Resolución de la Agencia Española de Protección de Datos PS-00342-2023 de 22 de febrero de 2024

Cuestión

Expediente N.º: EXP202304554

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 29 de enero de 2024 , la Directora de la...

Contestacion

1/15

? Expediente N.º: EXP202304554

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 29 de enero de 2024, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a ASOCIACIÓN DE

EMPRESAS DE EQUIPOS DE PROTECCIÓN INDIDUAL (ASEPAL) (en adelante, la

parte reclamada), mediante el Acuerdo que se transcribe:

<<

Expediente N.º: EXP202304554

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes

HECHOS

PRIMERO: D. A.A.A. y B.B.B. (en adelante, la parte reclamante) con fecha

14/03/2023 interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra ASOCIACIÓN DE EMPRESAS DE EQUIPOS DE

PROTECCIÓN INDIVIDUAL (ASEPAL) con NIF G79277950 (en adelante, la parte

reclamada). Los motivos en que basa la reclamación son los siguientes: La parte

reclamante manifiesta que en fecha 15/03/2022 acudió a la Asamblea General de la

Asociación reclamada sin que se advirtiera en la convocatoria o durante la celebración

de la misma, que la reunión iba a ser objeto de grabación, hurtándose a los

participantes de dicha información y de la posibilidad de prestar consentimiento a la

misma. Señala que en fecha 11 de mayo de 2022 solicitaron el acceso al contenido de

las grabaciones realizadas en el seno de la citada reunión, negándoles dicho acceso.

Aportan copia de la convocatoria y acta de la asamblea, solicitud de acceso a las

grabaciones realizada a la parte reclamada y contestación recibida.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), EL 11/04/2023 se dio traslado de dicha reclamación a la parte

reclamada/ALIAS, para que procediese a su análisis e informase a esta Agencia en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/15

plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos

previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP) mediante notificación electrónica, no fue recogido por

el responsable, dentro del plazo de puesta a disposición, entendiéndose rechazada

conforme a lo previsto en el art. 43.2 de la LPACAP en fecha 22/04/2023, como consta

en el certificado que obra en el expediente.

Aunque la notificación se practicó válidamente por medios electrónicos, dándose por

efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP, a título

informativo se envió una copia por correo postal que fue notificada fehacientemente en

fecha 17/05/2023. En dicha notificación, se le recordaba su obligación de relacionarse

electrónicamente con la Administración, y se le informaban de los medios de acceso a

dichas notificaciones, reiterando que, en lo sucesivo, se le notificaría exclusivamente

por medios electrónicos.

TERCERO: Con fecha 14/06/2023, de conformidad con el artículo 65 de la LOPDGDD,

se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: Que el 31/07/2023 tuvo entrada en la AEPD escrito de la parte reclamada,

alegaciones de la parte reclamada y probatoria, señalando:

Que el 15/03/2022 tuvo lugar la primera Asamblea General Ordinaria, pudiendo los

asistentes acudir presencialmente como telemáticamente; al inicio de la sesión, se

comunicó verbalmente a los asistentes que la asamblea iba a ser grabada y, además,

los asistentes vía online recibieron un mensaje en la pantalla de su ordenador donde

se les avisaba de la grabación de la junta concretamente con el siguiente mensaje ?La

grabación se ha iniciado. Esta reunión se está grabando. Al unirse, da su

consentimiento para que se grabe?.

Que el RGPD en su art. 6.1.f) considera licito el tratamiento de datos personales

siempre y cuando sea necesario para la satisfacción de los intereses legítimos

perseguidos por el responsable del tratamiento y en el artículo 13.1. d) del RGPD se

establece cual es la información que debe facilitarse, sin que en ningún momento se le

haya negado a la parte reclamante el acceso a ningún dato personal, solo se le ha

denegado el traslado del video de la grabación.

Que el art.15 del RGPD nos habla del derecho de acceso del interesado, teniendo este

derecho a obtener del responsable de tratamiento diferente información y entre esta

diferente información a la que hace referencia sólo ha podido solicitar los fines del

tratamiento, fines que le fueron notificados cuando solicitó en reclamación de fecha

11/05/2022 la grabación de la asamblea celebrada.

Que los asociados siempre estarán sometidos a lo establecido en los Estatutos, leyes

del Estado aplicables y el Reglamento de Régimen Interior tal y como se señala en el

artículo 1.3 de los Estatutos de la Asociación.

Que se han establecido medidas necesarias para cumplir con todos los requisitos

exigibles por la normativa actual de protección de datos.

