Resolución de la Agencia Española de Protección de Datos PS-00314-2018 de 28 de marzo de 2019

Cuestión

1 /20

Procedimiento Nº PS/00314/2018

RESOLUCIÓN: R/01785/2018

En el procedimiento sancionador PS/00314/2018, instruido por la Agencia Española

de Protección de Datos a la entidad CASHITAPP, S.L. , vista la denuncia presentada por

A.A.A. , y en base a los siguientes...

Contestacion

1/20

Procedimiento Nº PS/00314/2018

RESOLUCIÓN: R/01785/2018

En el procedimiento sancionador PS/00314/2018, instruido por la Agencia Española

de Protección de Datos a la entidad CASHITAPP, S.L., vista la denuncia presentada por

A.A.A., y en base a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 24/04/2018, tiene entrada en esta Agencia, un traslado de una

denuncia interpuesta por Don A.A.A., (en adelante ?el denunciante?), a través de la

AUTORIDAD DE PROTECCIÓN DE DATOS DE LA REPÚBLICA CHECA (APRCH). El

motivo de la remisión es que el responsable del tratamiento denunciado es una empresa

española, CASHITAPP S.L. En el escrito de remisión de la APRCH se indica:

1. El denunciante recibió el 6/03/2018 una llamada telefónica generada por la aplicación

móvil, JOKESPHONE, gestionada por la empresa CASHITAPP S.L. Dicha aplicación

permite contactar telefónicamente para hacer una broma con cualquier número

telefónico que proporcione el usuario de la aplicación y que previamente se la

descargado en su móvil el usuario que va a gastar la broma. La aplicación puede

grabar la conversación telefónica si el usuario así lo selecciona, por lo que permite

almacenarla y compartirla. El receptor de la broma no otorga consentimiento alguno

para el uso de esta forma de su línea y desconoce que puede hacer que se elimine

el fichero con la grabación. En uno de los correos electrónicos que mantuvo el

denunciante con el responsable de la aplicación indica que ?recibió una llamada en

su teléfono del trabajo y no es gracioso recibir una llamada cuando voy a una

reunión de trabajo y alguien me llama para una broma?

2. En base a los términos y condiciones de la aplicación, se supone que el usuario que

realiza la llamada cuenta con el consentimiento del receptor de esta, lo cual es

bastante improbable dada la naturaleza de la aplicación.

3. El denunciante se puso en contacto con los responsables de la aplicación y éstos le

remitieron al portal web, donde el usuario puede introducir su número telefónico para

inscribirse en la lista de exclusión y no recibir más llamadas a través de la aplicación.

En uno de los correos electrónicos los responsables afirman que el bloqueo del

número conlleva la eliminación de las grabaciones realizadas sobre ese número.

Se aporta copia de la reclamación del denunciante por correo electrónico ante la

APRCH, con fecha 09/03/2018, donde reenvía el intercambio de comunicaciones con el

servicio de soporte de la aplicación que tuvo lugar entre los días 06/03/2018 y 08/03/2018.

En ellos, el denunciante pide claramente que se borre la grabación de la llamada realizada,

dando el dato de su número telefónico ***TELEFONO.1. El servicio de soporte de la

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

2/19

aplicación propone al usuario que inscriba el número en la lista de exclusión e incluso ofrece

información del usuario que realizó la llamada (dirección IP, marca y modelo de terminal, así

como el operador de telecomunicaciones que ha gestionado la llamada).

En un correo con fecha 08/03/2018 la empresa denunciada afirma que, si el

interlocutor no quiere recibir más llamadas de broma y desea borrar cualquier llamada que

haya podido recibir, puede bloquear su teléfono haciendo clic en el enlace proporcionado.

SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los

Servicios de Inspección de esta Agencia se realizan las siguientes:

1) Se obtiene con fecha 25/04/2018 copia impresa de términos y condiciones de uso del

servicio (TCU) de la aplicación móvil y servicio web de JOKESPHONE indicándose que esta

aplicación móvil es propiedad de CASHITAPP SL. En la definición del servicio se indica que

permite al usuario enviar bromas consistentes en un archivo de audio pregrabado por vía

telefónica al destino seleccionado por el usuario. Se indica también en los TCU:

1.a) El usuario podrá seleccionar entre un listado de bromas e indicar tanto la línea de

destino como el horario en el que desea que el destinatario reciba la broma. ?El usuario al

utilizar el servicio queda vinculado por los TCU aceptando su cumplimiento y entrando en

vigor un contrato legal vinculante con nosotros?.

1.b) Una vez realizada la broma la aplicación tiene la funcionalidad de compartir y grabar

el archivo de audio, no obstante, lo cual es ?requisito indispensable que el usuario cuente

con el consentimiento expreso de la persona que ha recibido la broma para poder

obtenerla y posteriormente hacer uso de esta?.

1.c) En la condición 6.b, compartir y grabar las bromas se indica que ?el usuario como

propietario de la grabación es plenamente responsable de obtener el consentimiento

expreso e inequívoco de la persona que ha recibido la broma, para la grabación y difusión

de esta?. ?Las leyes permiten la grabación de cualquier conversación telefónica siempre que

se cuente con el consentimiento de al menos una de las dos partes intervinientes en la

misma?.?

2) CASHITAPP S.L., contesta el 7/06/2018:

2.1) Son los usuarios de la aplicación los que introducen los números de teléfono,

lanzan la llamada y activan su grabación, quedando esta información disponible solamente

para el usuario de la aplicación. Será requisito indispensable que el usuario cuente con el

consentimiento expreso de la persona que ha recibido la broma para poder obtenerla y

posteriormente hacer uso de esta. Los usuarios de la aplicación son los dueños de la

información relativa a su uso y han de aceptar los TCUs para poder utilizarla. También se les

recuerda la obligación de cumplir con las normas de uso en cada una de las llamadas que

realizan.

2.2) Según la cláusula nº 2 de los TCUs en su apartado de Política de Privacidad,

CASHITAPP no recoge datos de los destinatarios de las bromas. La actividad de

CASHITAPP es la de facilitar un medio de telecomunicaciones para que el titular del teléfono

que se descarga la app, elija una broma y la grabe, quedando los datos relativos al

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

3/20

destinatario de la llamada almacenados en el terminal del propio usuario sin que

CASHITAPP conserve información del número de teléfono del destinatario. CASHITAPP

presta un servicio de almacenamiento en la nube de los ficheros de audio del cliente, y en

ningún momento difunde ni comparte con nadie esa información, dado que es información

privada del usuario de la aplicación. Por lo tanto, CASHITAPP no realiza tratamiento alguno

de los datos de los destinatarios de las llamadas.

