Resolución de la Agencia Española de Protección de Datos PS-00323-2020 de 06 de abril de 2021

Cuestión

1 / 10

Procedimiento Nº PS/00323/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : A.A.A. (en adelante, el reclamante) con fecha 22 de abril de 2020...

Contestacion

1/10

? Procedimiento Nº PS/00323/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 22 de abril de 2020

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra GRUPO OCIO DESARROLLO Y SERVICIOS, S.L. con

NIF B84994771 (en adelante, el reclamado).

Los motivos en que basa la reclamación son los siguientes:

?«Cronología:

13/05/2019

Me pongo en contacto con la empresa Rotuocio mediante mensajería instantánea

(WhatsApp) solicitando precio de sus servicios tras visitar su web.

23/11/2019

Rotuocio se pone en contacto conmigo por WhatsApp enviándome una imagen viral

ofreciendo sus servicios, acto que no obtiene mi respuesta.

25/11/2019

Tras recibir otra imagen viral, le comunico que deseo dejar de recibir comunicaciones

comerciales por ese medio. Del mismo modo, le indico el deseo de ejercer mi derecho

a oposición del tratamiento de mis datos personales.

Tras una breve conversación donde se niega a mi ejercicio de derechos, me informa

de que mis datos están borrados.

22/01/2020

Me vuelve a mandar una imagen viral. Le comunico que no debería tener mi número y

se disculpa.

10/02/2020

Me vuelve a mandar una imagen viral, que en esta ocasión no contesto.

22/04/2020

En esta ocasión me manda un enlace. Le vuelvo a comunicar que no debería tener mi

número y vuelve a disculparse.

Considero, tras los múltiples intentos de ejercer mis derechos, que se está vulnerando

por parte de Rotuocio mi derecho fundamental a la protección de mis datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/10

personales, haciendo uso de los mismos sin mi consentimiento y reiterando un

tratamiento que di por cancelado, aunque me negara la vía para hacerlo de manera

formal. 1?

Junto a la reclamación aporta pantallazos de las siguientes conversaciones

mantenidas a través de la aplicación de mensajería WhatsApp:

? Conversación de 13/05/2019 en la que el reclamante solicita información acerca de

sus servicios.

? Conversación entre el reclamante y el reclamado en fecha 25/11/2019 ante la

recepción de una imagen en el que el primero manifiesta su deseo de no recibir

imágenes publicitarias y el reclamado accede a eliminar sus datos.

? Conversación de 22/01/2020 en la que, ante una nueva imagen publicitaria enviada

por el reclamado, el reclamante pregunta al respecto y el reclamado se disculpa.

? Conversación de 10/02/2020 en la que el reclamado vuelve a enviar una imagen y de

22/04/2020 en la se le envía una comunicación con el enlace

https://www.rotuocio.es/llenatubarcom/; el reclamante vuelve a inquirir y el reclamado

vuelve a disculparse.

SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se

trasladó al reclamado el día 2 de junio de 2020, en el seno del expediente

E/03840/2020 y de conformidad con lo establecido en el artículo 65.4 la Ley Orgánica

3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los

derechos digitales (en lo sucesivo, LOPDGDD). La citada notificación, que fue remitida

electrónicamente al tratarse del reclamado de un sujeto obligado a relacionarse por

medios electrónicos con las Administraciones Públicas no fue atendida en el plazo de

10 días naturales desde su puesta a disposición.

El 15 de junio de 2020 se procedió a reiterar el traslado de la reclamación por correo

postal, resultando infructuoso el intento de notificación y siendo devuelto a esta

Agencia el día 23 de junio, por ?desconocido?.

TERCERO: Efectuada consulta a la Agencia Tributaria acerca del domicilio fiscal del

reclamado, se procedió a realizar un nuevo intento de notificación del traslado de la

reclamación en el nuevo domicilio comunicado el día 7 de agosto de 2020, que fue

nuevamente devuelto por desconocido el 21 del mismo mes.

CUARTO: La reclamación fue admitida a trámite mediante resolución de la Directora

de la Agencia Española de Protección de Datos de fecha 18 de septiembre de 2020.