Que considera que no ha existido infracción del artículo 13 del RGPD ni del artículo 15

del RGPD como se indica en el acuerdo de admisión por los motivos expresados en

estas alegaciones y, subsidiariamente, en caso de que se considere que existe

infracción, se atenúe la sanción a imponer conforme los criterios establecidos en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/15

artículo 83.1 y 83.2 del RGPD obedeciendo a la proporcionalidad y tengan carácter

disuasorio.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los

procedimientos tramitados por la Agencia Española de Protección de Datos se regirán

por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las

disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las

contradigan, con carácter subsidiario, por las normas generales sobre los

procedimientos administrativos."

II

Los hechos denunciados se materializan en la convocatoria por el reclamado

de Asamblea Ordinaria sin la advertencia de que iba a ser objeto de grabación y sin

posibilidad por los participantes de negarse a prestar su consentimiento, lo que podría

vulnerar la normativa en materia de protección de datos de carácter personal.

El artículo 58 del RGPD, Poderes, señala:

?2. Cada autoridad de control dispondrá de todos los siguientes poderes

correctivos indicados a continuación:

(?)

d) ordenar al responsable o encargado del tratamiento que las operaciones de

tratamiento se ajusten a las disposiciones del presente Reglamento, cuando

proceda, de una determinada manera y dentro de un plazo especificado;

(?)

i) imponer una multa administrativa con arreglo al artículo 83, además o en

lugar de las medidas mencionadas en el presente apartado, según las

circunstancias de cada caso particular;

(?)?

III

El artículo 6.1 del RGPD, establece los supuestos que permiten considerar

lícito el tratamiento de datos personales:

?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes

condiciones:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/15

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas

precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física.

e) el tratamiento es necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable

del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre que

sobre dichos intereses no prevalezcan los intereses o los derechos y libertades

fundamentales del interesado que requieran la protección de datos personales,

en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al

tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.?

Asimismo el Considerando 40 del mencionado RGPD, dispone que «Para que

el tratamiento sea lícito, los datos personales deben ser tratados con el

consentimiento del interesado o sobre alguna otra base legítima establecida conforme

a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión

o de los Estados miembros a que se refiera el presente Reglamento, incluida la

necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la

necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de

tomar medidas a instancia del interesado con anterioridad a la conclusión de un

contrato.»

Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11,

señala que:

?1) «datos personales»: toda información sobre una persona física identificada

o identificable («el interesado»); se considerará persona física identificable toda

persona cuya identidad pueda determinarse, directa o indirectamente, en particular

mediante un identificador, como por ejemplo un nombre, un número de identificación,

datos de localización, un identificador en línea o uno o varios elementos propios de la

identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha

persona;

?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas

sobre datos personales o conjuntos de datos personales, ya sea por procedimientos

automatizados o no, como la recogida, registro, organización, estructuración,

conservación, adaptación o modificación, extracción, consulta, utilización,

comunicación por transmisión, difusión o cualquier otra forma de habilitación de

acceso, cotejo o interconexión, limitación, supresión o destrucción;

?11) «consentimiento del interesado»: toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/15

una declaración o una clara acción afirmativa, el tratamiento de datos personales que

le conciernen?.

IV

La infracción que se le atribuye a la reclamada se encuentra tipificada en el

artículo 83.5 a) del RGPD, que considera que la infracción de ?los principios básicos

para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los

artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del mencionado

artículo 83 del citado Reglamento, ?con multas administrativas de 20.000.000? como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía?.

La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen

infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del

artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la

presente ley orgánica?.

Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones

consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

(?)

b) El tratamiento de datos personales sin que concurra alguna de las

condiciones de licitud del tratamiento establecidas en el artículo 6 del

Reglamento (UE) 2016/679.

(?)?

V

El tratamiento de datos de carácter personal requiere la existencia de una base

legal que lo legitime.

De conformidad con el artículo 6.1 del RGPD, además del consentimiento,

existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de

contar con la autorización de su titular. en particular, cuando sea necesario para la

ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición

de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de

intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,

siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y

libertades fundamentales del afectado que requieran la protección de tales datos. El

tratamiento también se considera lícito cuando sea necesario para el cumplimiento de

una obligación legal aplicable al responsable del tratamiento, para proteger intereses

vitales del afectado o de otra persona física o para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al

responsable del tratamiento.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/15

La parte reclamada en su respuesta al requerimiento de información hacen

referencia a dos bases jurídicas que tendrían cabida en el tratamiento efectuado; así

señalan que: ?los asistentes vía online recibieron un mensaje en la pantalla de su

ordenador donde se les avisaba de la grabación de la junta concretamente con el

siguiente mensaje ?La grabación se ha iniciado. Esta reunión se está grabando. Al

unirse, da su consentimiento para que se grabe? y que por tanto ?los miembros que

decidieron conectarse vía telemática prestaron todos conformidad expresa al aceptar

su incorporación a la reunión?.

