Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00365-2019 de 06 de noviembre de 2020
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 75 min
Órgano: Agencia Española de Protección de Datos
Fecha: 06/11/2020
Num. Resolución: PS-00365-2019
Cuestión
Sector:1 / 26
Procedimiento Nº: PS/00365/2019
938-300320
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en
base a los siguientes
ANTECEDENTES
PRIMERO : En fecha 21/08/2018 tiene entrada en la Agencia Española de Protección
de...
Contestacion
1/26
? Procedimiento Nº: PS/00365/2019
938-300320
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en
base a los siguientes
ANTECEDENTES
PRIMERO: En fecha 21/08/2018 tiene entrada en la Agencia Española de Protección
de Datos (AEPD) un escrito de D.ª A.A.A. (en adelante, la reclamante) en el que
expone que XFERA MÓVILES, S.A., con NIF A82528548 (en adelante, la reclamada o
YOIGO) ha tratado su NIE vinculado a un contrato de telefonía móvil al que ella es
ajena.
La reclamante manifiesta que ?Por mi banco me he enterado que con mi número
de dni existe un contrato de servicios de telefonía móvil con la empresa Xfera Móviles-
Yoigo. He puesto una reclamación al departamento de control de servicios de esta
empresa ...? La documentación que aporta revela que su NIE fue comunicado por la
reclamada al fichero de solvencia patrimonial BADEXCUG con fecha de alta marzo de
2014, por una deuda impagada de XXX euros.
Anexos a la reclamación aporta estos documentos: La copia del ?Certificado de
registro de ciudadanos de la Unión?, emitido por una autoridad española, en el que
figuran entre otros datos su nombre y apellido, el NIE ***NIE.1 y su domicilio en
España. La copia de un informe de Ibercheck a tenor del cual, vinculado a su NIE,
existe una anotación de impago en el fichero BADEXCUG, informada por la
reclamada, con fecha de alta 16/03/2014, por un importe de XXX euros, siendo la
fecha de última actualización de la anotación el 19/08/2018.
SEGUNDO: A la vista de los hechos expuestos en la reclamación, la AEPD realizó
actuaciones tendentes a su esclarecimiento.
A. En el marco del expediente E/6739/2018, mediante escrito firmado el
02/10/2018, se da traslado a la reclamada de la reclamación y se solicita que en el
plazo de un mes facilite una explicación sobre los hechos expuestos en ella y detalle
las medidas adoptadas para evitar que en el futuro se produzcan situaciones similares.
El escrito se notifica a la reclamada electrónicamente, siendo la fecha de puesta
a disposición el 02/10/2018 y la fecha de aceptación de la notificación el 03/10/2018,
tal y como lo acredita el certificado de la FNMT que obra en el expediente.
Asimismo, en escrito firmado el 02/10/2018, la AEPD se dirige a la reclamante
acusando recibo de su reclamación y comunicándole su traslado a la reclamada.
Transcurrido el plazo concedido sin que la reclamada hubiera respondido a la
solicitud informativa, de conformidad con lo dispuesto en el artículo 65.2 de la Ley
Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/26
(LOPDGDD), en fecha 19/02/2019 se firma el acuerdo de admisión a trámite de la
presente reclamación.
B. A tenor del artículo 67 de la LOPDGDD, en el marco del expediente número
E/2053/2019, la Inspección de Datos de la AEPD lleva a cabo actuaciones de
investigación previa.
Obran en el expediente administrativo los certificados emitidos por la FNMT que
acreditan que la reclamada recibió las notificaciones electrónicas de los dos
requerimientos informativos que se le hicieron en el curso de las actuaciones de
investigación previa; requerimientos de fechas 17/07/2019 y 23/09/2019 a los que no
respondió. Las notificaciones fueron aceptadas, respectivamente, en fechas
17/07/2019 y 30/09/2019.
El primero de los requerimientos de la Inspección de Datos se firma el
17/07/2019. En la misma fecha se notifica a la reclamada y ésta acepta la notificación.
El requerimiento otorgaba a la reclamada un plazo de 15 días hábiles para responder;
indicaba que la información se solicitaba por la Inspección de Datos en uso de las
facultades conferidas por los artículos 58.1 RGPD y 67 LOPDGDD; se recordaba a la
reclamada la obligación que le impone el Reglamento (UE) 2016/679, General de
Protección de Datos, (RGPD) de colaborar en el desempeño de la función inspectora y
se le informaba de que el incumplimiento de dicha obligación podría comportar la
comisión de una infracción tipificada en el artículo 83.5.e) RGPD.
La reclamada, en escrito que tuvo entrada en la sede electrónica de la Agencia el
07/08/2019, solicita una ampliación del plazo para responder al requerimiento
informativo recibido el 17/07/2019. La AEPD responde el 12/08/2019 y concede la
ampliación de plazo solicitada. La respuesta de la Agencia, notificada electrónicamente
en esa misma fecha, es aceptada el 19/08/2019. Así lo acreditan los certificados de la
FNMT que obran en el expediente.
El segundo de los requerimientos informativos que la Inspección de Datos envió
a la reclamada se firmó el 23/09/2019 y se puso a disposición en la sede electrónica
en la misma fecha. En él se concedió a la reclamada un plazo de cinco días hábiles
para responder y, al igual que en el anterior, se le comunicó que la información se
solicitaba en uso de las facultades conferidas por los artículos 58.1 RGPD y 67
LOPDGDD, se recordaba la obligación que le impone el RGPD de colaborar para
realizar la función inspectora y que el incumplimiento de dicha obligación podría
comportar la comisión de una infracción tipificada en el artículo 83.5.e) RGPD por
infracción del artículo 58.1. RGPD. La notificación de este segundo requerimiento fue
aceptada por la reclamada siete días después de la puesta a disposición, el
30/09/2019.