2.3) Indican que la línea receptora se encuentra incluida en la ?blacklist? de números

excluidos que no quieren recibir llamadas desde JOKESPHONE (en la cual se puede

registrar cualquier número cuyo usuario no desee recibir llamadas de broma de la

aplicación). Esto permite al receptor de la llamada, según sus palabras, no volver a recibir

más llamadas a ese número (el cual queda almacenado de forma encriptada de manera que

no se puede recuperar), e impedir que el usuario de la aplicación pueda realizar la grabación

de la llamada.

2.4) Durante los meses de abril y mayo de 2018 han llevado a cabo una serie de

transformaciones tecnológicas y de operativa para su adaptación al Reglamento (UE)

2016/679, Reglamento general de protección de datos (RGPD) relativo a la protección de las

personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación

de estos datos, de manera que se han modificado los sistemas de los servidores y las

aplicaciones de usuarios para que los datos privados relativos a los destinatarios de las

llamadas que realizan los usuarios de la aplicación solo estén disponibles en las

aplicaciones de los usuarios (en su propio dispositivo). Por lo tanto, es imposible para

nosotros acceder a esa información.

3) La SUBDIRECCIÓN GENERAL DE INSPECCIÓN DE LA AGENCIA realiza las

siguientes pruebas el 9/07/2018, con ayuda de dos terminales móviles de la Subdirección

General de Inspección y del móvil particular del Inspector:

3.1 Se ha descargado de Play Store la aplicación JOKESPHONE (versión

1.1.040618.94) y se ha instalado en los tres terminales móviles. Se procede a ejecutar la

aplicación. Ésta tiene tres pestañas, una llamada ?Listado?, donde se muestra el repertorio

de bromas a lanzar haciendo clic sobre la que se quiera seleccionar; otra: ?Ejemplos? donde

se muestra el mismo repertorio con la posibilidad de escucharlas, y una última, ?Mis

Bromas?, con el histórico de bromas realizadas.

3.2 Se ha probado a realizar con el primer terminal una llamada de broma al

número de teléfono ***TELEFONO.2. Una vez realizada la broma se comprueba, tras el

aviso de que se ha programado la llamada con éxito, en la pestaña ?Mis Bromas? de la

aplicación aparece ahora el registro de la broma realizada. Si se presiona el botón que

aparece con los símbolos de teléfono y un círculo rojo, aparece una ventana emergente

titulada ?Generar Grabación?; tras dar a aceptar, desaparece el botón grande y éste es

sustituido por tres botones más pequeños, que permiten realizar las siguientes tres

opciones:

?descargar un fichero de audio con la grabación de la broma,

?escuchar el mismo en línea o

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

4/19

?compartirlo a través de una dirección URL que aparece escrita por defecto en el

medio por el que se elige compartir la broma.

La dirección URL generada en esta prueba tiene el siguiente aspecto

***URL.1

Se observa que la URL lleva un código identificador de 19 caracteres (al final de

esta) que caracteriza a la grabación realizada. Dicha URL conduce a una web disponible en

Internet donde se puede descargar el fichero audio con la broma y escuchar en línea.

3.3 Se hace la siguiente prueba: se saca la tarjeta SIM del primer terminal y se

coloca en el segundo terminal, y se comprueba que, al ejecutar la aplicación, no existen

bromas en el histórico de bromas. Se devuelve la SIM al terminal original.

3.4 Se prueba a introducir el número telefónico receptor de la broma, el

***TELEFONO.2, en la página web del proveedor con URL

http://www.jokesphone.com/blacklists_userpaneljs.html cuya función es precisamente

registrar números telefónicos para ser incluidos en la lista negra de JOKESPHONE. A

continuación, desde el tercer móvil se intenta realizar una broma con destino este número.

Se verifica que la aplicación no permite realizar la broma mostrando un mensaje que reza

?El teléfono indicado no está disponible para recibir bromas?.

3.5 Con fecha 10/07/2018, desde el tercer terminal se realiza una broma dirigida

al teléfono ***TELEFONO.3, y la grabación queda en el historial de dicho terminal del

usuario y acto seguido se registra el número en la lista negra de la aplicación a través de la

página web http://www.jokesphone.com/blacklists_userpaneljs.html. Se observa que

pasadas las 24 horas la broma sigue en la pestaña ?Mis Bromas? de la aplicación del

terminal desde el que se realizó la broma, permitiendo su descarga, su escucha en línea y

compartir el enlace de la URL pública generada a partir de la grabación (***URL.2 ). También

se observa que dicho enlace sigue activo, permitiendo la escucha en línea y la descarga de

la grabación.

4) En diligencia de 20/07/2018 el Servicio de inspección imprimió parte de la política de

privacidad de la denunciada de la aplicación JOKESPHONE, indicando que el usuario al

utilizar el servicio acepta los términos y condiciones de esta política de privacidad, que no

recoge datos de los destinatarios de las bromas, que no conserva información del número

de teléfono del destinatario, y que presta un servicio de almacenamiento en la nube de los

ficheros de audio del cliente. En el punto 5 se indica también que de acuerdo con el

Reglamento 2016/679, la base jurídica del tratamiento es el consentimiento al instalarse la

aplicación y aceptar los términos y condiciones, se continua sin recabar dato identificativo y

número de línea de móvil si es el caso, del usuario y continua sin figurar la obtención del

consentimiento del titular de la línea a cuyo titular se gasta la broma, ni información en ese

momento del origen de sus datos.

TERCERO: Con fecha 13/08/2018, la directora de la Agencia Española de Protección de

Datos acordó iniciar procedimiento sancionador a CASHITAPP, S.L por una infracción del

artículo 6.1 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter

Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.b) de dicha norma.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

5/20

La cuantía inicial de la sanción propuesta en el acuerdo de inicio a los efectos del artículo

64.2.b) de la Ley 39/2015 de 1/10 y artículo 127 b) del Reglamento de Desarrollo de la

LOPD, aprobado por Real Decreto 1720/2007, de 21/12 (en adelante RLOPD); se cifró en

1.500 euros.

CUARTO: Con fecha 28/08/2018 la denunciada alega:

1) Antes del 25/05/2018, la aplicación JOKESPHONE conservaba tanto los teléfonos de

los destinatarios de las bromas como las grabaciones de estas. Cuando una persona

que había recibido una broma solicitaba el bloqueo de su teléfono automáticamente,

todas las bromas asociadas a dicho teléfono eran también borradas.

