto de rasgos propios de un individuo o de una colectividad que
los caracterizan frente a los demás?. A su vez, según la Ley Orgánica 4/2015, la
identidad de un ciudadano español se acredita a través del DNI, ?único documento con
suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y
los datos personales de su titular?. Y, según el Real Decreto 1553/2005 ?A cada
Documento Nacional de Identidad, se le asignará un número personal que tendrá la
consideración de identificador numérico personal de carácter general.?
Resulta por tanto que, al incorporar VODAFONE a sus sistemas el dato del DNI/NIF de
la reclamante ésta se encontraba plenamente identificada en los sistemas de la
reclamada, y ello con independencia de que VODAFONE lo asociara o no a un
número de cliente o al nombre y apellidos del tercero (B.B.B..) A su vez, es inexacta la
afirmación según la cual guardó el dato del NIF de la reclamante ?relacionado? con la
?identidad (nombre y apellidos) del Tercero?. El nombre y apellidos no identifican
plenamente al tercero. La identidad del tercero estaría registrada efectivamente en sus
sistemas si tuviera su NIF (no solo su nombre y apellidos), dato que VODAFONE no
recabó y no tiene tampoco registrado. Por ello, cuando de identificar al cliente se trata
lo decisivo es el dato del DNI/NIF.
Por lo que atañe a las salvedades a la aplicación del artículo 17.1 del RGPD que, a
juicio de la reclamada, operarían en este caso, apartados b) y e) del artículo 17.3 del
RGPD, se indica lo siguiente
En relación con el apartado b) del artículo 17.3. del RGPD -el cumplimiento de una
obligación legal que requiera un tratamiento de datos que venga impuesta por el
Derecho de los Estados miembros y se aplique al responsable del tratamiento-, basta
decir que es precisamente la Ley 25/2007, en particular su artículo 9, la que remite a la
aplicación de la normativa de protección de datos de carácter personal: ?El
responsable del tratamiento de los datos denegará el ejercicio del derecho de
cancelación en los términos y condiciones previstos en la Ley Orgánica 15/1999, de
13 de diciembre.? (El subrayado es nuestro)
De modo que es la Ley 25/2007, conectada con el artículo 17.3.b) del RGPD, en la
que VODAFONE busca exceptuar la aplicación del artículo 17.1.d) del RGPD, la que
expresamente obliga a la operadora a observar las disposiciones del RGPD cuando
atienda las solicitudes de supresión de los datos que objeto de tratamiento con
ocasión de su aplicación. Y, a su vez, conforme al artículo 17.1.d) del RGPD
procederá la supresión de aquellos datos personales cuyo tratamiento sea ilícito.
Tampoco es aceptable como salvedad a la aplicación del artículo 17.1.d) del RGPD y,
por consiguiente, como motivo para justificar la denegación de la supresión del dato
del NIF, la hipótesis de la letra e) del artículo 17.3: que el tratamiento del dato fuera
necesario ?para la formulación, el ejercicio o la defensa de reclamaciones.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/75
Consideración que parece obvia pues las reclamaciones que VODAFONE pudiera
dirigir frente a sus encargados o sub encargados de tratamiento, o incluso frente al
tercero, no necesitan para su fundamentación o prueba seguir realizando un
tratamiento del NIF de la reclamante vinculado a la línea prepago, tratamiento que es
ilícito. Más aún si se tiene en cuenta el rigor con el que el TJUE interpreta el término
?necesario?, referido a un tratamiento pues rechaza que ?necesario? pueda equipararse
a conveniente o adecuado.
Por cuanto antecede, esta resolución concluye que VODAFONE vulneró el artículo 17
del RGPD al no proceder a la supresión del NIF de la reclamante pese a venir obligada
a ella conforme al apartado 1.d) de esa disposición.
La infracción del artículo 17 del RGPD que se atribuye a la reclamada se encuentra
tipificada en el artículo 83.5.b) del RGPD que indica:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) (...)
b) los derechos de los interesados a tenor de los artículos 12 a 22;?
La LOPDGDD califica en su artículo 72.1.k) como infracción muy grave ?El
impedimento o la obstaculización (...) del ejercicio de los derechos establecidos en los
artículos 15 a 22 del Reglamento (UE) 2016/679.? El plazo de prescripción de estas
infracciones es de tres años.
VIII
Sanción de multa: Determinación del importe
El artículo 58.2 RGPD atribuye a las autoridades de control diversos poderes
correctivos entre los que el precepto menciona, apartado i), la imposición de una multa
administrativa con arreglo al artículo 83 del RGPD.
En esta resolución se acuerda sancionar a VODAFONE por las dos infracciones del
artículo 6.1 del RGPD y la infracción del artículo 17 del RGPD con sendas multas
administrativas.
En la determinación de su importe se deberá atender a las previsiones de los artículos
83.1 y 83.2 del RGPD:
Conforme al artículo 83.1 ?Cada autoridad de control garantizará que la imposición de
las multas administrativas con arreglo al presente artículo por las infracciones del
presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.?
El artículo 83.2 establece: ?Las multas administrativas se impondrán, en función de las
circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/75
contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición
de una multa administrativa y su cuantía en cada caso individual se tendrá
debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
A propósito del apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,
?Sanciones y medidas correctivas?, dispone:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
IX
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/75
Determinación del importe de la sanción de multa. Infracción del artículo 6.1. RGPD:
alta de una línea móvil prepago asociada al NIF de la reclamante.