No se recibe en esta Agencia respuesta de la reclama a ninguno de los dos
requerimientos informativos que le hizo la Inspección de Datos.
El 10/10/2019 se firma el Informe de Actuaciones de Investigación Previa del que
reproducimos el siguiente fragmento:
información a la reclamada para que aportara los siguientes documentos:
a. Contrato de servicio con la reclamante.
b. Canal y/o lugar de la contratación. Procedimiento para la acreditación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/26
de identidad.
c. Documentación de identificación que obre en su poder.
d. Requerimiento previo de pago ante la posible inclusión en el fichero
BADEXCUG.
Con fecha 7 de agosto de 2019, se recibe en esta Agencia, con número de
registro 039557/2019, escrito procedente de la reclamada solicitando ampliación de
plazo, procediendo a otorgarle una ampliación de 5 días hábiles con fecha de
notificación de 19 de agosto de 2019.
Con fecha de notificación de 30 de septiembre de 2019 se reitera el
requerimiento de información otorgando nuevo plazo de cinco días sin que a la fecha
de realización de este informe se haya recibido en esta Agencia contestación
procedente de la reclamada.>>
TERCERO: Con fecha 19/11/2019, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador a la reclamada con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,
LPACAP), por dos infracciones del RGPD: La vulneración del artículo 6.1. RGPD,
tipificada en su artículo 83.5.a), y del artículo 31, en relación con el artículo 58.1.e),
ambos del RGPD, tipificada en el artículo 83.5.e) del citado Reglamento (UE)
2016/679.
CUARTO: Notificado el acuerdo de inicio -notificación aceptada por la reclamada el
20/11/2019- presenta alegaciones en fecha 04/12/2019.
El escrito de alegaciones se concreta en una alegación previa y dos alegaciones,
con el contenido siguiente: Solicita -alegación previa- que se le dé traslado de una
copia del expediente. Manifiesta -alegación primera- que ?..., en estos momentos sólo
es dado manifestar que YOIGO ha tratado regularmente los datos de la reclamante en
virtud de contrato de servicio y, de ahí, asimismo, el tratamiento regular y ordinario de
la relación entre las partes en virtud de las vicisitudes del contrato?. Por último
-alegación segunda- afirma que ?reunida la documentación oportuna se remitirá a la
AEPD?.
QUINTO: Al amparo del artículo 53.1.a) LPACAP, la AEPD, en escrito notificado
electrónicamente el 13/12/2019, da traslado a la reclamada de la copia completa del
expediente administrativo solicitado.
SEXTO: De acuerdo con el artículo 77 LPACAP, con fecha 15/06/2020, se abre un
período de prueba en el que se dan por reproducidos la reclamación y su
documentación anexa; los documentos obtenidos y generados por los Servicios de
Inspección de la AEPD ante la reclamada y el Informe de actuaciones previas de
Inspección. Igualmente, quedan incorporadas al expediente las alegaciones de la
reclamada al acuerdo de inicio del procedimiento sancionador.
En el trámite de prueba se practican estas diligencias:
A. Se solicita a la reclamada que aporte los documentos y acredite los hechos
que se detallan:
1. La copia del contrato que en su día hubieran suscrito la reclamante y la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/26
reclamada o, en su caso, la entidad a la que esta última hubiera sucedido.
2. La documentación que acredite la existencia de una deuda pendiente de
abono a nombre de la reclamante, exigiendo que especifique el importe adeudado y
los conceptos de los que deriva la deuda.
3. La acreditación de haber informado a la reclamante al tiempo de suscribir el
contrato de que, en caso de impago de las deudas, sus datos podrían ser objeto de
inclusión en ficheros de solvencia patrimonial y crédito. O bien, alternativamente, que
acredite haber requerido a la reclamante el pago de la deuda pendiente antes de la
inclusión de sus datos en BADEXCUG asociados a posiciones deudoras.
La reclamada responde a la petición de prueba en fecha 29/06/2020.
a. A la pregunta formulada en el punto 1, responde que ?la reclamante suscribió?
tres contratos con YOIGO el 21/11/2013 y que la contratación se realizó de forma
presencial siendo el SFID del vendedor ***VENDEDOR.1 que corresponde a ?Tienda
ByMobil?. Añade que los tres contratos contaban con un terminal adquirido a plazos y
compromiso de permanencia. Aporta copia de los tres contratos que corresponden a
los números ***TELÉFONO.1, ***TELÉFONO.2 y ***TELÉFONO.3
Aporta los ejemplares de cada uno de los tres contratos y, además, respecto a
cada uno de ellos, remite tres copias: para el cliente, para YOIGO y para la entidad
financiera. Las tres copias son idénticas entre sí, la única diferencia es que las dos
primeras incorporan como anexo el documento de ?Solicitud de portabilidad de
numeración móvil?.
Se describe seguidamente el ?Contrato de alta con terminal financiado por BBVA
Particulares? centrándonos en su estructura y contenido más relevante, pero referido al
contrato 1. Respecto a los contratos 2 y 3 nos limitamos a citar, únicamente, sus
diferencias con el 1.
En el contrato 1, bajo la rúbrica ?Contrato de alta con terminal financiado por
BBVA Particulares? aparece la referencia ?nº ***REFERENCIA.1? y debajo esta
leyenda: ?Los datos que tienen un asterisco ?*? son imprescindibles para que Yoigo
pueda darte de alta. Aquellos con dos asteriscos ?**? son imprescindibles para que
BBVA pueda tramitar el crédito?.