2) A partir del 25/05/2018 se han realizado cambios en sus sistemas y en el

funcionamiento de la aplicación, no conservando los teléfonos de los destinatarios de

las bromas pues ahora quedan en el teléfono del usuario de la aplicación, es decir de

quien gasta la broma.

Al final de la llamada se informa a la persona a la que se gasta la broma que la

llamada ha sido una broma y se le dan unas indicaciones para que el mismo en caso

de que lo desee deniegue la posibilidad de generación de la grabación, con lo cual

nunca existirá esta. En este caso, aunque no se guarde el número, sí que se puede

borrar la grabación, mejor dicho, no se genera ya que todo se hace en tiempo real en

la llamada. Esta acción introduce además el número de teléfono en la lista de

exclusión de forma encriptada, se sigue sin tener el número de teléfono en los

servidores de la denunciada.

En el caso denunciado, al ser anterior a 25/05, el bloqueo del teléfono permitió

además que la grabación quedara borrada. Cuando se recibió el e mail del

denunciante se procedió a contestar indicando el procedimiento para el bloqueo del

teléfono a través de la web. En la propia web se le informa de la realización de que

todo el proceso se ha llevado a cabo.

3) El denunciante solo pretendía cancelar la grabación y borrarla. A fecha de hoy la

grabación está borrada y el teléfono bloqueado y debería considerarse dicha petición

como una tutela de derechos que se ha cumplimentado.

4) Manda como anexo un correo electrónico de 8/03/2018, 9:11 en el que figura para: la

dirección del denunciante en la que se le informa si no quiere recibir más llamadas

de broma y quiere borrar cualquier llamada que haya recibido. El correo responde a

otro del denunciante del mismo día, 9:09 en el que el denunciante indica que quiere

que se borre su número de teléfono de su base de datos y los registros de la

llamada. Pide la confirmación del borrado de esos datos. Se aportan también otros

envíos de e mails de fechas precedentes.

5) En caso de necesidad de obtención del consentimiento, debería ser el usuario que

dispone y da el teléfono de la persona a la que se le gasta la broma el que debería

obtener el consentimiento, pues es el usuario el que decide o no generar la

grabación.

6) Es imposible identificar a quien recibe la llamada.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

6/19

Solicitan copia del expediente que se les remite.

QUINTO: Con fecha 26/11/2018 se emite propuesta de resolución con el literal:

?Que por la directora de la Agencia Española de Protección de Datos se sancione a

CASHITAPP, S.L. con NIF B86745122, con multa de 1.500 euros por la infracción del

artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma.?

SEXTO: Con fecha 10/12/2018 se reciben alegaciones de la denunciada indicando:

1) Reitera que no tiene acceso a los datos de los destinatarios de las bromas ni es

capaz de identificarlos. El denunciante puede, tras la broma a introducir su número de

teléfono incluir la línea en la lista de exclusión para que no vuelva a recibir llamadas, si bien

solo impide llamadas futuras, sin borrar las grabaciones pues no se puede vincular el

teléfono con las grabaciones anteriores. Si se podrían borrar las grabaciones anteriores si se

dispusiera de la url resultante de la grabación o si proporcionara el día y la hora exactos de

la llamada. En este caso denunciado, el bloqueo del teléfono permitió además que la

grabación quedara borrada.

2) Reitera que no trata los datos del destinatario de la broma pues su teléfono es

completamente desconocido para ella, no siendo identificados o identificables. No puede

asociar un teléfono a una broma, para ello necesita la url de la broma que contiene

identificadores distintos, el derecho a la privacidad tiene que ver con el derecho a saber, el

derecho a que no se utilicen sus datos y CASHITAPP garantiza estos derechos pero como

tal, no hace uso de los mismos, no decide sobre su finalidad (es el usuario quien introduce el

teléfono) y por lo tanto no elige quien será el destinatario de la broma, ni la broma que se

gastará, ni cuándo ni en qué circunstancias. CASHITAPP no sabe ni sabrá nunca quien

recibe las bromas ni tendrá control sobre la grabación ni los teléfonos pues, al igual que

sucede en el ámbito particular, el usuario de un teléfono puede llamar a quien quiera, grabar

la conservación o incluso videos y utilizarlos después. Quien pone el medio podrá poner los

medios de seguridad, responder a posteriori para evitar daños a las personas, pero no podrá

intervenir en el acto íntimo y personal de hacer una llamada a una persona concreta y no a

otra.

3) La finalidad de la aplicación es que los usuarios gasten bromas en su entorno

privado y pasen un rato divertido., siendo mínimamente invasivo de la privacidad por cuanto

las bromas son inocentes, no se guardan datos del nº de teléfono del destinatario.? No

existe ninguna diferencia en si en lugar de utilizar la aplicación, la broma la gastara una

persona desde un teléfono público o el teléfono de otra persona.? ?El medio, en realidad, es

lo de menos. ?

4) CASHITAPP no graba bromas, las graba el usuario. CASHITAPP no utiliza esas

grabaciones. Es el usuario quien lo hace. Lo que sí hace CASHITAPP es proporcionar

garantías para que, si alguien ha recibido una broma, pueda borrarla e incluso bloquear su

teléfono para que no le vuelvan a gastar ninguna... CASHITAPP es destinataria de las ?iras?

de un denunciante que debería dirigirse a quien le gastó la broma. CASHITAPP no ha hecho

sino facilitar la reparación de un ?daño? (la molestia o enfado de la broma, nada más)

ocasionado por una tercera persona.

5) Existe un interés legítimo de CASHITAPP para dedicarse a una actividad consistente

en poner un medio para gastar bromas entre particulares. Se adjunta el citado informe al

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

7/20

presente escrito ?habiéndose desmenuzado el posible tratamiento de datos y sus

consecuencias en la privacidad desde un punto de vista objetivo?. Este informe se actualiza

periódicamente pues es compromiso de esta compañía respetar las normas y en ningún

caso perjudicar los intereses de ningún tercero.