QUINTO: Con fecha 2 de octubre de 2020, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la

presunta infracción del artículo 21.1 de la Ley 34/2002, de 11 de julio, de Servicios de

la Sociedad de la Información y Comercio Electrónico (en lo sucesivo, LSSI), tipificada

en el artículo 38.4.d) de la citada norma LSSI.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/10

SEXTO: La notificación electrónica del acuerdo de inicio fue puesta a disposición del

reclamado el 5 de octubre de 2020 a través del Servicio de Notificaciones Electrónicas

y Dirección Electrónica Habilitada sin que aquel accediera a su contenido en el plazo

de 10 días naturales. De acuerdo con lo dispuesto en el artículo 43.2 de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP), la mencionada notificación debe

entenderse rechazada.

SÉPTIMO: Con fecha 30 de noviembre de 2020, el instructor del procedimiento notificó

al reclamado la apertura de un período de práctica de pruebas en el que se acordaba

dar por reproducidos, a efectos probatorios la reclamación interpuesta por el

reclamante y la documentación aportada así como los documentos obtenidos y

generados por la Subdirección General de Inspección de Datos que forman parte del

expediente E/03840/2020, en el seno del cual se procedió al traslado de la

reclamación a que se ha hecho referencia en el antecedente segundo.. La notificación

de este escrito resultó infructuosa.

OCTAVO: Notificado formalmente el acuerdo de inicio el día 16 de octubre de 2010, el

reclamado no ha presentado al acuerdo de inicio, por lo que resulta de aplicación lo

señalado en el artículo 64.2.f) de la LPACAP, que establece que en caso de no

efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación,

este podrá ser considerado propuesta de resolución cuando contenga un

pronunciamiento preciso acerca de la responsabilidad imputada, por lo que se procede

a dictar Resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: De acuerdo con la reclamación y las capturas de pantalla aportadas, el día

22 de abril de 2020, el reclamante recibe una comunicación por la aplicación de

mensajería WhatsApp proveniente del número de teléfono ***TELEFONO.1,

perteneciente al comercio web ROTUOCIO.ES, tal y como consta en su página web.

SEGUNDO: Se considera responsable a GRUPO OCIO DESARROLLO Y

SERVICIOS, S.L., toda vez que ROTUOCIO.ES se trata de una página web

desarrollada por dicha mercantil, tal y como consta en la mencionada página.

TERCERO: La comunicación consiste en un enlace a la página web

http://www.rotuocio.es/llenatubar-com a la que el reclamante responde preguntando.

?¿No me habías borrado? Es la cuarta vez?. El reclamado contesta diciendo que sí y

que no entiende por qué le llegan las comunicaciones.

CUARTO: De acuerdo con las capturas de pantalla de las conversaciones mantenidas

entre el reclamante y el reclamado, el inicio de las comunicaciones tuvo lugar por una

consulta de 13 de mayo de 2019 en relación con los servicios ofertados por el

reclamante.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/10

FUNDAMENTOS DE DERECHO

I

La competencia para sancionar la comisión de las infracciones tipificadas en los

artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, corresponde a la Agencia

Española de Protección de Datos, según dispone el artículo 43.1 de dicha Ley.

II

Se imputa al reclamado la comisión de una infracción por vulneración del 21.1 de la

LSSI. El tenor literal de este artículo es el siguiente:

?1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por

correo electrónico u otro medio de comunicación electrónica equivalente que

previamente no hubieran sido solicitadas o expresamente autorizadas por los

destinatarios de las mismas.

?2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una

relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita

los datos de contacto del destinatario y los empleara para el envío de comunicaciones

comerciales referentes a productos o servicios de su propia empresa que sean

similares a los que inicialmente fueron objeto de contratación con el cliente.

?En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al

tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo

y gratuito, tanto en el momento de recogida de los datos como en cada una de las

comunicaciones comerciales que le dirija.

?Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho

medio deberá consistir necesariamente en la inclusión de una dirección de correo

electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,

quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.?

La infracción se tipifica en el artículo 34.4 de la citada norma que dispone:

4. Son infracciones leves:

[?] d) El envío de comunicaciones comerciales por correo electrónico u otro medio de

comunicación electrónica equivalente cuando en dichos envíos no se cumplan los

requisitos establecidos en el artículo 21 y no constituya infracción grave.?