Respecto a la infracción del artículo 6.1. del RGPD que ha sido analizada en el
Fundamento V de esta resolución, estimamos que concurren en calidad de agravantes
las circunstancias que se relacionan seguidamente, que son manifestación de una
mayor antijuridicidad de la conducta o de una mayor culpabilidad:
1. Artículo 83.2.a): la duración de la infracción teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento, así como el número de interesados
afectados y el nivel de daños y perjuicios que haya sufrido.
La infracción del artículo 6.1 del RGPD a la que nos referimos participa de la
naturaleza de las denominadas infracciones permanentes, en las que su consumación
se proyecta en el tiempo más allá del hecho inicial y se extiende, vulnerando la
normativa de protección de datos durante todo el periodo de tiempo en el que el dato
es objeto de tratamiento. Sobre la caracterización de las infracciones de esta
naturaleza se han pronunciado, a título de ejemplo, las sentencias de la Audiencia
Nacional de 16 /09/2008 (Rec.488/2006) y del Tribunal Supremo de 17/04/2002 (Rec.
466/2000)
En este caso en particular, la conducta infractora se inició el 17/11/2020, fecha en la
que la reclamada dio de alta una línea prepago vinculada al NIF de la reclamante, y se
puso fin al tratamiento ilícito el 27/05/2021, siete meses después de que comenzara la
infracción.
VODAFONE ha rechazado la aplicación de esta agravante (ver Antecedente sexto,
alegaciones al acuerdo de inicio). Los motivos en los que la reclamada basa su
negativa y las razones por las que, a su juicio, no podría admitirse esta agravante, son,
en síntesis, las siguientes:
Argumenta que las sentencias que la AEPD ha citado -SAN de 16/09/20008 y del T.S.
de 17/04/2002- se refieren a supuestos de hecho cuya naturaleza es totalmente
distinta a la que aquí se plantea y no versan sobre protección de datos de carácter
personal.
En respuesta a lo alegado basta indicar que con las sentencias mencionadas no se ha
pretendido ilustrar ninguna cuestión específica de protección de datos sino corroborar,
a través de la doctrina de la A.N. y la jurisprudencia del T.S., el concepto de infracción
permanente, pues el carácter permanente de la infracción se conecta en este caso con
su ?duración?, que es uno de los factores a tener en cuenta para apreciar las
concurrencias de la circunstancia del artículo 83.2.a) del RGPD.
VODAFONE ha alegado además que, conforme a la Disposición Adicional Única y al
artículo 5 de la Ley 25/2007, venía obligada a tratar y a conservar ?el número
correspondiente al documento identificativo?.
Respecto a esa afirmación de la reclamada, cabe señalar que queda desvirtuada a
tenor de la exposición que respecto a la infracción que nos ocupa se hace en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/75
Fundamento Jurídico V de esta resolución, pues el tratamiento efectuado no estaba
amparado en los preceptos alegados de contrario.
La reclamada ha invocado también que, en el presente caso, solo hay un afectado, la
reclamante, y que no se ha acreditado la generación de daños y perjuicios.
Obviando la cuestión relativa a los daños y perjuicios, que son evidentes si nos
atenemos tan solo a la multitud de gestiones que la reclamante se ha visto obligada a
llevar a cabo ante la vulneración de su derecho fundamental a la protección de datos
por parte de VODAFONE, hay que recordar que, según el artículo 83.2.a) del RGPD,
la ?duración de la infracción? se apreciará teniendo en cuenta no solo el número de
interesados afectados y los daños y perjuicios causados sino también la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate. Y el aspecto
verdaderamente relevante con vistas a la aplicación de esta circunstancia no es -como
sostiene la reclamada- que solo exista una afectada, sino el propósito que persigue la
operación de tratamiento prevista en la disposición Adicional Única de la Ley 25/2007:
establecer instrumentos para controlar el empleo para fines delictivos de los equipos
de telefonía móvil adquiridos mediante la modalidad de prepago (Preámbulo de la Ley
25/2007).
Respecto a la objeción de VODAFONE de que en el asunto examinado solo hay un
afectado -la reclamante- deben traerse a colación, pues desvirtúan esta objeción de la
reclamada y son aplicables al supuesto de hecho planteado, las consideraciones que,
en relación con el artículo 83.2.a) del RGPD, hacen las Directrices 4/2022 del Comité
Europeo de Protección de Datos (CEPD) para el cálculo de las multas administrativas
con arreglo al RGPD, aprobadas para consulta pública el 12/05/2022.
Las Directrices (la versión original, en lengua inglesa, se ocupa de esta cuestión en el
parágrafo 54 punto 4) se refieren ?al número de interesados concretos, pero también
potencialmente afectados ?. En ese sentido, precisan que, cuanto mayor sea el número
de interesados implicados, más peso podrá atribuir a este factor la autoridad de
control. Que, en muchos casos, también puede considerarse que la infracción adopta
connotaciones «sistémicas» y, por lo tanto, puede afectar, incluso en diferentes
momentos, a otros interesados que no hayan presentado reclamaciones o informes a
la autoridad de control. Que la autoridad de control podrá, dependiendo de las
circunstancias del caso, considerar la relación entre el número de interesados
afectados y el número total de interesados en ese contexto (por ejemplo, el número de
ciudadanos, clientes o empleados) a fin de evaluar si la infracción es de carácter
sistémico y que cuanto mayor sea el número de interesados implicados, más peso
podrá atribuir a este factor la autoridad de control.