Aporta un cuadro estructurado de 25/05/2018 detallando:

a) Identificar un interés legítimo: Indica que no decide sobre destino de los datos ni

sobre su finalidad, es el usuario de la aplicación quien lo hace, simplemente cursa a través

de sus servidores llamadas telefónicas los números de teléfono que los usuarios de la

aplicación introducen, pero nunca se almacenan en ellos. Además, presta un servicio de

alojamiento al usuario de la aplicación para almacenar sus contenidos los cuales solo

pueden ser accedidos por el usuario y quien disponga el usuario. La grabación de la llamada

que en realidad hace el usuario, se hace en la nube para facilitarle la gestión de sus

contenidos. La denunciada no elige a quien llamar, no almacena la información y no conoce

quien es el titular de la línea.

b) La grabación de la broma no es accesible por la denunciada, siendo el usuario de la

aplicación el único que puede acceder a ella

c) La persona a la que se gasta la broma espera lo mismo que espera cuando alguien

le llama por teléfono, indicando que es un servicio privado entre personas. Indica que el

procesamiento no afecta negativamente los derechos del individuo pues el que la hace y la

recibe se divierten, y no se trata de bromas pesadas. El tanto por ciento de quejas es muy

bajo entre las que predominan las de conocer quien les ha llamado. No hay perjuicio.

d) No existe relación alguna con el receptor de la llamada hecha por el usuario de la

aplicación. El registro de la llamada es imposible catalogarlo como dato personal dado que

no se puede identificar de ninguna manera al interlocutor teniendo solo ese dato. Además,

realizan funciones de proveedor de alojamiento de ese contenido para el usuario de la

aplicación, que es el propietario real de ese contenido.

e) Al final de la llamada se brinda la oportunidad al receptor de la llamada de que pueda

borrar la grabación en tiempo real.

HECHOS PROBADOS

1) El denunciante recibe en su línea de móvil el 6/03/2018 una llamada en la que, a

través de una aplicación, una alocución que simula una llamada verdadera llamada le gasta

una broma. La broma se lleva a cabo de manera automatizada a través de la aplicación

JOKESPHONE, titularidad de CAHSITAPP SL.

2) La aplicación JOKESPHONE permite al usuario que la ha descargado por ejemplo

en GOOGLE PLAY, enviar bromas a un tercero, sea conocido o no, sea amigo o teniendo

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

8/19

enemistad, introduciendo exclusivamente el número de teléfono móvil en la aplicación.

Mediante un audio pregrabado de la aplicación se realiza la broma a la línea que se dio. El

usuario puede seleccionar entre un listado de bromas e indicar el destino, y horario que

desea que el destinatario reciba la broma. Una vez realizada la broma, la aplicación tiene la

funcionalidad de grabar la broma si el usuario así lo desea, pudiéndose también compartir

por el usuario el archivo de audio, pues existe un enlace en forma de URL que los sistemas

de la denunciada almacenan y posibilitan compartir pinchando en ese link que se genera.

Estos elementos figuran en los términos y condiciones de uso del servicio de la aplicación

(TCU) que vinculan al usuario y a CASHITAPP, figurando también que ?será requisito

indispensable que el usuario cuente con el consentimiento expreso de la persona que ha

recibido la broma para poder obtenerla y posteriormente hacer uso de esta?.

3) Los datos que se recaban del usuario que gasta la broma según los TCU son la

dirección IP, proveedor de navegador o plataforma móvil, sistema operativo que utiliza,

proveedor de internet que utiliza. No figura ni número de línea ni datos identificativos de la

persona. Tampoco sobre la persona a la que se gasta la broma figura aspecto alguno sobre

información de la llamada que recibe ni sobre autorización de uso de la llamada que se le

hace cuando se gasta la broma, o ejercicio de derechos, tan solo la referencia a posteriori

de haberse llevado a cabo en el punto 8 de los TCU que indica: ?si el receptor de la broma

solicita la cancelación de la grabación, automáticamente la grabación se elimina de los

servidores que prestan servicio a CASHITAPP ?no obstante, previamente al ejercicio del

derecho de oposición o cancelación por parte del receptor, la broma ha podido ser

descargada en el dispositivo del usuario, quedando ya dicha grabación fuera del alcance de

CASHITAPP?. En el al apartado 9 de protección de datos se informa al usuario de aplicación

?que sus datos recabados en la aplicación serán tratados en un fichero de CASHITAPP?.

4) Se denuncia además que el afectado no puede borrar la broma o el archivo en audio

que previamente se ha podido descargar el usuario, incluso tras darse de baja en la lista de

exclusiones de líneas, y así se ha verificado en actuaciones previas.

5) El denunciado aportó copia de correos electrónicos intercambiados con el gestor de

la aplicación, apps@cashitapp.com de 6/03/2018 en los que responde a la petición del

denunciante sobre borrar la grabación, su número de móvil y lo que de dicha grabación

tenga de la persona que quiso hacer gracias con él, al no ser divertido recibir la broma

cuando iba a una reunión de trabajo. La respuesta fue que algún conocido que tiene su

número es el que le ha podido hacer la broma y le detalla el link para clicar, constando que

?el número de teléfono que inserte será bloqueado en las plataformas y nadie podrá

mandarle una broma? lo cual puede servir a posteriori de haberse hecho la broma. En base

a dichos correos, la denunciada no bloquea automáticamente el número del reclamante,

sino que le ofrece un link para entrar y activar el denunciante la exclusión. En otro correo de

7/03/2018, la denunciada indicó al denunciante que ?nuestros servicios no siempre tienen el

número de teléfono del usuario que hacen la llamada de la broma porque la app se puede

instalar en tablets y teléfonos sin tarjeta SIM, sin línea telefónica por lo cual un número de

línea no es necesario?, asimismo en un correo de 7/03/2018, la denunciada proporciona al

denunciante los datos que tiene del usuario, marca y modelo del móvil, dirección IP

proveedor de la red y marca de terminal. El denunciante comunicó a la denunciada por

correo electrónico el 7/03/2018 que su línea de teléfono había sido bloqueada y lo

comprobara. La denunciada confirma en el procedimiento que la línea del denunciante está

bloqueada

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

9/20

6) En actuaciones previas el Servicio de Inspección pudo verificar:

-Se hizo una broma seleccionando una línea de teléfono figurando entre la información que

las bromas se graban para que puedas compartirla y constatan que en la pestaña ?Mis

bromas ?recoge el histórico de bromas realizadas. En el display de pantalla de la aplicación

figura:? Las bromas son completamente anónimas?, y ?La llamada no sale de tu móvil ?? Las

bromas se graban para que puedas compartirlas?. En la pantalla número 7 de la diligencia

de actuación figura una información ?Generar grabación? en la que se indica que ?has

aceptado los términos y condiciones? en caso de grabar una broma y posteriormente

difundir el audio sin el permiso de tu amigo, la responsabilidad de reclamaciones será tuya?.