Esta infracción puede ser sancionada con multa de hasta 30.000 ?, de acuerdo con el

artículo 39.1.c) de la LSSI.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/10

A efectos del plazo de prescripción de las infracciones, la infracción señalada en el

párrafo anterior prescribe a los 6 meses, conforme al artículo 45 de la LSSI.

III

El artículo 21.1 de la LSSI prohíbe de forma expresa las comunicaciones comerciales

dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa,

organización o persona que realice una actividad comercial, industrial, artesanal o

profesional, sin consentimiento expreso del destinatario, si bien esta prohibición

encuentra su excepción en el segundo párrafo del citado artículo. Esta prohibición así

referida, parte de un concepto de comunicación comercial que se califica como

servicio de la sociedad de la información y para definir estos conceptos, será

necesario acudir a los anexos de la propia LSSI.

La LSSI, en su anexo a), define como Servicio de la Sociedad de la Información, ?todo

servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a

petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los

servicios no remunerados por sus destinatarios, en la medida en que constituyan una

actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen

una actividad económica, los siguientes:

[?]

4º El envío de comunicaciones comerciales

[?]?.

Y posteriormente, en el Anexo f) define el concepto de comunicación comercial de la

siguiente manera:

?f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción,

directa o indirecta, de la imagen o de los bienes o servicios de una empresa,

organización o persona que realice una actividad comercial, industrial, artesanal o

profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los

datos que permitan acceder directamente a la actividad de una persona, empresa u

organización, tales como el nombre de dominio o la dirección de correo electrónico, ni

las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca

cuando sean elaboradas por un tercero y sin contraprestación económica?.

Como puede observarse, será en aquellos supuestos en los que la comunicación

comercial no reúna los requisitos que requiere el concepto de Servicios de la Sociedad

de la Información, cuando pierda el carácter de comunicación comercial. Por un lado,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/10

los datos que permitan acceder directamente a la actividad de una persona, empresa u

organización, tales como el nombre de dominio o la dirección de correo electrónico, y,

por otro, las comunicaciones relativas a los bienes, los servicios o la imagen que se

ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

IV

Una vez expuesto, en el fundamento jurídico anterior, el marco jurídico conceptual que

resulta de aplicación a las comunicaciones comerciales remitidas por correo

electrónico o medios de comunicación electrónica equivalentes, es necesario señalar

que el artículo 19.2 de la propia LSSI preceptúa que ?En todo caso, será de aplicación

la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención

de datos personales, la información a los interesados y la creación y mantenimiento de

ficheros de datos personales?.

Del precepto señalado se deduce, por tanto, que es de aplicación la normativa de

protección de datos de carácter personal, si bien la remisión que se efectúa a la Ley

15/1999 ha de interpretarse como hecha a la normativa vigente actualmente: el RGPD

y la LOPDGDD.

Como consecuencia de lo expuesto, en relación con el consentimiento del destinatario

para el tratamiento de sus datos con la finalidad de enviarle comunicaciones

comerciales por vía electrónica, es preciso considerar lo dispuesto en la normativa de

protección de datos y, en concreto, en el artículo 4.11) del RGPD, que define el

?consentimiento del interesado? como ?toda manifestación de voluntad, libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante

una declaración o una clara acción afirmativa, el tratamiento de datos personales que

le conciernen;?.

Por su parte el artículo 6.1.a) del RGPD establece en cuanto a la ?Licitud del

tratamiento? que:

?1. El tratamiento sólo será lícito si se cumple al menos una de las siguientes

condiciones:

a) El interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos; ?

A su vez, el artículo 7 del RGPD determina en cuanto a las ?Condiciones para el

consentimiento? que:

?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable

deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos

personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita

que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de

tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/10

fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte

de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La

retirada del consentimiento no afectará a la licitud del tratamiento basada en el

consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado

será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la

mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato,

incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de

datos personales que no son necesarios para la ejecución de dicho contrato.?

En cuanto al derecho de oposición, el artículo 21 del RGPD dispone lo siguiente:

?[?]