2. Circunstancia del artículo 83.2.d), ?el grado de responsabilidad del responsable o
del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas
que hayan aplicado en virtud de los artículos 25 y 32;?
El principio de proactividad previsto en el artículo 5.2. del RGPD supone transferir al
responsable del tratamiento la obligación no solo de cumplir con la normativa, también
la de poder demostrar su cumplimiento. Entre los mecanismos que el RGPD
contempla para lograrlo se encuentran los previstos en el artículo 25, ?protección de
datos desde el diseño?, a tenor del cual el responsable debe aplicar ?tanto en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/75
momento de determinar los medios de tratamiento como en el momento del propio
tratamiento? medidas técnicas y organizativas que garanticen que hace una efectiva
aplicación de los principios del RGPD con ocasión de los tratamientos que realiza.
La exposición que se ha hecho en esta resolución sobre el protocolo que VODAFONE
sigue para verificar que en los tratamientos de datos personales que efectúa en
aplicación de la Ley 25/2007 se cumplen los principios de protección de datos,
evidencia que no había aplicado ninguna medida que responda a las previsiones del
artículo 25 del RGPD, razón por la cual se aprecia la existencia de la circunstancia del
artículo 83.2.d) en calidad de agravante
Las medidas que VODAFONE viene aplicando para cumplir con el principio de licitud
respecto a los datos personales que se recogen con ocasión de la contratación de una
tarjeta prepago consisten, únicamente, en la imposición de obligaciones contractuales
a los encargados y sub encargados de tratamiento, en particular, la obligación de
identificar al adquirente de la tarjeta inteligente mediante un documento original. No
obstante, ni siquiera este último requisito se incluyó en el contrato que el distribuidor
celebró con el punto de venta que ha intervenido en la contratación,
***ESTABLECIMIENTO.1.
La reclamada no tiene establecido ningún mecanismo que le permita verificar que las
obligaciones contractuales que asumen sujetos como el distribuidor y el punto de
venta se cumplen. VODAFONE no ha alegado, ni menos aún acreditado, que estén
previstas medidas de verificación del cumplimiento de esas obligaciones contractuales.
No se trata necesariamente de guardar la copia del DNI; pero lo cierto es que ni
siquiera ha previsto realizar comprobaciones a través de auditorías u otros sistemas
de verificación sobre el cumplimiento efectivo que hacen los puntos de venta de las
obligaciones impuestas en el contrato respecto al protocolo de identificación del
adquirente de los servicios prepago.
La realidad es, como ha quedado expuesto con ocasión de analizar esta infracción,
que la política de seguridad de VODAFONE consiste en dar por cierto, por la sola
razón de que así consta estipulado en los contratos, que en la contratación de una
tarjeta inteligente, y pese al interés que el punto de venta tiene en cerrar la
transacción, se recaba del solicitante de la tarjeta prepago la exhibición del documento
identificativo, el solicitante lo exhibe y el punto de venta verifica que los datos
facilitados por el cliente coinciden con los que figuran en el documento original
exhibido. Nada más, pues no ha diseñado medidas para comprobar el cumplimiento
real y efectivo que hacen los sub encargados de tratamiento de las obligaciones
incorporadas a los distintos contratos
VODAFONE ha rechazado la aplicación como agravante de esta circunstancia,
artículo 83.2.d).
Los argumentos que la reclamada ha invocado quedan desvirtuados por las
consideraciones que se hacen a propósito de esta infracción en el Fundamento V de
esta resolución, que corroboran que en ningún caso tenía diseñadas, a fin de cumplir
los principios que presiden el derecho a la protección de datos, ninguna de las
medidas a las que se refiere el artículo 25 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/75
3. Circunstancia del artículo 83.2.e) ?Toda infracción anterior cometida por el
responsable o encargado de tratamiento.?
En una primera aproximación a esta disposición del RGPD que alude a ?toda
infracción anterior? cometida, se aprecia que la norma no hace ninguna acotación o
delimitación sobre el conjunto de las infracciones cometidas por un responsable o
encargado de tratamiento, ya sea por razón de la naturaleza jurídica de la infracción,
por el precepto infringido, o por el tiempo transcurrido desde su comisión o desde la
imposición de la sanción.
Sin embargo, una interpretación sistemática nos remite al considerando 148 del RGPD
que incluye algunas pautas ?A fin de reforzar la aplicación de las normas del presente
Reglamento [...]? e indica a ese respecto que ?Debe, no obstante, prestarse especial
atención a la naturaleza, gravedad y duración de la infracción, a su carácter
intencional [...] o a cualquier infracción pertinente [...]?.
El considerando 148 sí introduce una delimitación en el conjunto formado por la
totalidad de las infracciones cometidas por un responsable o encargado de
tratamiento, pues insta a prestar especial atención a cualquier infracción ?pertinente?.
Término que responde a la traducción del adjetivo ?relevant?, que aparece en el texto
original en inglés, y que significa pertinente o relevante.
Estimamos que, conforme al apartado e) del artículo 83.2. del RGPD, en la
determinación del importe de la sanción de multa administrativa no podrán dejar de
valorarse todas aquellas infracciones anteriores del responsable o del encargado de
tratamiento que resulten pertinentes o relevantes en aras a calibrar la antijuricidad de
la conducta que se está valorando o la culpabilidad del sujeto infractor. Además, una
correcta interpretación de la disposición del artículo 83.2.e) RGPD no puede obviar la
finalidad perseguida por la norma: decidir la cuantía de la sanción de multa
administrativa, en el caso individual planteado, atendiendo siempre a que la sanción
sea proporcional, efectiva y disuasoria.