Seguidamente existen tres posibilidades: descargar un fichero de audio con la grabación de

la broma, escuchar la broma en línea o compartirlo a través de una dirección URL como

archivo adjunto, como por ejemplo por WhatsApp.

-Se verifica que, realizando una broma a una línea telefónica, queda en el historial del móvil

de la aplicación desde la que se hace, se procede a registrar la línea llamada en la lista de

exclusiones de números para no recibir más bromas. Pasadas 24 horas, la broma grabada

en historial del móvil desde el que se hace, a pesar de haberse excluido el número,

continua, pudiéndose ser escuchada o compartida a través de la URL.

7) En diligencia de 20/07/2018 el Servicio de inspección imprimió parte de la política de

privacidad de la denunciada, indicando que de acuerdo con el Reglamento 2016/679, la

base jurídica del tratamiento es el consentimiento al instalarse la aplicación y aceptar los

términos y condiciones, se continua sin recabar dato identificativo y número de línea de

móvil si es el caso, del usuario y continua sin figurar la obtención del consentimiento del

titular de la línea a cuyo titular se gasta la broma, ni información en ese momento del origen

de sus datos.

8) En alegaciones al acuerdo de inicio, la denunciada indica que, tras la entrada

en vigor del nuevo Reglamento de protección de datos, cuando se le hace la broma se

indica a dicha persona si consiente sobre la posibilidad de que se genere o no la grabación

de la broma. En los TCU no figura dicho aspecto.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la directora de la Agencia Española

de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con

el artículo 36 de la LOPD.

II

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

10/19

La LOPD define dato de carácter personal:

Artículo 3 a)? cualquier información concerniente a personas físicas identificadas o

identificables.?

El Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de

21/12 (en adelante RLOPD); en su artículo 5.1 f) ?Datos de carácter personal: Cualquier

información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo

concerniente a personas físicas identificadas o identificables?, considerando tratamiento en

su artículo 3.c la LOPD: ?Tratamiento de datos: operaciones y procedimientos técnicos de

carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración,

modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de

comunicaciones, consultas, interconexiones y transferencias.?

Por otro lado, responsable del fichero o del tratamiento se define en el artículo de

3.d) la LOPD.

?Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o

privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del

tratamiento.?

La denunciada es la titular de una aplicación que permite contactar con el titular de

una línea móvil, sea un amigo sea un desconocido y le efectúa una llamada de broma, sin que

conste la línea que llama pues no se realiza desde el móvil del usuario sino por el sistema que

la denunciada tiene implantado. Asimismo, sin otorgar consentimiento alguno y sin saber de

quien se trata, la persona a la que se hace la broma es grabada en dicha broma pudiéndose

compartir dicho archivo en forma de audio.

Y el artículo 43.1 de la LOPD indica:

?1.?Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos

al régimen sancionador establecido en la presente Ley.?

El Dictamen 4/2007 sobre el concepto de datos personales, emitido por el Grupo del

Artículo 29, en relación con los elementos que obran como identificadores de las personas

físicas, directa o indirectamente, viene a señalar lo siguiente:

?Esta idea se aclara aún más en los comentarios a los artículos de la propuesta

modificada de la Comisión, en donde se afirma que ?una persona puede ser identificada

directamente por su nombre y apellidos o indirectamente por un número de teléfono, la

matrícula de un coche, un número de seguridad social, un número de pasaporte o por una

combinación de criterios significativos (edad, empleo, domicilio, etc.) que haga posible su

identificación al estrecharse el grupo al que pertenece. ?Los términos de esta declaración

indican claramente que el que determinados identificadores se consideren suficientes para

lograr la identificación es algo que depende del contexto de la situación de que se trate. Un

apellido muy común no bastará para identificar a una persona ?es decir, para aislarla ? dentro

del conjunto de la población de un país, mientras que es probable que permita la

identificación de un alumno dentro de una clase. Incluso una información auxiliar, como, por

ejemplo, el hombre que lleva un traje negro puede identificar a alguno de los transeúntes que

esperan en un semáforo. Así pues, el que se identifique o no a la persona a la que se refiere

una información depende de las circunstancias concretas del caso?.

Y en el presente caso, aparte del número de teléfono (que si bien, en principio, por sí

solo podría no ser considerado dato personal, ?ayuno de otras circunstancias que identifiquen

o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

11/20

legal de dato de carácter personal?, en palabras de la Audiencia Nacional, en su sentencia de

17/09/2008, rec. 353/2007). MIRACLIA procede no solo a posibilitar la introducción de la línea

móvil del afectado, cursa la llamada sin que se sepa la procedencia y graba la llamada sin

solicitar tampoco consentimiento para ello, posibilitando el acceso en todo momento a la

grabación a través de la nube donde se almacena la dirección URL que permite compartirla

con terceros. Además, el registro en sus sistemas de líneas telefónicas en las listas de

exclusión, tras haber sido objeto de la broma también forma parte del tratamiento, aunque sea

un dato cifrado, pues al introducir la misma línea y figurar inscrito dicho número identifica que

su titular se ha inscrito en dicho listado, circunstancias todas ellas que suponen tratamiento de

datos.

En relación con la grabación de voz, el Informe 497/2007 del Gabinete Jurídico de esta

Agencia afirma que ?las grabaciones de sonido permitirán identificar a una persona, más aún

sí esa grabación se adjunta a un expediente y por ello quedarán incluidas en el ámbito de

aplicación de la LOPD?. En el mismo sentido se ha manifestado la Audiencia Nacional.

A esto último, añadir que la sentencia de la Audiencia Nacional de fecha 19/03/2014

(rec.176/2012) dice que ?la voz de una persona constituye dato de carácter personal, tal y

como se deduce de la definición que del mismo ofrece el artículo 3.a) de la LOPD, como

>,

cuestión esta que no resulta controvertida?.

El art. 6 de la LOPD establece:

?1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco

del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan

para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de

sus competencias; cuando se refieran a las partes de un contrato o precontrato de una

relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o

cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital

del interesado en los términos del artículo 7, apartado 6 , de la presente Ley, o cuando los

datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la

satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero

a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades

fundamentales del interesado.?

El art. 3.c) y h) de la LOPD define:

?c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado

o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo

y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,

interconexiones y transferencias.?

h) ?consentimiento del interesado como ?toda manifestación de voluntad, libre,

inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento

de datos personales que le conciernen?.