2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia

directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de

los datos personales que le conciernan, incluida la elaboración de perfiles en la

medida en que esté relacionada con la citada mercadotecnia.

3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa,

los datos personales dejarán de ser tratados para dichos fines.

4. A más tardar en el momento de la primera comunicación con el interesado, el

derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado

y será presentado claramente y al margen de cualquier otra información.

5. En el contexto de la utilización de servicios de la sociedad de la información, y no

obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá ejercer su

derecho a oponerse por medios automatizados que apliquen especificaciones

técnicas.

[?]?

Así las cosas, de acuerdo con los preceptos transcritos, el consentimiento otorgado

para la recepción de publicidad por medios de comunicación electrónica, además de

previo, libre, específico e inequívoco, deberá ser informado, ofreciendo la posibilidad

de oponerse a dicho tratamiento con fines promocionales y advirtiendo sobre el

derecho a retirar el consentimiento en cualquier momento. Esta información así

configurada debe tomarse como un presupuesto necesario para otorgar validez a la

manifestación de voluntad del afectado.

V

En el presente supuesto, la valoración del conjunta de elementos fácticos obrantes en

el procedimiento sancionador pone de manifiesto que GRUPO OCIO DESARROLLO Y

SERVICIOS, S.L. envió, el 22 de abril de 2020, una comunicación comercial al

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/10

reclamante a través de la aplicación de mensajería WhatsApp, sin contar con la

autorización previa y expresa del destinatario para ello.

La afirmación así realizada acerca del carácter no solicitado o expresamente

consentido por el receptor, se fundamenta en que el reclamante expresamente hace

referencia a una petición anterior de borrado de sus datos y el reclamado manifiesta su

aquiescencia con este extremo disculpándose.

Por otra parte, los hechos descritos no quedarían amparados en una relación

contractual previa que permitiese la aplicación de la excepción contenida en el artículo

21.2 de la LSSI.

VI

Los poderes correctivos de los que dispone la Agencia Española de Protección de

Datos, como autoridad de control, se establecen en el artículo 58.2 del RGPD. Entre

ellos se encuentran la potestad de sancionar con apercibimiento -artículo 58.2 b)-, la

potestad de imponer una multa administrativa con arreglo al artículo 83 del RGPD

-artículo 58.2 i)-, o la potestad de ordenar al responsable o encargado del tratamiento

que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando

proceda, de una determinada manera y dentro de un plazo especificado -artículo 58. 2

d)-.

Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en el artículo 58.2

d) del citado Reglamento es compatible con la sanción consistente en multa

administrativa.

VII

A efectos de fijar la sanción a imponer al reclamado, se considera que procede

graduar la sanción a imponer de acuerdo con los criterios que establece el artículo 40

de la LSSI. Así, se considera que concurre la circunstancia atenuante descrita en el

artículo 40.d) debido a que no existe constancia de otros perjuicios sufridos por el

reclamante, aparte de la recepción no solicitada de la comunicación.

En base a lo anterior, se considera que la sanción que corresponde imponer es de mil

quinientos euros (1.500,00 ?).

Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia

Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a GRUPO OCIO DESARROLLO Y SERVICIOS, S.L. con NIF

B84994771, por una infracción del artículo 21.1 de la LSSI, tipificada en el artículo

38.4.d) de la citada norma, una multa de MIL QUINIENTOS EUROS (1.500,00 ?).

SEGUNDO: NOTIFICAR la presente resolución a GRUPO OCIO DESARROLLO Y

SERVICIOS, S.L. e informar al reclamante.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/10

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva

una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el

artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el

artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto

939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de

diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000

0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad

bancaria CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en

período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.6 de la

LOPDGDD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas, los interesados podrán interponer, potestativamente,

recurso de reposición ante la Directora de la Agencia Española de Protección de Datos

en el plazo de un mes a contar desde el día siguiente a la notificación de esta

resolución o directamente recurso contencioso administrativo ante la Sala de lo

Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el

artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de

13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de

dos meses a contar desde el día siguiente a la notificación de este acto, según lo

previsto en el artículo 46.1 del referido texto legal.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015,

de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si

el interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

812-151020

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/10

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es