En tal sentido, se citaron en el acuerdo de apertura y en la propuesta de resolución, y
se citan nuevamente, las resoluciones dictadas por la AEPD en los siguientes
procedimientos sancionadores tramitados frente a la reclamada:
i.PS/00193/2021. Resolución dictada el 9 de septiembre de 2021 en la que se impuso
una sanción de 40.000 euros. Los hechos versaron sobre el tratamiento del NIF del
reclamante sin legitimación vinculado a la contratación de dos líneas móviles y un pack
de terminales.
ii.PS/00186/2020. Resolución dictada el 31 de agosto de 2020 en la que se impuso
una sanción de 60.000 euros. Los hechos versaron sobre el tratamiento de los datos
del reclamante sin legitimación vinculados a la contratación de una línea fija, una línea
móvil, internet y televisión.
iii. PS/00009/2020. Resolución dictada el 28 de julio de 2020 en la que se impone una
multa de 48.000 euros. Los hechos versaron sobre el tratamiento de los datos de la
reclamante sin legitimación vinculados a la portabilidad de un número y alta de línea
efectuada por un tercero.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/75
iv. PS/303/2020. Resolución dictada el 26 de octubre de 2020 en la que se impone una
multa de 36.000 euros. Los hechos versaron sobre el tratamiento de los datos del
reclamante sin legitimación vinculados a la compra de un terminal móvil y al alta de
una línea con compromiso de permanencia efectuada por un tercero.
v. PS/348/2020. Resolución dictada el 6 de noviembre de 2020 en la que se impone
una multa de 42.000 euros. Los hechos versaron sobre el tratamiento de los datos del
reclamante sin legitimación vinculados a la portabilidad de un número y alta de línea
realizada por un tercero
El historial de infracciones de VODAFONE en las que existió una significativa omisión
de la diligencia necesaria para verificar la identidad de quien comunica como datos
propios los datos de un tercero, incide en la culpabilidad y antijuridicidad de la
conducta que ahora valoramos.
En los procedimientos que se relacionan y en el supuesto de hecho que nos ocupa, la
omisión de la diligencia procedente, encaminada a la identificación de quien facilita
como suyos datos personales de los que no es titular, permitió un fraude de identidad
y determinó que la reclamada tratara los datos personales del afectado sin base
jurídica, vulnerando el artículo 5.1.a) en relación con el artículo 6.1. RGPD.
Ese historial de incumplimientos confirma que, cuando ocurrieron los hechos en los
que se concreta la actual infracción del artículo 6.1. RGPD, la reclamada conocía
perfectamente las deficiencias de las que adolecía su política de privacidad para
cumplir las obligaciones que le impone el RGPD en relación con el principio de licitud y
el principio de proactividad. Las resoluciones sancionadoras que se mencionan
deberían haber sido un motivo adicional para revisar los protocolos que tiene
establecidos para verificar la identidad de los clientes con ocasión de la contratación
de los productos o servicios que comercializa.
VODAFONE se opone a la aplicación de esta agravante. Manifiesta que ?discrepa? de
lo que la AEPD ha entendido por ?antecedentes pertinentes? y añade que los
procedimientos relacionados en el acuerdo de inicio (que se reiteraron en la propuesta
de resolución) versaron sobre supuestos distintos del que nos ocupa, dado que en
ellos los terceros que se hicieron pasar por los reclamantes contrataron productos ?a
nombre de los reclamantes? y éstos últimos recibieron las correspondientes facturas,
cosa que ahora no ha sucedido.
Sin embargo, la alegación de VODAFONE respecto a la aplicación de esta agravante
también debe rechazarse. Bastan estas precisiones:
La primera, que, como se ha indicado a propósito de esta circunstancia - apartado e)
del artículo 83.2 RGPD- la literalidad del precepto - ?Toda infracción anterior cometida
por el responsable o encargado del tratamiento?- es extraordinariamente amplia y no
hace ninguna acotación, por lo que una interpretación literal habría llevado a
encuadrar en ella cualquier infracción de la normativa de protección de datos por la
que la reclamada hubiera sido sancionada.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/75
La AEPD ha interpretado restrictivamente esa disposición y ha restringido su
aplicación limitándola a aquellas infracciones que supongan un ?antecedente
pertinente? en relación con la infracción que se enjuicia. Pero, una cosa es restringir el
alcance de la circunstancia del artículo 83.2.e) sobre la base de una interpretación
sistemática de esa norma y otra muy distinta lo que pretende VODAFONE. Pretensión
que no puede ampararse en la disposición mencionada.
A juzgar por sus manifestaciones, lo que VODAFONE busca es que la aplicación de
esta circunstancia se subordine a la existencia de una ?identidad fáctica? de las
infracciones; identidad entre los hechos sobre los que versaron las infracciones por las
que fue sancionada en el pasado y los hechos que nos ocupan. Sin embargo, como se
ha explicado, los antecedentes que se han mencionado resultan ?pertinentes? en un
supuesto como el que aquí se plantea. En los antecedentes citados no se habían
adoptado medidas encaminadas a la verificación de la identidad de la persona que
contrató. Medidas que garantizaran que el tratamiento de datos personales era lícito y
que le permitieran demostrarlo que venía obligada a adoptar a tenor de los artículos
5.2, 24 y 25 del RGPD.
4. Circunstancia del artículo 83.2.g) ?las categorías de los datos de carácter personal
afectados por la infracción?.