A continuación, en el apartado ?Datos del punto de venta?, figura ?SFIF
***PUNTO.1?. En el apartado ?Tus datos? constan los datos de la titular del contrato:
***NOMBRE.1(nombre) ***APELLIDO.1 (apellido). Nótese que este apellido es distinto
del de la reclamante. El NIE, ***NIE.1, que coincide con el de la reclamante. La fecha
de nacimiento, 05/08/1985; la nacionalidad, ***NACIONALIDAD.1; el sexo, mujer; el
domicilio, ***DIRECCIÓN.1 y el teléfono de contacto***TELÉFONO.3. Sólo el nombre,
***NOMBRE.1, y el NIE coinciden con los datos de la reclamante. No coincide el
apellido ni tampoco el domicilio, que no es el que figura en el certificado de ciudadanos
de la Unión que la reclamante ha facilitado a la AEPD ni en el formulario de su
reclamación. En el apartado ?Servicios y promociones?, se indica: ?Nº YOIGO?
***TELÉFONO.1; ?Nº de tarjeta SIM/ ICC-ID? ***SIM.1; ?Tipo de contrato?, ?La Infinita
25?.
En el apartado ?Producto?, se dice: ?Con móvil/Modem: IMEI ***IMEI.1; ?Marca y
modelo: Samsung Galaxy S4 Blanco?. En el apartado ?Datos bancarios?, figura
?Código cuenta cliente (IBAN)? y un código de cuenta cliente que comienza con los
dígitos ***XXX y finaliza con los dígitos ***XXX.
El último de todos los apartados es ?Firmas? y en él se indica ?Fecha *I**
21/11/2013? y a continuación ?Firma *I**?, que lleva un espacio en blanco, es decir sin
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/26
cumplimentar y ?Sello distribuidor *I**?, que también tiene el espacio destinado a tal fin
en blanco. Seguidamente, ?Xfera Móviles, S.A.?, que incluye en el espacio destinado a
tal fin una rúbrica y ?Banco Bilbao Vizcaya Argentaria, S.A.?, que también incorpora
una rúbrica.
Las copias del contrato 1 destinadas al cliente y a YOIGO van acompañadas de
un anexo: La ?Solicitud de portabilidad de numeración móvil?. Este documento incluye
esta leyenda: ?Importante: Para que tu actual operador acepte la solicitud de
portabilidad deberás rellenar todos los apartados?. En el apartado ?Operadores? figura
?Fecha?, ?21/11/2013 10:43?; ?Operador Donante: Vodafone? y ?Operador receptor:
YOIGO?. El apartado ?Tipo de solicitud?, recoge, entre otra información, el ?Nº teléfono
(MSISDN) ***TELÉFONO.1. En el apartado ?Datos del cliente?, los mismos que figuran
en el contrato en el apartado ?Tus datos?. Por último, en el apartado ?Firma?, consta
?Fecha 21/11/2013 10:43? y seguidamente la indicación ?Firma del solicitante? sin
que exista ninguna firma en el documento. Ninguna de las copias (para el cliente y
para YOIGO) que se remiten están firmadas por el solicitante.
El contrato 2, ?Contrato de alta con terminal financiado por BBVA?, difiere del
contrato 1 en los siguientes elementos:
Le corresponde la referencia ?Nº ***REFERENCIA.2?. En el apartado ?Servicios
y promociones? figura como ?Nº Yoigo ***TELÉFONO.2?. Si bien los restantes
apartados son idénticos a los del contrato 1, antes descrito, debemos subrayar que en
el último apartado, ?Firmas?, después de ?Fecha *I** 21/11/2013?, los espacios
destinados a la ?Firma*I**? y al ?Sello Distribuidor*I**? se encuentran en blanco, sin
cumplimentar.
Respecto al documento de ?Solicitud de portabilidad de numeración móvil?,
anexo al contrato 2, del que la reclamada nos remite la copia para el cliente y para
YOIGO, las diferencias con relación al mismo documento anexo al contrato 1 son las
siguientes: En el epígrafe ?Operador?, todo es igual con la salvedad de la hora, figura
?11:29?. En el epígrafe ?Tipo de solicitud?, entre otros, el ?Nº de teléfono (MSISDN)
***TELÉFONO.2. Se destaca que en el apartado ?Firma?, después de
?Fecha:21/11/2013 11:29?, al igual que sucede en el mismo documento anexo al
contrato 1, el recuadro destinado a ?Firma del solicitante? está en blanco y sin
cumplimentar.
El contrato 3, ?Contrato de alta con terminal financiado por BBVA?, difiere del 1 y
el 2 en los siguientes elementos:
Le corresponde la referencia ?Nº ***REFERENCIA.3?. En el apartado ?Servicios
y promociones? figura como ?Nº Yoigo***TELÉFONO.3?. Si bien los restantes
apartados son idénticos a los de los contratos 1 y 2 antes descritos, debemos subrayar
que en el último apartado, ?Firmas?, después de ?Fecha *I** 21/11/2013?, los espacios
destinados a la ?Firma*I**? y al ?Sello Distribuidor*I**? se encuentran en blanco, sin
cumplimentar.