Por otro lado, el artículo 10.2.b del RLOPD indica:

?1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión

si el interesado hubiera prestado previamente su consentimiento para ello.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

12/19

2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal

sin necesidad del consentimiento del interesado cuando:

b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el

responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés

legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y

libertades fundamentales del interesado.?

Se plantean pues en este caso dos modalidades que podrían ser bases legitimas para el

tratamiento de datos de la línea móvil de la denunciante, la grabación y registro del archivo

sonoro o la constancia en la lista de exclusión de la línea. Una podría ser el consentimiento

del afectado por la broma recabado cuando se le hace la misma, al final. La otra base podría

ser el interés legítimo, sin el consentimiento del afectado, pero con unas garantías. Ambos

son objeto de análisis en este procedimiento.

Se parte de la base de que la denunciada utiliza una aplicación diseñada para utilizar

datos personales, número de teléfono del que es titular la persona que es llamada, y cuyo

número es proporcionado por un tercero que puede tener relación con él, o no, o puede

tener buena, mala relación o ninguna. En todo caso, en los TCU de la denunciada se hace

recaer la obtención del consentimiento sobre el uso de la línea móvil en que este debiera

haber obtenido el consentimiento del afectado, cuando el que trata el dato es la denunciada

a través de su aplicación, debiendo instaurar medidas para la acreditación de este. La

denunciada primero crea una aplicación específica para un fin a la que añade los datos de

una línea de móvil, y está configurada para que los datos se utilicen para realizar la broma.

Gracias a la aplicación es posible no solo correlacionar la línea móvil a la que se envía la

comunicación, sino en cuanto afecta a la persona a la que se hace la broma, hacer la broma

con la participación de la persona, reproducir la alocución de la broma, grabarla,

almacenarla en la nube o su anotación posteriormente en la lista blacklist o de exclusión.

Por lo que respecta al desarrollo reglamentario del artículo 6.2 de la LOPD, debe

tenerse en cuenta que el artículo 10.2.b) del RD 1720/2007, de 21/12, de desarrollo de la

LOPD, fue objeto de anulación por exigir para aplicar la excepción a la regla general del

consentimiento y así legitimar el tratamiento o cesión de los datos que estos figurasen en

?fuentes accesibles al público ?. El Tribunal de Justicia de la Unión Europea, al resolver la

cuestión prejudicial planteada por el Tribunal Supremo, dictaminó a finales del año 2011,

STS de 8/02/2012, rec. 25/2008, la aplicación directa del artículo 7 f) de la Directiva 95/46,

en virtud del cual, puede producirse el tratamiento de datos personales siempre y cuando

sea necesario para obtener un interés legítimo para el responsable o terceros y no se

perjudiquen los derechos y libertades del interesado o afectados. El interés legítimo sigue

siendo una base legitima del tratamiento con el nuevo Reglamento (UE) 2016/679 del

Parlamento Europeo y del Consejo de 27/04/2016 relativo a la protección de las personas

físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos

datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de

datos RGPD).

El artículo 7, letra f), no deberá utilizarse como «un último recurso» para situaciones

raras o inesperadas en las que se considere que no son aplicables otros fundamentos

jurídicos del tratamiento. No obstante, no deberá elegirse automáticamente ni deberá

extenderse su uso de manera indebida basándose en la percepción de que es menos

restrictivo que los demás fundamentos.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

13/20

Como regla interpretativa, para dicha labor se puede contar con el dictamen 06/2014

del Grupo de Trabajo creado de conformidad con el artículo 29 de la Directiva 95/46/CE,

órgano consultivo independiente de la UE en materia de protección de datos y privacidad.

sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud

del artículo 7 de la Directiva 95/46/CE, adoptado el 9/04/2014. Este interés legítimo, sigue

siendo uno de los seis fundamentos jurídicos del tratamiento de los datos personales, pero

requiere una prueba de sopesamiento entre el interés legítimo del responsable del tratamiento

o cualesquiera terceros a los que se comuniquen los datos y los intereses o los derechos

fundamentales del interesado. El resultado de esta prueba de sopesamiento determinará si el

artículo 7, letra f), puede utilizarse como fundamento jurídico del tratamiento

En dicho examen, se ha de efectuar una valoración completa de una serie de

factores, con el fin de garantizar que se tienen en cuenta debidamente los intereses y los

derechos fundamentales de los afectados. Al mismo tiempo, se trata de una prueba

modulable, que puede variar desde sencilla hasta compleja, y no es necesario que resulte

indebidamente onerosa. Los factores que deben considerarse cuando se efectúe dicha

prueba de sopesamiento comprenderán:

- la naturaleza y la fuente del interés legítimo, y si el tratamiento de datos es necesario para el

ejercicio de un derecho fundamental, resulta de otro modo de interés público o se beneficia

del reconocimiento de la comunidad afectada;

- la repercusión para el interesado y sus expectativas razonables sobre qué sucederá con sus

datos, así como la naturaleza de los datos y la manera en la que sean tratados;

- las garantías adicionales que podrían limitar un impacto indebido sobre el interesado, tales

como la minimización de los datos, las tecnologías de protección de la intimidad, el aumento

de la transparencia, el derecho general e incondicional de exclusión voluntaria y la

portabilidad de los datos.

La denunciada en su análisis de dicho interés establece una separación antes y

después del 25/05/2018, fecha en que entró en vigor el RGPD indicando que ahora si se deja

a la persona a la que se le gasta la broma si quiere continuar con el proceso, si bien no

figuraba en los TCU. Si acepta dicho proceso de reproducción y no le importa que sea

grabada la misma, con la información de la fuente de la que se han obtenido los datos en

realidad se trataría de un consentimiento, no de interés legítimo el cual se diferencia en que

no se precisa el consentimiento del afectado.

Analizando el interés legítimo se ha de considerar:

a) Por un lado, de la balanza: lo que sería «el interés legítimo perseguido por el

responsable del tratamiento, por otro lado, lo que constituyen «los intereses o los derechos y

libertades fundamentales del interesado que requieran protección en virtud del apartado 1

del artículo 1».