El diccionario de la RAE define el término ?categoría? como ?cada una de las clases o
divisiones establecidas al clasificar algo?. La lectura del artículo 83.2.g) del RGPD nos
remite, inicialmente, -haciendo una interpretación literal y estricta de la norma- a la
rúbrica del artículo 9 del RGPD, ?Tratamiento de categorías especiales de datos
personales?, concluyendo así que el RGPD clasifica los datos personales, únicamente,
en especialmente protegidos y el resto.
Una interpretación sistemática y teleológica del artículo 83.2.g) del RGPD conecta este
precepto con otras clasificaciones que ofrece el texto del RGPD que, además,
responden mejor a la finalidad que persigue la norma: graduar en el caso individual la
multa administrativa que deba imponerse respetando en todo caso los principios de
proporcionalidad y efectividad.
En ese sentido los considerandos 51 y 75 del RGPD distinguen un grupo de datos
personales que, por su naturaleza, son particularmente sensibles por razón del
importante riesgo que pueden entrañar, en el contexto de su tratamiento, para los
derechos y libertades fundamentales. El común denominador de todos ellos es que su
tratamiento comporta un riesgo importante para los derechos y las libertades
fundamentales ya que puede llegar a provocar daños y perjuicios físicos, materiales o
inmateriales.
En este grupo o categoría de datos particularmente sensibles se incluyen las de datos
especialmente protegidos que regula el artículo 9 del RGPD -considerando 51 del
RGPD- y, además, otros muchos datos no regulados en ese precepto. El considerando
75 menciona con detalle los datos personales cuyo tratamiento puede entrañar un
riesgo, de gravedad y probabilidad variables, para los derechos y libertades de las
personas físicas como consecuencia de que pueden provocar daños y perjuicios
físicos, materiales o inmateriales. Entre ellos menciona aquellos cuyo tratamiento
?pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/75
pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos
sujetos al secreto profesional, reversión no autorizada de la seudonimización o
cualquier otro perjuicio económico o social significativo;? (El subrayado es nuestro)
A través del identificador numérico del DNI junto con el carácter de verificación
correspondiente al número de identificación fiscal, la persona física queda identificada
de modo indubitado. Esta cualidad del número del DNI/NIF lo convierte en un dato
particularmente sensible en tanto en cuanto, si el tratamiento de este dato no va
acompañado de las medidas técnicas y organizativas necesarias para garantizar que
quien se identifica con él es realmente su titular, un tercero puede suplantar la
identidad de una persona física con total facilidad, o, con otras palabras, puede
provocar un fraude de identidad, con los riesgos que esto comporta para la privacidad,
el honor y el patrimonio del suplantado.
Se estima que, en este caso, el tratamiento ilícito que la reclamada ha efectuado recae
sobre un dato particularmente sensible: el DNI/NIF de la reclamante. Ese dato, por sí
solo, permitía su identificación, lo que incide en la gravedad de la conducta de
VODAFONE debiendo apreciar la concurrencia en calidad de agravante de la
circunstancia del apartado g) del artículo 83.2. RGPD.
VODAFONE rechaza la aplicación de esta agravante que justifica en que ?no ha
existido una usurpación de identidad?; en que el NIF de la reclamante ?no fue expuesto
por Vodafone, sino que aparece publicado en el BOE? y que no fue ella, la entidad
reclamada, quien facilitó al tercero ese dato, sino que ya lo tenía en su poder.
También en ese caso los argumentos de la reclamada deben rechazarse:
Respecto al alegato de que ?no ha existido una usurpación de identidad? cabe indicar
que cuando el considerando 75 del RGPD se refiere a que el tratamiento de datos
?pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude,? no
está utilizando los términos usurpación y fraude en sentido técnico jurídico, es decir,
como conductas que cumplen los requisitos para subsumirse en un tipo penal
contemplado en el Código Penal español.
Por lo que atañe a la afirmación de VODAFONE de que no existió una usurpación de
identidad entendemos que con ella se está refiriendo a que no se cumple el tipo del
artículo 401 del Código Penal español, lo cual es cierto. Sin embargo, el RGPD es una
norma aplicable a todos los Estados miembros de la Unión cuyos ordenamientos
jurídicos, excepción hecha de la normativa de la U.E. que les vincula, son dispares,
más aún cuando de conductas tipificadas penalmente se trata, por lo que parece
evidente que el legislador comunitario no utilizó esas expresiones con el sentido
técnico jurídico que la reclamada quiere otorgarles.
En todo caso, se recuerda que el considerando 75 se refiere a usurpación ?o? fraude y
que, como consta acreditado, VODAFONE calificó en varias ocasiones la conducta
que nos ocupa, y así lo registró en sus sistemas, como un fraude.
Por otra parte, resulta irrelevante que el NIF de la reclamante apareciera publicado en
el BOE, pues ese tratamiento tuvo su base jurídica en la necesidad de cumplir una
misión en interés público o en el ejercicio de poderes públicos. La publicación en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/75
BOE de los datos de la reclamante con esa finalidad específica no legitima el
tratamiento posterior que de ese dato hiciera el tercero que contrató con VODAFONE,
ni menos aún puede justificar el tratamiento efectuado por la propia reclamada.
5. Circunstancia del artículo 83.2.k) RGPD en relación con el artículo 76.2.b)
LOPDGDD: La evidente vinculación entre la actividad empresarial de la reclamada y el
tratamiento de datos personales.