Anexo al contrato 3 la reclamada nos remite el documento de ?Solicitud de
portabilidad de numeración móvil?, (copias para el cliente y para YOIGO). Las
diferencias respecto al mismo documento anexo a los contratos 1 y 2 son las
siguientes: En el epígrafe ?Operador?, todo es igual con la salvedad de la hora, figura
?19:00?. En el epígrafe ?Tipo de solicitud?, se indican, entre otros elementos, el ?Nº de
teléfono (MSISDN)***TELÉFONO.3. Se destaca que en el apartado ?Firma?, después
de ?Fecha:21/11/2013? ?19:00?, al igual que el mismo documento anexo a los contratos
1 y 2, aparece en blanco y sin cumplimentar el recuadro ?Firma del solicitante?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/26
b. La reclamada respondió a la segunda pregunta que se formuló que la
reclamante había solicitado en diciembre de 2013 la portabilidad a un tercer operador,
incumpliendo con ello los compromisos de permanencia asumidos, lo que implicó el
vencimiento anticipado de los pagos aplazados por el importe que consta en la factura,
importe que procede esencialmente de la adquisición a plazos de tres terminales
móviles.
Aporta una copia de la factura número ***FACTURA.1, emitida el 01/01/2014,
que corresponde a diciembre de 2013. El importe facturado asciende a 1.856,30
euros. La factura incluye los servicios y productos vinculados a estas líneas:
***TELÉFONO.1, ***TELÉFONO.2 y ***TELÉFONO.3.
En la factura figuran los datos del titular de los tres contratos, esto es, los que
constan en el apartado ?Tus datos?, de los tres contratos aportados. De los datos
incorporados a las facturas sólo coinciden con los de la reclamante el nombre,
***NOMBRE.1. No coincide el apellido, ni tampoco la dirección, que es diferente de la
que aparece en el certificado de ciudadanos de la Unión que la reclamante ha
aportado a la AEPD y en el formulario de denuncia presentado ante esta Agencia.
c. La reclamada respondió a la tercera pregunta formulada en fase de prueba
que en la cláusula octava del condicionado general de cualquiera de los tres contratos
que había facilitado se informaba al cliente de que ?en caso de no atender
puntualmente sus obligaciones económicas frente a YOIGO, de acuerdo con lo
previsto en el contrato, YOIGO podrá comunicar sus datos identificativos, junto con
todos los relativos a la deuda pendiente de pago, a entidades dedicadas a la
prestación de servicios de información sobre solvencia patrimonial y crédito,..?
B. Se solicitó a Experian Bureau de Crédito, S.A. (Experian) que remitiera la
información y documentación que se detalla:
1. Copia impresa de toda la información que constara en el fichero de solvencia
BADEXCUG, asociada a los datos personales de la reclamante -nombre, dos apellidos
y NIF-, que hubiera sido informada por la reclamada.
2. Copia de la documentación referente a los derechos de acceso y cancelación
que eventualmente hubiera ejercido ante ella la reclamante.
Experian responde en escrito de fecha 08/07/2020 que tiene entrada en el
registro de la Agencia el 13/07/2020. Manifiesta que en esa fecha no consta en
BADEXCUG, asociada al NIF, nombre y dos apellidos de la reclamante, ninguna
operación impagada. Pero añade que, en el ?Histórico de Actualizaciones del fichero
BADEXCUG? consta esta información relativa a operaciones impagadas asociadas al
NIF de la reclamante: Existe una operación, número 5658833, informada por YOIGO,
por un servicio de telecomunicaciones, cuya deuda se dio de alta en BADEXCUG el
16/03/2014, por un importe impagado de 1.856,30 euros y se dio de baja el
09/12/2018, siendo en esa fecha el saldo deudor del mismo importe, como
consecuencia de la ?actualización automática del fichero de datos enviado por la
entidad informante?.
SÉPTIMO: Con fecha 07/10/2020 se firma la propuesta de resolución del
procedimiento sancionador PS/00365/2019 formulada en estos términos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/26
sancione a XFERA MÓVILES, S.A., con NIF A82528548, por dos infracciones del
artículo 6.1. RGPD, letras b) y f), tipificadas en el artículo 83.5.a) RGPD, con multa
administrativa de 100.000 euros (cien mil euros).
SEGUNDO: Que por la Directora de la Agencia Española de Protección de Datos se
sancione a XFERA MÓVILES, S.A., con NIF A82528548, por una infracción del
artículo 31 RGPD, en relación con el artículo 58.1.e, RGPD, tipificada en el artículo
83.5.e) del RGPD, con multa administrativa de 20.000 euros (veinte mil euros) >>
El certificado emitido por la FNMT, que obra en el expediente, acredita que la
propuesta de resolución se notificó y fue aceptada por la reclamada el 07/10/2020.
OCTAVO: La reclamada presenta su escrito de alegaciones a la propuesta de
resolución el 21/10/2020 en el que solicita que se proceda al archivo del expediente
sancionador.
Aporta, anexa a su escrito de alegaciones, documentación de gran relevancia a
los efectos que nos ocupan que dice haber recibido ?de su proveedor logístico? ?en el
tiempo transcurrido desde la fase de prueba?. Son los documentos siguientes:
1. Un ?Certificado de Registro de Ciudadanos de la Unión? que incorpora por dos
veces, al inicio y al pie del texto del documento y dentro de un recuadro, esta nota:
?Aviso: Documento no válido para acreditar la identidad ni la nacionalidad del
portador?.
El texto del documento es el siguiente: ?El encargado del Registro Central de
Extranjeros de la Comisaría Provincial de ***LOCALIDAD.1 CERTIFICA: Que, de
conformidad con lo establecido en los artículos 3.3 y 3.7 del Real Decreto 240/2007,
de 16 de febrero, y teniendo presente que este documento sólo prueba la inscripción
en el Registro Central de Extranjeros si se presenta en unión del pasaporte o
documento de identidad en vigor, la persona que a continuación se indica, ha
solicitado y obtenido su inscripción en el Registro Central de Extranjeros (...) como
residente comunitario en España, desde el 15/11/2010: D. ***NOMBRE.1
***APELLIDO.1; nacido/a el 05/08/1985, en ***LOCALIDAD.2 (***PAÍS.1); hijo de
Gabriel y Viorica. Nacionalidad: ***PAÍS.1. Domicilio: calle ***DIRECCIÓN.2. Número
de Identidad de Extranjero (NIE) ***NIE.1.