,

Y en segundo lugar aduce ?Que el RGPD en su art. 6.1.f) da luz verde

considerando licito el tratamiento de datos personales siempre y cuando sea

necesario para la satisfacción de los intereses legítimos perseguidos por el

responsable del tratamiento. Es decir, en cualquiera de los casos, es completamente

licito que se realice la grabación de una asamblea en base al interés legítimo?.

Sin embargo, en relación con el consentimiento alegado no se compadece con

la definición del mismo que realiza el RGPD ?? toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante

una declaración o una clara acción afirmativa, el tratamiento de datos personales que

le conciernen?.

Y en cuanto al interés legítimo, el citado artículo 6.1.f) exige realizar una

evaluación y ponderación de los intereses que no ha sido realizada, identificando los

derechos y libertades que pudieran verse afectados, sus expectativas razonables,

repercusiones, etc., comparándolos con los beneficios previstos y, además, la finalidad

de la grabación según manifiesta el propio reclamado es ?con el fin de favorecer y

facilitar las transcripciones de lo acontecido en ellas en las actas que posteriormente

se remitirán a la totalidad de los miembros?, ?se está haciendo un tratamiento de datos

personales con el único propósito de recoger en las actas la totalidad de lo tratado en

las asambleas. No se recopila la información vertida en la asamblea para un uso ilícito

del contenido. La única utilidad que tiene la grabación es el refuerzo que ofrece a

ASEPAL a la hora de elaborar el acta por lo que no se recoge con el fin de difundir esa

información recabada. La grabación no es más que un instrumento de trabajo??

Pues bien, tampoco sobre todos estos extremos consta que se les haya

informado a los interesados.

Por tanto, se considera que el tratamiento llevado a cabo vulnera el principio de

licitud consagrado en el artículo 6.1 del RGPD, tipificada en el artículo 83.5 a) del

RGPD.

VI

En segundo lugar, se atribuye a la parte reclamada la infracción del artículo 13

del RGPD que establece:

?1. Cuando se obtengan de un interesado datos personales relativos a él, el

responsable del tratamiento, en el momento en que estos se obtengan, le facilitará

toda la información indicada a continuación:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/15

a) la identidad y los datos de contacto del responsable y, en su caso, de su

representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base

jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los

intereses

legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales,

en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un

tercer país u organización internacional y la existencia o ausencia de una

decisión de adecuación de la Comisión, o, en el caso de las transferencias

indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo,

referencia a las garantías adecuadas o apropiadas y a los medios para obtener

una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del

tratamiento facilitará al interesado, en el momento en que se obtengan los datos

personales, la siguiente información necesaria para garantizar un tratamiento de datos

leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no

sea

posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso

a los datos personales relativos al interesado, y su rectificación o supresión, o

la limitación de su tratamiento, o a oponerse al tratamiento, así como el

derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el

artículo 9, apartado 2, letra a), la existencia del derecho a retirar el

consentimiento en cualquier momento, sin que ello afecte a la licitud del

tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o

un requisito necesario para suscribir un contrato, y si el interesado está

obligado a facilitarlos datos personales y está informado de las posibles

consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos,

información significativa sobre la lógica aplicada, así como la importancia y las

consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de

datos personales para un fin que no sea aquel para el que se recogieron,

proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información

sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en

la medida en que el interesado ya disponga de la información.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/15

Ese precepto, además de determinar en sus apartados 2 y 3 la información que

el responsable del tratamiento deberá ofrecer, determina que ésta ha de facilitarse en

el momento de la recogida de los datos. No obstante, la previsión del artículo 13,

apartados 1 y 2, hay que ponerla en relación con el artículo 13.4 que dispensa de la

obligación a la que se refieren ambas disposiciones ?cuando y en la medida en que el

interesado ya disponga de la información.?

Los considerandos del RGPD reiteran la misma idea. Así, el considerando 61

indica que ?Se debe facilitar a los interesados la información sobre el tratamiento de

sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de

otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso(...)? Y

el considerando 62 dice que ?Sin embargo, no es necesario imponer la obligación de

proporcionar información cuando el interesado ya posea la información, (...).?

En todo caso debe tenerse en cuenta que conforme al considerando 60

incumbe al responsable la obligación de ?facilitar al interesado cuanta información

complementaria sea necesaria para garantizar un tratamiento leal y transparente,

habida cuenta de las circunstancias y del contexto específicos en que se traten los

datos personales?.