La reclamada, en el desarrollo de la actividad que le es propia, necesita tratar de forma
habitual datos de carácter personal y este hecho incide en la diligencia que resulta
exigible en el cumplimiento de los principios que presiden el tratamiento de datos de
carácter personal y en la calidad y efectividad de las medidas técnicas y organizativas
que debe tener implementadas para garantizar el respeto de este derecho
fundamental tanto de sus clientes como de terceros.
Circunstancias atenuantes que VODAFONE invoca:
Las atenuantes cuya aplicación solicita a propósito de esta infracción son:
(i)La ?inexistencia de intencionalidad o negligencia?, artículo 83.2 b) del RGPD.
(ii) la ?cooperación con la autoridad de control al haber contestado al traslado de la
reclamación y haber facilitado la información solicitada?, artículo 83.2 f) del RGPD.
No pueden admitirse ninguna de las atenuantes invocadas.
(i)Respecto a la pretendida inexistencia de intencionalidad o negligencia nos remitimos
a las consideraciones hechas en el Fundamento V acerca de la concurrencia del
elemento de la culpabilidad, concretada en una grave falta de diligencia.
(ii)Respecto a la segunda atenuante, se indica que el artículo 83.2.f) del RGPD se
refiere al ?grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;? (el
subrayado es nuestro) y la respuesta de la reclamada al requerimiento informativo de
la Subdirección de Inspección no cumplía esas finalidades, por lo que no es
encuadrable en esa atenuante.
En atención a cuanto antecede, se acuerda imponer a VODAFONE por la infracción
del artículo 6.1. del RGPD, tipificada en el artículo 83.5.a), concretada en haber dado
de alta una línea prepago asociada al NIF de la reclamante, una multa de 70.000 ?.
X
Determinación del importe de la sanción de multa. Infracción del artículo 17 del RGPD:
Respecto a la conducta contraria al RGPD que ha sido analizada en el Fundamento
VII de esta resolución, se aprecia la concurrencia de las siguientes circunstancias que
inciden en la responsabilidad exigible a la reclamada y que son manifestación de una
mayor antijuridicidad de su conducta o de una mayor culpabilidad:
1.Artículo 83.2.a): Tiene especial relevancia, y, por ende, el consiguiente reflejo en la
cuantía de la multa que deba imponerse, la gravedad que reviste la conducta en la que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/75
se concreta esta infracción en atención a la naturaleza y la finalidad de la operación de
tratamiento.
En el supuesto examinado es especialmente relevante la ?naturaleza? de la operación
de tratamiento pues, debido a la conducta de VODAFONE, la reclamante se ha visto
privada sin fundamento legal de uno de los mecanismos que el RGPD le otorga para
hacer efectivo y garantizar su derecho a la protección de datos personales. Cabe
añadir que la reclamada reiteró su conducta pese a que disponía de elementos de
juicio más que suficientes para calificar el tratamiento de los datos personales de la
reclamante vinculados al alta de la línea prepago como un fraude, lo que le obligaba a
proceder a la supresión de los datos. Pese a conocer esa circunstancia, privó a la
reclamante del derecho que le otorga el RGPD y la respuesta para denegar el derecho
no tomó en consideración las disposiciones del artículo 17 del RGPD ya que adujo
como motivo, exclusivamente, razones técnicas relacionadas con la imposibilidad de
dar de baja una línea prepago que de ningún modo justifican la denegación.
Las consideraciones precedentes sobre la ?naturaleza? de la infracción del artículo 17
del RGPD de la que se responsabiliza a VODAFONE están en consonancia con el
criterio que siguen las Directrices 4/2022, sobre el cálculo de las multas
administrativas con arreglo al RGPD, elaboradas por el CEPD y aprobadas para su
consulta pública. En el parágrafo 54.a) de la versión original en inglés se indica a ese
respecto que la autoridad de control podrá revisar el interés que la disposición
infringida pretende proteger y el lugar que ocupa esa disposición en el marco jurídico
de la protección de datos personales. Además, la autoridad de control podrá tener en
cuenta el grado en que la infracción ha impedido la aplicación efectiva de la
disposición y el cumplimiento del objetivo que con ella se pretendía proteger.
La ?finalidad? de la operación de tratamiento, que incide en la gravedad de la
infracción, está conectada con la respuesta de VODAFONE en la que denegó a la
reclamante el derecho de supresión; repuesta que reiteró y que estaba en clara
contradicción con el artículo 17 del RGPD y que se emitió por el departamento de
protección de datos de la operadora, a cuya dirección electrónica dirigió la reclamante
su solicitud de supresión. A esta misma dirección y departamento han de dirigirse los
clientes de VODAFONE, que es a la sazón la mayor operadora de telefonía del país
por el número de clientes, pues presta servicio a más de un veinte por ciento de los
usuarios del mercado nacional. Se evidencia con ello el alcance de la conducta de
VODAFONE en la que se materializa la infracción imputada, siendo irrelevante que la
reclamante haya sido una única persona.
VODAFONE rechaza la aplicación de esta agravante del artículo 83.2.a) del RGPD y
dice:
?La Agencia achaca a Vodafone un "desconocimiento absoluto del contenido del
derecho" de supresión, ignorando, en opinión de esta Agencia, "cuáles son las
obligaciones que derivan para ella del artículo 17 del RGPD".