2. Un recibo bancario emitido por BBVA correspondiente a un adeudo por
domiciliación en cuenta en el que el ?ordenante? es Vodafone España, S.A.U., y la
?Titular? ***NOMBRE.1 ***APELLIDO.1. El documento indica que es un ?Duplicado de
recibo de fecha 12/11/2013?, ?cargado en cuenta Vodafone *****XX?. Figuran en él los
siguientes datos personales: ?***NOMBRE.1***APELLIDO.1. ***DIRECCIÓN.1, la
fecha 12/11/2013 y la cuenta corriente cliente XXX finalizada en los dígitos XXX.
3. Copia de los contratos con números de referencia ***REFERENCIA.1,
***REFERENCIA.2 y ***REFERENCIA.3 (que en los Hechos Probados se identifican,
respectivamente, como contratos número 1, 2 y 3) En todos ellos, los datos de las
partes contratantes, el objeto del contrato y la fecha de celebración, así como las
estipulaciones contractuales, son idénticas a las que aparecen en los contratos que la
reclamada remitió a la Agencia en su respuesta a las pruebas solicitadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/26
Sin embargo, existen diferencias sustanciales y de gran relevancia entre
aquellos documentos contractuales remitidos por la reclamada en fase de prueba y los
contratos que ahora aporta con sus alegaciones a la propuesta de resolución. Éstos, a
diferencia de los anteriores, están firmados por el cliente y llevan estampado el sello
del distribuidor ante el que se formalizó el contrato. Firma y sello que aparecen en
todos los ejemplares que aporta y respecto a cada uno de los tres contratos. Aporta
también, respecto a cada uno de los tres contratos, la correspondiente copia de la
Solicitud de Portabilidad de Numeración Móvil (copia para YOIGO) que, a diferencia de
la que había remitido en fase de prueba, ésta sí está firmada por el solicitante de la
portabilidad.
La reclamada manifiesta que, ?en vista de los nuevos documentos aportados?, ha
quedado acreditado que contaba con una base jurídica que legitimaba el tratamiento
de ?los datos personales de la persona que contrata? y que, además, ha sido capaz de
demostrar ese extremo, cumpliendo de este modo con el principio de responsabilidad
proactiva.
Concluye, por una parte, que en tanto ha aportado los correspondientes
contratos firmados, un recibo bancario y el certificado de registro de ciudadanos de la
Unión con los datos de la persona que aparece como titular de los contratos, no existe
infracción del artículo 6.1.b) RGPD. Por otra, que ?la existencia de estos contratos
correctamente formalizados habilita a mi representada, en caso de impago, a
comunicar los datos de la persona que suscribió el contrato y devengó facturas a los
ficheros de solvencia patrimonial en base a su interés legítimo (artículo 6.1.f)?. Añade,
además, que ha cumplido las previsiones del artículo 20 LOPDGDD, pues la deuda
informada a BADEXCUG era cierta, vencida y exigible; se informó a la persona
contratante en la cláusula 8.5 del Condicionado General del contrato de la posibilidad
de incluir sus datos en ficheros de solvencia y entre la fecha de vencimiento de la
obligación (el 07/01/2014) y la fecha de baja de BADEXCUG (18/12/2018) no han
transcurrido cinco años. En consideración a lo cual manifiesta que tampoco existe una
vulneración del artículo 6.1.f) RGPD.
El tercer punto invocado por la reclamada en sus alegaciones se refiere a la
acreditación de la identidad de la contratante. Manifiesta que ?A la luz de la
documentación aportada, en combinación con los hechos acontecidos, cabe afirmar
que se efectuó una correcta identificación de la persona que contrata?.
Sobre la identificación de la persona que suscribió los tres contratos con el
distribuidor, la reclamada expone que ha aportado un Certificado del Registro de
Ciudadanos la Unión en el que se incluyen datos como el NIE, la fecha de nacimiento,
el nombre y apellido, entre otros. Que, además, los datos recogidos en el Certificado
del Registro de Ciudadanos de la Unión coinciden con los que aparecen en el recibo
bancario de adeudo domiciliario aportado por la persona que contrató los servicios con
objeto de acreditar que era la titular de la cuenta bancaria de domiciliación. A lo que se
añade que la información que figuraba en la solicitud de portabilidad de numeración
móvil, de la que ha remitido copias a esta Agencia, coincide con la que consta en el
aludido certificado. Todo ello, dice, sin perder de vista que ?la contratación fue
presencial y la persona en cuestión tuvo que proporcionar la documentación en mano,
tal como la firma manuscrita de los contratos?.
La última alegación (cuarta) de las alegaciones a la propuesta de resolución se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/26
refiere a la ?vulneración de los principios de irretroactividad y tipicidad? en la que al
entender de la reclamada se incurriría de sancionarla en los términos previstos en el
acuerdo de inicio y en la propuesta de resolución. Este extremo es, a su juicio, otra de
las razones que determina que la AEPD deba proceder al archivo del expediente
sancionador.