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

14/19

En este sentido la finalidad del tratamiento es gastar una broma a alguien sin que se

aperciba de ello, sin que sepa quien le llama en primera instancia ni cuándo, ni quien. El

envío de la broma no es gratuito, salvo promociones, por lo que la denunciada tiene interés

comercial lucrativo en realizar la llamada. La llamada es efectuada, pero también la

grabación y el envío a la persona que le quiere gastar la broma, sin pedir antes de ello

(hasta 25/05) consentimiento ni información al afectado, pues al final de la alocución de la

broma no se prevén tales extremos. Tampoco que la grabación puede ser usada por el

usuario de la broma y que la difusión de la broma y su voz es por cuenta del usuario, ni se

informa de quien le ha gastado la broma que por naturaleza debiera ser conocido al final de

la alocución, o de otros derechos relacionados con la recogida de datos que ha tenido lugar

para la llamada o de como quedan sus datos en dicha entidad.

a) La denunciada no ha tenido antes relación alguna con el titular de la línea móvil usada

para gastar la broma.

b) No se puede olvidar que el número de teléfono también puede proceder sin

consentimiento o conocimiento de su titular por no habérselo proporcionado al usuario, o de

la cesión de otra persona, un tercero que se lo da al usuario de la aplicación que va a gastar

la broma. Ello hace que no siempre existe expectativa de uso, que se aumenta porque no se

informa de quien ha gastado la broma, pues cuando se hace la misma a la persona a la que

se le gasta la broma, no se le da ningún detalle de la persona que ha dado su número o la

línea desde la que procede.

d) El caso es que, por la existencia de dicha aplicación, la denunciada que la gestiona

dispone de los medios técnicos para que el número introducido, con la broma elegida por el

usuario remita una llamada al titular de la línea, que coge la llamada y se le hace la broma.

Antes del 25/05, al producirse la llamada, a la persona a la que se le gasta la broma no tenía

ningún control sobre la misma, lo que suponía que la broma era grabada y podía ser

difundida por el usuario, sin poder hacer ya nada la persona a la que se le gasta la broma

sobre dicho archivo. Incluso si se apuntaba en la lista de exclusión tras habérsele hecho la

broma, el archivo desaparece de los servidores de la denunciada, pero el usuario que la

gastó conserva el archivo sonoro que lo ha podido difundir, elementos que suponen

claramente tratamientos de datos al correlacionar una línea con una persona. La persona a

la que se le gasta la broma, en la fecha en que se le hace no tenía capacidad de decidir

sobre sus datos que podían no haber sido dados por el a la persona que le gasta la broma, y

no tiene capacidad para que el tratamiento continúe con la grabación de su voz.

A partir del 25/05/2018, según la denunciada, ha cambiado la situación de modo que

no se llevará a cabo la broma si el afectado no autoriza a posteriori que se siga con la

misma, si bien no queda detallada en los TCU. Esta garantía impuesta a partir de 25/05

sería adecuada para controlar el uso de los datos por parte de su titular y a la que se le

gasta la broma, pero ha de ir acompañada por una más amplia información que forme parte

del ese derecho de dar el consentimiento. Así, se deberían implementar por parte de la

denunciada medidas para que el afectado por la broma conozca de quién parte el dato de la

línea que sirve para gastarle la broma, la persona que dispone de ese dato y lo está usando

o lo ha dado a la aplicación. El artículo 5. 4 de la LOPD dentro del derecho a la información

sobre los datos proporcionados o el origen de los mismos, indica: ?Cuando los datos de

carácter personal no hayan sido recabados del interesado, éste deberá ser informado de

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

15/20

forma expresa, precisa e inequívoca, por el responsable del fichero o su representante,

dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya

hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de

los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente

artículo.? Entre otros de los aspectos sobre los que debe versar la información debería

contemplarse la información del titular del que procede el número de línea, usuario con el

que la denunciada contrata y al que no se recaba dato identificativo hasta la fecha

considerando que la grabación sobre la que en su caso haya consentido, puede ser utilizada

o difundida por el usuario y forma parte del impacto en el riesgo del tratamiento el hecho de

que su voz pueda circular hacia terceros como consecuencia de los medios técnicos que

utiliza la aplicación.

En este caso, no sería preciso el plazo de los tres meses debiendo ser informado en

el momento en el que ese le gasta la broma. Si el afectado por la broma puede tener la

carga de sufrir la broma, forma parte de este, el derecho a conocer la persona que se la ha

gastado, que es la que tiene su dato y lo cede, haciendo posible el desenvolvimiento de

esta. Por lo tanto, la denunciada debería implementar en su diseño de tratamiento entre

otros elementos, la información de la procedencia de su línea telefónica en el momento de

pedir el permiso para grabar la broma, circunstancias que la denunciada no ha tenido en

cuenta. Además, y en todo caso, la implementación de estos elementos ha de poder ser

acreditada y constar documentada en el razonamiento del interés legítimo como base de

tratamiento. Se concluye que, si a la persona a la que se le gasta la broma da permiso para

efectuar la broma, realmente no nos hallaríamos en el esquema del interés legítimo, sino en

el del consentimiento.

Dado el tipo de tratamiento que se lleva a cabo, lúdico para el que pretende gastar la

broma pero no siempre para el titular de la línea, que no tiene relación alguna con el

responsable del tratamiento y desconoce de quien se trata, sin expectativa alguna del fin, no

se acredita que las medidas que puedan basarse en el tratamiento con el interés legítimo tal

como están configuradas proteja en todos los casos a los titulares de las líneas que reciben

las mismas, por lo que se estima que no cumplían las premisas del interés legítimo en el

momento en que se le gasta la broma al denunciado, no existiendo base legitima para dicho

tratamiento, con independencia de que tras la entrada en vigor del Reglamento se hayan

instaurado o perfeccionado medidas para adecuar el mismo.

Se confirma la infracción de tratamiento de datos sin consentimiento ni concurrencia

de interés legítimo que presupone el artículo 6.2 de la LOPD.

III

Tanto una línea telefónica móvil con la que se contacta, a instancia de la persona

que gasta la broma, sabedora de la persona titular de dicha línea, como la voz que se

recoge en la conversación conectada con esa línea para gastar la broma son datos de

carácter personal y suponen tratamiento de datos porque se produce la interconexión,

correlación con un archivo mp3 y una URL. Este tratamiento de datos no sería posible si no

existiera la aplicación que de forma automatizada ordena la llamada, almacena la misma y

posibilita la grabación y divulgación de esta, aunque sea a instancia de un tercero usuario,

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

16/19

considerando que la aplicación puede ser usada no solo por amigos sino por cualquier

persona que conozca la línea telefónica y su titular. Para efectuar tratamiento de datos no

solo se precisa el almacenamiento de estos, pues la mera recogida o conexión como se

deriva de su definición sería tratamiento de datos. Además, la voz se almacenaba en

archivos de audio y era susceptible de ser enviada como un archivo más a cualquier otra

línea de telefonía móvil conteniendo la URL que remite a los medios técnicos implementados

por la denunciada.