Dicho sea, con el debido respeto, no estamos de acuerdo con el carácter
generalizado de la valoración subjetiva de la Agencia. Como hemos expuesto en
la Alegación Quinta, a la que nos remitimos, aunque la Agencia acabe
entendiendo que Vodafone ha infringido el artículo 17 del RGPD, existen
argumentos para defender que se ha actuado de conformidad con lo dispuesto
en el artículo 17 del RGPD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/75
a) No ha tratado el número de DNI de forma ilícita.
b) En cualquier caso, estaba obligada por ley a conservar dicho dato y, además,
el mismo era necesario para la formulación, el ejercicio o la defensa de
reclamaciones.?
Los argumentos que VODAFONE esgrime están en consonancia con la negativa de la
entidad a reconocer que el tratamiento del NIF de la reclamante vinculado al alta de la
línea prepago fue ilícito. Nos remitimos a las consideraciones que se incluyen en el
Fundamento V de esta resolución a propósito de la infracción del artículo 6.1 por el
alta de la línea prepago vinculada al NIF de la afectada.
Sobre la obligación alegada por VODAFONE de conservar los datos personales
tratados en el marco de la Ley 25/2007 conforme a su artículo 5, debemos reiterar lo
expuesto en el Fundamento V, en el sentido de que todos los tratamientos que se
efectúen al amparo de la ley citada deben de respetar la normativa de protección de
datos. Así pues, en ningún caso podía estar obligada la reclamada en virtud del
artículo 5 de la Ley 25/2007 a conservar un dato personal cuyo tratamiento entraña
una infracción del RGPD. Pero, es más, el artículo 9 de la Ley 25/2007 dice
expresamente que el responsable del tratamiento de los datos denegará el ejercicio
del derecho de cancelación en los términos y condiciones previstos en el RGPD, lo
que directamente nos remite al artículo 17.1 del RGPD.
2. Artículo 83.2.b): ?la intencionalidad o negligencia en la infracción?. Está fuera de
toda duda la gravísima falta de diligencia de la reclamada, que no atendió la supresión
del dato del NIF solicitada por la reclamante pese a estar obligada a ello conforme al
artículo 17.1.d) RGPD.
Estamos ante una falta de diligencia muy grave y así lo demuestra el que VODAFONE
hubiera denegado la supresión del NIF en las dos ocasiones que la reclamante lo
solicitó, pese a que la supresión era procedente a la luz de la disposición del artículo
17 del RGPD y de que la operadora era perfectamente conocedora entonces de que el
dato personal de la reclamada se había utilizado en una contratación fraudulenta.
Los argumentos con los que VODAFONE justificó su decisión de inadmitir la supresión
del dato del NIF -expuestos en los escritos que dirigió a la reclamante el 26/01/2021 y
03/02/2021 y que reiteró, meses más tarde, en el escrito dirigido a la AEPD en julio de
2021 en respuesta al requerimiento informativo previo a la admisión a trámite de la
reclamación- revelan un desconocimiento total de la normativa aplicable -en particular
del RGPD y de la Ley 25/2007- y por ende una falta absoluta de diligencia en el
cumplimiento de las obligaciones que le impone el RGPD.
VODAFONE rechaza la aplicación de esta circunstancia agravante y alega en tal
sentido:
?La Agencia califica de "gravísima" la falta de diligencia de Vodafone por no
haber atendido "la supresión del dato del NIF solicitada por la reclamante pese a
estar obligada a ello conforme al artículo 17.1 d) RGPD".
Aunque se considerara que el tratamiento del número de DNI facilitada por el
Tercero es ilícito (quod non), deberá tenerse en cuenta la obligación de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/75
conservación impuesta en la Ley 25/2007 que, en opinión de esta parte, hace
que la infracción no pueda calificarse de "gravísima negligencia".
En respuesta a este alegato nos remitimos a la consideración hecha en el punto 1
precedente: en esencia, que el tratamiento de los datos realizado al amparo de la Ley
25/2007 está sometido a la normativa de protección de datos y que el artículo 9 de esa
ley remite al artículo 17 del RGPD.
3.Artículo 83.2.k) RGPD en relación con el artículo 76.2.b) LOPDGDD: La evidente
vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos
personales, tanto de clientes como de terceros, le obligaba a tener implementadas las
medidas adecuadas para atender correctamente los derechos subjetivos que el RGPD
otorga en los artículos 15 a 22.
La atención del derecho de supresión (artículo 17) exige que la respuesta que la
reclamada ofrezca sea ajustada a Derecho. El incumplimiento de las obligaciones que
derivan para ella del artículo 17 tiene especial gravedad si se valora que estamos ante
una entidad para la que es consustancial a su actividad económica el tratamiento de
datos de carácter personal. Máxime, si se tiene en cuenta el número de clientes.
Atenuantes. VODAFONE solicita que se aprecien las siguientes circunstancias
atenuantes:
(i) ?la cooperación con la autoridad de control al haber contestado al traslado de la
reclamación y haber facilitado la información solicitada?, artículo 83.2 f) del RGPD.
(ii)La ?inexistencia de beneficios obtenidos a través de la infracción?, artículo 83.2 k)
del RGPD y 76.2 c) de la LOPDGDD.
Ninguna de las atenuantes invocadas puede admitirse.
(i)El artículo 83.2.f) del RGPD se refiere al ?grado de cooperación con la autoridad de
control con el fin de poner remedio a la infracción y mitigar los posibles efectos
adversos de la infracción;?. La respuesta de la reclamada al requerimiento informativo
de la Subdirección de Inspección no cumplía esas finalidades, por lo que no es
encuadrable en esa atenuante.
(ii) Sobre la aplicación del artículo 76.2.c) de la LOPDGDD, en conexión con el artículo
83.2.k), inexistencia de beneficios obtenidos, cabe señalar que tal circunstancia solo
puede operar como agravante y en ningún caso como atenuante.