Tras citar los artículos 2.3. del Código Civil -irretroactividad de las leyes- y 99.2
del RGPD -que dispone que será aplicable a partir del 25 de mayo de 2018- concluye
que ?Por tanto, los hechos acaecidos con carácter previo a esa fecha no tienen cabida
en el mismo?. Seguidamente dice que la ?contratación en la que tiene su origen la
reclamación que inicia este procedimiento? tuvo lugar en noviembre del año 2013 y la
comunicación por YOIGO de los datos del contratante al fichero BADEXCUG en marzo
de 2014. Fechas en las que ?ni tan siquiera se había aprobado el RGPD y la
LOPDGDD. Es decir, sería aplicable la LOPD?. Por todo ello, después de invocar el
principio de irretroactividad como fundamento básico de nuestro ordenamiento jurídico,
afirma que ?cualquier pretensión de valorar unos hechos acontecidos en 2013 y 2014
bajo el prisma del RGPD aprobado en 2016 y aplicable desde el 25 de mayo de 2018
es completamente contraria a los principios fundamentales de nuestro ordenamiento
jurídico?.
Estima que, en el presente caso, procedería aplicar la Ley Orgánica 15/1999, de
Protección de Datos, por ser más favorable a esa parte y argumenta a tal fin que ?en
el derecho sancionador, penal o administrativo, en caso de colisión de dos normas
cuya vigencia temporal ha sido diferente, pudiéndose aplicar cualquiera de ellas, es un
principio básico del derecho que se aplique la que es más favorable al reo?. Y la norma
más favorable es la LOPD ?vigente en el momento de los hechos?, puesto que,
conforme a la misma, ?en concreto a su artículo 47, los hechos objeto de este
procedimiento estarían prescritos desde 2017?. Razón por la cual, alega la reclamada,
?bajo este razonamiento procede también el archivo de este procedimiento?.
Se destaca que las alegaciones a la propuesta de resolución presentadas no
incluyen ninguna mención a la segunda de las infracciones imputadas a la reclamada
en este expediente sancionador, la vulneración del artículo 31 RGPD, en relación con
el 58.1.e) RGPD, tipificada en el artículo 83.5.e).
NOVENO: La suspensión de plazos administrativos acordada por el Real Decreto
463/2020 afectó al procedimiento sancionador PS/365/2019 cuyo acuerdo de inicio se
había firmado el 19/11/2019. El cómputo de plazos se reanudó, a tenor del Real
Decreto 463/2020, con fecha 01/06/2020.
El Real Decreto 463/2020, ?por el que se declara el estado de alarma para la
gestión de la crisis sanitaria ocasionada por el Covid 19? (BOE de 14/03/2020)
estableció en la Disposición Adicional tercera, ?Suspensión de plazos administrativos?:
?1. Se suspenden términos y se interrumpen los plazos para la tramitación de los
procedimientos de las entidades del sector público. El cómputo de los plazos se
reanudará en el momento en que pierda vigencia el presente real decreto o, en su
caso, las prórrogas del mismo.
2. La suspensión de términos y la interrupción de plazos se aplicará a todo el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/26
sector público definido en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas.?
El Real Decreto 537/2020 (BOE de 23/05/2020), establece en el artículo 9,
?Plazos administrativos suspendidos en virtud del Real Decreto 463/2020, de 14 de
marzo?:
?Con efectos desde el 1 de junio de 2020, el cómputo de los plazos
administrativos que hubieran sido suspendidos se reanudará, o se reiniciará, si así se
hubiera previsto en una norma con rango de ley aprobada durante la vigencia del
estado de alarma y sus prórrogas?.
Así pues, la fecha de duración máxima del procedimiento PS/365/2019, según lo
dispuesto en el artículo 64.2 de la LOPDGDD y aplicadas las normas de los Reales
Decretos 463/2020 y 537/2020, es el 05/11/2020.
A la vista de todo lo actuado, por la Agencia Española de Protección de Datos se
consideran, en el presente procedimiento sancionador, los siguientes
HECHOS PROBADOS
1.-La reclamante declara que ha tenido noticia por su entidad financiera de que,
vinculado a su NIE, existe un contrato con la entidad reclamada. Aporta con su
denuncia la copia de un documento de Ibercheck que informa de que en el fichero
BADEXCUG existe una anotación de impago vinculada a su NIE, comunicada por
YOIGO en fecha 16/03/2014.
2. Obra en el expediente, aportada por la reclamante, la copia por ambas caras del
documento, expedido por una autoridad española en fecha 02/01/2017, denominado
?Certificado de registro de ciudadanos de la Unión?. En el certificado consta el nombre
de la reclamante -***NOMBRE.1-; su apellido -***APELLIDO.2-; su NIE, ***NIE.1; su
nacionalidad, ***PAÍS.1 y su domicilio en España -plaza ***DIRECCIÓN.3 ?. El
documento informa de que la titular es residente comunitaria en España desde el
09/04/2014.
El reverso del documento dice: ?El presente certificado se expide de conformidad con
lo establecido en los artículos 3.3 y 7.1 del Real Decreto 240/2007, de 16 de febrero, y
teniendo en cuenta que este documento sólo prueba la inscripción en el Registro
Central de Extranjero de la Dirección General de la Policía, si no se presenta en unión
del pasaporte o documento de identidad?.
3.- La reclamada afirma que la reclamante suscribió con ella el 21/11/2013, de forma
presencial en una distribuidora - ?Tienda Bymobil?, con SFID ***VENDEDOR.1- tres
contratos de telefonía que incluyen cada uno de ellos la adquisición de un terminal
Samsung Galaxy S4. Ha manifestado que ?YOIGO ha tratado regularmente los datos
de la reclamante en virtud de contrato de servicio y, de ahí, asimismo, el tratamiento
regular y ordinario de la relación entre las partes en virtud de las vicisitudes del
contrato?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/26
4.-La reclamada ha aportado los ejemplares de cada uno de los tres contratos que
supuestamente la reclamante celebró con YOIGO, que versan sobre el servicio de
telefonía, previa portabilidad de la numeración desde VODAFONE, y sobre la
adquisición a plazos, para cada una de las tres líneas cuyo servicio se contrata, de un
móvil marca y modelo Samsung Galaxy S4, color blanco, quedando supeditadas las
ventajas financieras de la adquisición de los terminales al mantenimiento por la
contratante del compromiso de permanencia.