VII

La infracción del artículo 13 del RGPD, está tipificada en el artículo 83.5.b) del

RGPD que dispone: ?Las infracciones de las disposiciones siguientes se sancionarán,

de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen

de negocio total anual global del ejercicio financiero anterior, optándose por la de

mayor cuantía:

(...)

b) los derechos de los interesados a tenor de los artículos 12 a 22; (...)?

(?)?

A efectos de prescripción, la LOPDGDD califica esta conducta en el artículo

72.1.h) de infracción muy grave y fija para ella un plazo de prescripción de tres años.

El precepto dispone:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

(...)

h) La omisión del deber de informar al afectado acerca del tratamiento de sus

datos personales conforme a lo dispuesto en los artículos 13 y 14 del

Reglamento (UE) 2016/679 y 12 de esta ley orgánica.?

(...)?

VIII

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/15

En el presente caso, el reclamante señala que ni en la convocatoria recibida

con el orden del día ni en el resto de la información que les fue remitida previamente a

su celebración se les informo que la Asamblea iba a ser grabada, negándose la parte

reclamada posteriormente a entregarle copia de la grabación solicitada.

Los principios recogidos en el artículo 5 del RGPD, relativos al tratamiento leal

y transparente exigen que se informe al interesado de la existencia de la operación de

tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado

cuanta información complementaria sea necesaria para garantizar un tratamiento leal y

transparente, habida cuenta de las circunstancias y del contexto específicos en el que

se traten los datos personales.

Por ello, se debe facilitar a los interesados la información sobre el tratamiento

de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen

de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso.

Cuando se obtengan de un interesado datos personales relativos a él, el

responsable del tratamiento, en el momento en que estos se obtengan, debe facilitarle

toda la información sobre el tratamiento de sus datos tal como se indica en el artículo

13 del RGPD.

IX

A fin de establecer la multa administrativa que procede imponer han de

observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que

señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias

de cada caso individual, a título adicional o sustitutivo de las medidas contempladas

en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate

así como el número de interesados afectados y el nivel de los daños y

perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento

para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del

tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan

aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del

tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/15

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso,

en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido

ordenadas previamente contra el responsable o el encargado de que se trate

en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos

de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.

En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su

artículo 76, ?Sanciones y medidas correctivas?, establece que:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)

2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

- De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de

la instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a

imponer en el presente caso por la infracción del artículo 6.1 del RGPD, tipificada en el

artículo 83.5.a) del RGPD de la que se responsabiliza al reclamado, en una valoración

inicial, se considera adecuado establecer una sanción de 5.000 ? (cinco mil euros).

- De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de

la instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a

imponer en el presente caso por la infracción del artículo 13 del RGPD, tipificada en el

artículo 83.5.a) del RGPD de la que se responsabiliza al reclamado, en una valoración

inicial, se considera adecuado establecer una sanción de 5.000 ? (cinco mil euros).

X

De confirmarse la infracción, podría acordarse imponer al responsable la

adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/15

en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD,

según el cual cada autoridad de control podrá ?ordenar al responsable o encargado

del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del

presente Reglamento, cuando proceda, de una determinada manera y dentro de un

plazo especificado??. La imposición de esta medida es compatible con la sanción

consistente en multa administrativa, según lo dispuesto en el art. 83.2 del RGPD.

Se advierte que no atender la posible orden de adopción de medidas impuestas

por este organismo en la resolución sancionadora podrá ser considerado como una

infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como

infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un

ulterior procedimiento administrativo sancionador.

Por lo tanto, a tenor de lo anteriormente expuesto,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a ASOCIACIÓN DE

EMPRESAS DE EQUIPOS DE PROTECCIÓN INDIDUAL (ASEPAL), con NIF

G79277950, por la presunta infracción de los artículos 6.1. y 13 del RGPD, tipificadas

en los artículos 83.5.a) y 83.5.b) del RGPD.

SEGUNDO: NOMBRAR Instructor a C.C.C. y Secretaria a D.D.D., indicando que

cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido en los

artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector

Público (LRJSP).

TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la

denuncia interpuesta por el reclamante y su documentación, así como los documentos

obtenidos y generados por la Subdirección General de Inspección de Datos en las

actuaciones previas al inicio del presente procedimiento sancionador.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

(LPACAP), y art. 127 letra b) del RLOPD, la sanción que pudiera corresponder por las

infracciones de los artículos 6.1 y 13 del RGPD sería de 5.000 euros (cinco mil euros),

cada una de ellas, sin perjuicio de lo que resulte de la instrucción.