Hasta 25/05, el audio se conserva en la nube en un fichero mp3 asociado a una URL,

sistema que instaura la denunciada y que permite su acceso por el usuario. Si la persona a

la que se le gasta la broma mete su número de móvil para no volver a recibir bromas, se

produce la comunicación dentro de la aplicación, de modo que la broma que figuraba en

dicha URL deja a partir de ese momento de funcionar, circunstancias todas ellas que

apuntan a que se producen operaciones con el dato de la línea del móvil, y por tanto

tratamientos de datos. Realizar la broma con el dato del móvil, sin solicitar el consentimiento

o contar con una base legitima de tratamiento para una vez realizada no informar de que se

le está grabando la broma, el origen de los datos y si da o no el consentimiento, suponen en

conjunto una pérdida del poder decidir sobre los propios datos que no cuenta con el

consentimiento o base legitima del afectado, que habilite los tratamientos que se realizan

con los datos. La denunciada dispone para el tratamiento de los datos no solo de sus

propios sistemas sino de las plataformas tecnológicas con las que ha contratado el servicio

de almacenamiento de estos.

En sus alegaciones la denunciada reitera que el usuario debe contar con el

consentimiento de la persona que le gasta la broma y así se refleja en los TCU, sin

embargo, en estas alegaciones manifiesta que la base legal del tratamiento es el interés

legítimo. Además de no concurrir dicho interés, la entidad que dispone de los medios

tecnológicos y posibilita el tratamiento con los datos, es la denunciada y en los TCU a que

pueda acudir un afectado por la broma, no encuentra información alguna sobre el

tratamiento de sus datos.

En sus alegaciones la denunciada enfatiza que no es responsable de la circulación

de la broma que pueda hacer el usuario, y respecto a ello se ha de indicar que la infracción

imputada no tiene que ver solo con dicha posibilidad que la aplicación ofrece, sino también

relacionado con la posibilidad de que se establezca y haga la broma sin ofrecer claramente

la información que necesita el titular, todo titular de sus datos. La denunciada debería tender

a acreditar que al que se le gasta la broma es informado tras hacerle la broma de si desea

seguir adelante para facilitar la conclusión de la broma y de sus derechos en la recogida y

uso de los datos. Los TCU que figuraban en la web de la denunciada a 19/07/2018 no

indican aspecto alguno sobre el titular de los datos.

Se acredita así que se produce un tratamiento de datos por la denunciada

IV

La infracción cometida por la denunciada aparece tipificada en el artículo 44.3.b) de

la LOPD que indica: ?Tratar datos de carácter personal sin recabar el consentimiento de las

personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y

sus disposiciones de desarrollo?.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

17/20

V

El artículo 45 de la LOPD, establece, en sus apartados 1 a 2, y 4 y 5, lo siguiente:

?1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.

2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de

carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras

personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad

imputada tenía implantados procedimientos adecuados de actuación en la recogida y

tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una

anomalía en el funcionamiento de dichos procedimientos no debida a una falta de

diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad

y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala

relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que

se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de

la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de

los criterios enunciados en el apartado 4 de este artículo.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma

diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la

comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese

anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

En el acuerdo de inicio se contemplaba una cuantía sancionadora de 1.500 euros,

sin perjuicio de lo que resulte de la instrucción, aplicándose en origen el artículo 45.5 a) de

la LOPD por la reducción de la antijuridicidad derivada de que no se observa un grado

cualificado de intencionalidad (45.4 f) de la LOPD, y la naturaleza y entidad del dato

personal de la línea móvil (45.4 j) de la LOPD.

Una vez reducida la cuantía de la infracción a la escala inferior, se debe tener en

cuenta que se produjo una sola broma y, la línea del afectado se introdujo tras la broma en

la lista de exclusión, que no permitirá reiteración de llamadas (45.4.a) de la LOPD) si bien la

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

18/19

denunciada debe tener en cuenta que las personas a las que se les gastan las bromas,

normalmente no se han descargado la aplicación y no cuentan con su consentimiento para

la recogida y uso de su número de teléfono, y de su voz, utilizando medios tecnológicos que

implican el uso de dichos datos, y como responsables del tratamiento, deben reforzar las

bases para un eventual tratamiento de esos datos con la información y el derecho a

oponerse al tratamiento antes de enviar el resultado de la broma al usuario y de ser

almacenada para su entrega al usuario. Por dichas razones, se impone una sanción por la

infracción del artículo 6 de la LOPD de 1.500 euros.

Vistos los preceptos citados y demás de general aplicación,

la directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad CASHITAPP, S.L. con NIF B86745122, por una

infracción del artículo 6.1 de la LOPD de la LOPD, tipificada como grave en el artículo

44.3.b) de la LOPD, una multa de 1.500 euros, de conformidad con lo establecido en el

artículo 45.1), 2) 4.f) y j) y 45.5.a) de la citada LOPD.

SEGUNDO: NOTIFICAR la presente resolución a CASHITAPP, S.L..

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez

sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b)

de la ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones

Públicas, (LPACAP) en el plazo de pago voluntario que señala el artículo 68 del Reglamento

General de Recaudación, aprobado por Real Decreto 939/2005, de 29/07, en relación con el

art. 62 de la Ley 58/2003, de 17/12, mediante su ingreso en la cuenta restringida nº ES00

0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de

Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en

período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los

días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será

hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días

16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo

mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la

redacción dada por el artículo 82 de la Ley 62/2003, de 30/12, de medidas fiscales,

administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido

notificada a los interesados. La publicación se realizará conforme a lo previsto en la

Instrucción 1/2004, de 22/12/12, de la Agencia Española de Protección de Datos sobre

publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del

reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21/12.

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es

19/20

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de

conformidad con lo establecido en los artículos 112 y 123 de la LPACAP, los interesados

podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia

Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la

notificación de esta resolución o directamente recurso contencioso administrativo ante la

Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto

en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de

13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a

contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo

46.1 del referido texto legal.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá

suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta

su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el

interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia

Española de Protección de Datos, presentándolo a través del Registro Electrónico de la

Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los

restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a

la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación

de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6

www.agpd.es

28001 ? Madrid sedeagpd.gob.es