Cada contrato se identifica por una referencia: El que hemos denominado contrato 1,
lleva la referencia ***REFERENCIA.1 y corresponde al número de línea
***TELÉFONO.1. El que hemos denominado contrato 2, tiene la referencia
***REFERENCIA.2 y corresponde a la línea ***TELÉFONO.2. El que hemos
denominado contrato 3 lleva la referencia ***REFERENCIA.3 y corresponde a la línea
telefónica número ***TELÉFONO.3.
5.- En los tres contratos, los datos del titular se reflejan en el apartado ?Tus datos?.
Consta el nombre de ***NOMBRE.1; el apellido ***APELLIDO.1 -diferente por tanto
del de la reclamante-; el NIF ***NIE.1; la nacionalidad, ***PAÍS.1 y un domicilio en
***DIRECCIÓN.3, distinto del que se incluye en el Certificado de residente de la Unión
de la reclamante y del que facilitó con su reclamación.
6.- Todos los contratos incluyen en el encabezado, debajo de ?Contrato de alta con
terminal financiado por BBVA Particulares? y del número de referencia que lo identifica,
esta leyenda:
?Los datos que tienen un asterisco ?*? son imprescindibles para que Yoigo pueda darte
de alta. Aquellos con dos asteriscos ?**? son imprescindibles para que BBVA pueda
tramitar el crédito?.
En los tres contratos, en el último de los apartados, ?Firma?, figura lo siguiente:
?Firma *I**?, el espacio está en blanco. ?Sello distribuidor *I**?, el espacio está en
blanco; ?Xfera Móviles, S.A.?, en los tres ejemplares aparece la misma rúbrica. ?Banco
Bilbao Vizcaya Argentaria, S.A.?, en los tres contratos se incorpora la misma rúbrica.
7.- Experian Bureau de Crédito, S.A., ha informado de que en el Histórico de
Actualizaciones del Fichero BADEXCUG está registrado que la reclamada comunicó al
citado fichero de solvencia, asociada al NIE ***NIE.1, con fecha de alta 16/03/2014,
una operación impagada por un saldo deudor de 1.856,30 euros procedente de un
servicio de telecomunicaciones.
Experian Bureau de Crédito. S.A., ha informado que esta operación se dio de baja de
BADEXCUG el 09/12/2018, como consecuencia de la ?actualización automática del
fichero de datos enviado por la entidad informante?.
8.- Durante el trámite informativo previo al acuerdo de admisión a trámite de la
reclamación que nos ocupa, la AEPD se dirigió a la reclamada y solicitó su
colaboración. La solicitud se le comunicó mediante escrito de fecha 02/10/2018
notificado electrónicamente, siendo aceptada la notificación por la reclamada el
03/10/2018. Para evacuar este trámite se otorgó a la reclamada el plazo de un mes.
La reclamada no respondió a la petición informativa de la AEPD.
9.- La Inspección de Datos de la AEPD, en el marco de las actuaciones de
investigación previa E/2053/2019, hizo dos requerimientos de información a la
reclamada en fechas, respectivamente, 17/07/2019 y 23/09/2019. Los certificados
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/26
emitidos por el Servicio de Notificaciones Electrónicas y Dirección Electrónica
Habilitada de la FNMT que obran en el expediente acreditan que ambos
requerimientos se recibieron por la reclamada electrónicamente el 17/07/2019 y
30/09/2019, respectivamente. La reclamada no respondió a ninguno de ellos.
10.- Los dos requerimientos informativos de la Inspección de Datos, de fechas
17/07/2019 y 23/09/2019, otorgaban a la reclamada para evacuar ese trámite,
respectivamente, un plazo de 15 días y de cinco días y en ambos escritos se ponía en
su conocimiento que la información se solicitaba en uso de las facultades conferidas a
la Inspección de Datos de la AEPD por los artículos 58.1 RGPD y 67 LOPDGDD y que,
estando la reclamada obligada por el RGPD a colaborar en el desempeño de la
función inspectora de la AEPD, el incumplimiento de dicha obligación podría entrañar
una infracción de la normativa de protección de datos tipificada en el artículo 83.5.e,
RGPD.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada
autoridad de control, y según lo establecido en los artículos 47 y 48.1 de la LOPDGDD,
la Directora de la Agencia Española de Protección de Datos es competente para
resolver este procedimiento.
II
Procede analizar, en primer término, el argumento invocado por la reclamada en
el apartado cuarto de sus alegaciones a la propuesta de resolución relativo a la
?vulneración de los principios de irretroactividad y tipicidad? en la que, en su opinión,
incurriría la AEPD si dictara una resolución sancionadora en los términos del acuerdo
de inicio y de la propuesta de resolución. Añade que la norma aplicable a los hechos
sobre los que versa la reclamación es la LOPD y que al amparo de la citada Ley
Orgánica la infracción imputada estaría prescrita.
A tal efecto, la reclamada manifiesta que la ?contratación en la que tiene su
origen la reclamación que inicia este procedimiento? tuvo lugar en noviembre del año
2013 y la comunicación por YOIGO de los datos del contratante al fichero BADEXCUG
en marzo de 2014. Partiendo de estos hechos acreditados; del principio de
irretroactividad de las leyes establecido en el artículo 2.3 del Código Civil y, tomando
en consideración que el artículo 99.2 del RGPD dispone que el Reglamento será
aplicable a partir del 25 de mayo de 2.018, llega a la conclusión de que ?Por tanto, los
hechos acaecidos con carácter previo a esa fecha no tienen cabida en el mismo?.