El artículo 83.2.k) del RGPD se refiere a ?cualquier otro factor agravante o atenuante
aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las
pérdidas evitadas, directa o indirectamente, a través de la infracción.? Y el artículo
76.2c) de la LOPDGDD dice que ?2. De acuerdo a lo previsto en el artículo 83.2.k) del
Reglamento (UE) 2016/679 también podrán tenerse en cuenta: [..] c) Los beneficios
obtenidos como consecuencia de la comisión de la infracción.? Ambas disposiciones
mencionan como factor que puede tenerse en cuenta en la graduación de la sanción
los ?beneficios? obtenidos, pero no la ?ausencia? de éstos, que es lo que VODAFONE
alega.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/75
Además, conforme al artículo 83.1 del RGPD la imposición de las sanciones de multa
está presidida por los siguientes principios: deberán estar individualizadas para cada
caso particular, ser efectivas, proporcionadas y disuasorias. La admisión de que opere
como una atenuante la ausencia de beneficios es contraria al espíritu del artículo 83.1
del RGPD y a los principios por los que se rige la determinación del importe de la
sanción de multa. Si a raíz de la comisión de una infracción del RGPD se califica como
atenuante la inexistencia de beneficios, se anula en parte la finalidad disuasoria que se
cumple a través de la sanción. Más aún cuando, como ocurre con la infracción del
artículo 17 del RGPD que nos ocupa, estamos ante una conducta infractora que no
tiene relación de ningún tipo con la obtención de ganancias por lo que no habría
ninguna conexión entre la atenuante que se aplicase y la circunstancias que rodean a
la conducta infractora, de forma que la ausencia de beneficios no podría ser exponente
de una mayor o menor antijuridicidad o culpabilidad. Aceptar la tesis de VODAFONE
en un supuesto como el que nos ocupa supondría introducir una rebaja artificial en la
sanción que verdaderamente proceda imponerse; la que resulta de aplicar las
circunstancias del artículo 83.2 RGPD que sí deben de ser valoradas.
La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha advertido que, el
hecho de que en un supuesto concreto no estén presentes todos los elementos que
integran una circunstancia modificativa de la responsabilidad que, por su naturaleza,
tiene carácter agravante, no puede llevar a concluir que tal circunstancia es aplicable
en calidad de atenuante. El pronunciamiento que hace la Audiencia Nacional en su
SAN de 05/05/2021 (Rec. 1437/2020) -por más que esa resolución verse sobre la
circunstancia del apartado e) del artículo 83.2. del RGPD, la comisión de infracciones
anteriores- es extrapolable a la cuestión planteada, la pretensión de la reclamada de
que se acepte como atenuante la ?ausencia? de beneficios siendo así que tanto el
RGPD como la LOPDGDD se refieren solo a ?los beneficios obtenidos?:
?Considera, por otro lado, que debe apreciarse como atenuante la no comisión
de una infracción anterior. Pues bien, el artículo 83.2 del RGPD establece que
debe tenerse en cuenta para la imposición de la multa administrativa, entre
otras, la circunstancia "e) toda infracción anterior cometida por el responsable o
el encargado del tratamiento". Se trata de una circunstancia agravante, el hecho
de que no concurra el presupuesto para su aplicación conlleva que no pueda ser
tomada en consideración, pero no implica ni permite, como pretende la actora,
su aplicación como atenuante?;
En atención a cuanto antecede, se acuerda imponer a la reclamada por la infracción
del artículo 17 del RGPD, tipificada en su artículo 83.5.b), una multa administrativa por
un importe de 100.000 ?.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento sancionador respecto a la
infracción del artículo 15 del RGPD, de conformidad con lo establecido en el artículo
85 de la LPACAP.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/75
SEGUNDO: Respecto a la infracción del artículo 6.1 del RGPD derivada de haber
tratado sin base jurídica el NIF de la reclamante para consultar un fichero de solvencia,
ACORDAR el ARCHIVO del procedimiento sancionador abierto frente a VODAFONE
ESPAÑA, S.A.U., con NIF A80907397, al haber quedado acreditado en el expediente
que no es responsable de esa conducta infractora que se le atribuyó en el acuerdo de
inicio de este procedimiento, PS/00281/2021.
TERCERO: IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una
infracción del artículo 6.1. del RGPD, tipificada en el artículo 83.5.a) del RGPD,
concretada en haber dado de alta una línea prepago asociada al NIF de la reclamante,
una sanción de multa administrativa de 70.000? (setenta mil euros).
CUARTO: IMPONER a VODAFONE ESPAÑA, S.A.U., con NIF A80907397, por una
infracción del artículo 17 del RGPD tipificada en el artículo 83.5.b) del RGPD, una
sanción de multa administrativa de 100.000? (cien mil euros).
QUINTO: NOTIFICAR la presente resolución a VODAFONE ESPAÑA, S.A.U.
SEXTO: Advertir a la entidad sancionada que deberá hacer efectiva la sanción
impuesta una vez que la presente resolución sea ejecutiva, de conformidad con lo
dispuesto en el art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas (en adelante LPACAP), en el
plazo de pago voluntario establecido en el art. 68 del Reglamento General de
Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el
art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso, indicando el NIF
del sancionado y el número de procedimiento que figura en el encabezamiento de este
documento, en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a
nombre de la Agencia Española de Protección de Datos en la entidad bancaria
CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período
ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/75
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-120722
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es