QUINTO: NOTIFICAR el presente acuerdo a ASOCIACIÓN DE EMPRESAS DE

EQUIPOS DE PROTECCIÓN INDIDUAL (ASEPAL), con NIF G79277950, otorgándole

un plazo de audiencia de diez días hábiles para que formule las alegaciones y

presente las pruebas que considere convenientes. En su escrito de alegaciones

deberá facilitar su NIF y el número de procedimiento que figura en el encabezamiento

de este documento

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/15

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

También se le informa de que, de conformidad con lo dispuesto en el artículo

85.1 LPACAP, podrá reconocer su responsabilidad dentro del plazo otorgado para la

formulación de alegaciones al presente acuerdo de inicio lo que llevará aparejada una

reducción de un 20% de la sanción que proceda imponer en el presente

procedimiento, equivalente en este caso a 2.000 euros. Con la aplicación de esta

reducción, la sanción total quedaría establecida en 8.000 euros, resolviéndose el

procedimiento con la imposición de esta sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del

presente procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, de

conformidad con lo establecido en el artículo 85.2 LPACAP, lo que supondrá una

reducción de un 20% del importe de la misma, equivalente en este caso a 2.000 euros.

Con la aplicación de esta reducción, la sanción total quedaría establecida en 8.000

euros y su pago implicará la terminación del procedimiento, sin perjuicio de la

imposición de las medidas correspondientes.

La reducción por el pago voluntario de la sanción es acumulable a la que

corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este

reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo

concedido para formular alegaciones a la apertura del procedimiento. El pago

voluntario de la cantidad referida en el párrafo anterior podrá hacerse en cualquier

momento anterior a la resolución. En este caso, si procediera aplicar ambas

reducciones, el importe de la sanción total quedaría establecido en 6.000 euros.

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas

estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las

cantidades señaladas anteriormente (8.000 euros o 6.000 euros), de acuerdo con lo

previsto en el artículo 85.2 referido, le indicamos que deberá hacerla efectiva mediante

su ingreso en la cuenta restringida nº ES00 0000 0000 00000 0000 0000 abierta a

nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,

S.A., indicando en el concepto el número de referencia del procedimiento que figura en

el encabezamiento de este documento y la causa de reducción del importe a la que se

acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de doce meses a contar desde la

fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/15

En cumplimiento de los artículos 14, 41 y 43 de la LPACAP, se advierte de que,

en lo sucesivo, las notificaciones que se le remitan se realizarán exclusivamente de

forma electrónica, a través de la Dirección Electrónica Habilitada Única

(dehu.redsara.es), y que, de no acceder a ellas, se hará constar su rechazo en el

expediente, dando por efectuado el trámite y siguiéndose el procedimiento. Se le

informa que puede identificar ante esta Agencia una dirección de correo electrónico

para recibir el aviso de puesta a disposición de las notificaciones y que la falta de

práctica de este aviso no impedirá que la notificación sea considerada plenamente

válida.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la

LPACAP, contra el presente acto no cabe recurso administrativo alguno.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO: En fecha 8 de febrero de 2024, la parte reclamada ha procedido al pago

de la sanción en la cuantía de 6000 euros haciendo uso de las dos reducciones

previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el

reconocimiento de la responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

CUARTO: En el Acuerdo de inicio transcrito anteriormente se señalaba que, de

confirmarse la infracción, podría acordarse imponer al responsable la adopción de

medidas adecuadas para ajustar su actuación a la normativa mencionada en este

acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el

cual cada autoridad de control podrá ?ordenar al responsable o encargado del

tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del

presente Reglamento, cuando proceda, de una determinada manera y dentro de un

plazo especificado??.

Habiéndose reconocido la responsabilidad de la infracción, procede la imposición de

las medidas incluidas en el Acuerdo de inicio.

FUNDAMENTOS DE DERECHO

I

Competencia

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/15

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Terminación del procedimiento

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.?

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento EXP202304554, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: ORDENAR a ASOCIACIÓN DE EMPRESAS DE EQUIPOS DE

PROTECCIÓN INDIDUAL (ASEPAL) para que en el plazo de 6 meses desde que la

presente resolución sea firme y ejecutiva, notifique a la Agencia la adopción de las

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/15

medidas que se describen en los fundamentos de derecho del Acuerdo de inicio

transcrito en la presente resolución.

TERCERO: NOTIFICAR la presente resolución a ASOCIACIÓN DE EMPRESAS DE

EQUIPOS DE PROTECCIÓN INDIDUAL (ASEPAL).

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

1259-16012024

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es