Sobre la base del principio de irretroactividad, que impediría aplicar el RGPD y la
LOPDGDD, advierte que ?cualquier pretensión de valorar unos hechos acontecidos en
2013 y 2014 bajo el prisma del RGPD aprobado en 2016 y aplicable desde el 25 de
mayo de 2018 es completamente contraria a los principios fundamentales de nuestro
ordenamiento jurídico?.
La reclamada considera que, de aplicar alguna norma a la conducta que es
objeto de valoración en el expediente sancionador ésta debería de ser la Ley Orgánica
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/26
15/1999, de Protección de Datos de Carácter Personal, LOPD, que -dice- es la que
estaba ?vigente en el momento de los hechos?. Y la aplicación de la LOPD, a juicio de
la reclamada, determinaría el archivo del expediente porque, a su entender, al amparo
del artículo 47 LOPD la infracción estaría prescrita desde el año 2017.
Sin embargo, además de subrayar que las alegaciones precedentes de la
reclamada se refieren, sólo, a una de las infracciones de la normativa de protección de
datos que se le atribuyeron en el acuerdo de inicio y en la propuesta de resolución
-esto es, la vulneración del artículo 6.1, b) y f) del RGPD- y no son aplicables a la
infracción del artículo 31, en relación con el 58.1.e) RGPD que también se le imputa,
parece necesario hacer estas precisiones:
El argumento jurídico que esgrime la reclamada para solicitar la aplicación de la
LOPD es que ?en el derecho sancionador, penal o administrativo, en caso de colisión
de dos normas cuya vigencia temporal ha sido diferente, pudiéndose aplicar
cualquiera de ellas, es un principio básico del derecho que se aplique la que es más
favorable al reo?. Razón por la cual, dice, habría que aplicar la LOPD por ser la norma
más favorable.
Esta hipótesis, sin embargo, contempla el supuesto en el que la conducta
infractora se comete bajo la vigencia de una norma y el procedimiento a través del cual
se dilucida la existencia de responsabilidad penal o administrativa sancionadora se
desarrolla estando vigente otra norma sustantiva distinta. En tal caso, aunque en virtud
del principio de irretroactividad de las normas debe aplicarse la norma sustantiva
vigente cuando se cometieron los hechos, el principio de ?retroactividad de las
disposiciones sancionadoras más favorables? -principio que el Tribunal Constitucional
estima incluido, a sensu contrario, en el artículo 9.3 de la Constitución Españolapermite
que el presunto responsable pueda optar por la ley que es posterior a los
hechos en el tiempo, siempre que le resulte más favorable. Retroactividad de la norma
sancionadora más favorable que recoge el artículo 26.2 de la Ley 40/2015 de Régimen
Jurídico del Sector Público: ?2. Las disposiciones sancionadoras producirán efecto
retroactivo en cuanto favorezcan al presunto infractor o al infractor, tanto en lo referido
a la tipificación de la infracción como a la sanción y a sus plazos de prescripción,
incluso respecto de las sanciones pendientes de cumplimiento al entrar en vigor la
nueva disposición.?
El argumento invocado por la reclamada no es extrapolable al asunto que nos
ocupa. La única norma sustantiva que procedería aplicar en el presente caso es el
RGPD pues ésta es la norma que está vigente cuando se inicia el procedimiento
sancionador y, a la vez, la norma vigente en el momento en el que se entiende
cometida la infracción, según doctrina del Tribunal Supremo (por todas, STS
17/04/2002. Rec. 466/2000)
La reclamada -que afirma insistentemente que LOPD estaba ?vigente en el
momento de los hechos?; que el contrato del que traen causa los hechos acaecidos
data de noviembre de 2013 y que la inclusión en el fichero de solvencia BADEXCUG
se produjo en el año 2014- olvida mencionar elementos que son determinantes en esta
cuestión: Que no será hasta el 09/12/2018 cuando dé de baja del fichero BADEXCUG
la incidencia informada a ese fichero de solvencia asociada al NIF de la reclamante, lo
que implica que hasta esa fecha, al menos, habría continuado tratando los datos
personales de la reclamante. Extremo que ha de ponerse en relación con el particular
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/26
funcionamiento de los ficheros de solvencia. Para que las anotaciones comunicadas a
estos ficheros permanezcan activas, el acreedor informante debe confirmar la inclusión
periódicamente -periodicidad que en el caso de BADEXCUG es semanal- pues, de no
ser así, la anotación se da de baja del fichero automáticamente. El mantenimiento en
el fichero BADEXCUG hasta el 09/12/2018 de la anotación vinculada al NIE de la
reclamante que YOIGO había comunicado en 2014, presupone, necesariamente, que
la entidad reclamada trató hasta esa fecha, al menos, los datos personales de la
reclamante.
En definitiva, aunque el tratamiento de los datos personales de la reclamante por
la reclamada se inició antes de que existieran LOPD y RGPD -en los años 2013 la
contratación y en 2014 la inclusión en BADEXCUG- y estando vigente la LOPD, la
presunta infracción atribuida a la reclamada -calificada de vulneración del artículo 6.1.,
apartados b) y f) RGPD- participa de la naturaleza propia de las denominadas
infracciones permanentes , en las que la consumación se proyecta en el tiempo más
allá del hecho inicial y se extiende, vulnerando la normativa de protección de datos,
durante todo el periodo de tiempo en el que el dato es objeto de tratamiento.
Pues bien, en las infracciones de esa naturaleza, ha de aplicarse la norma que
está vigente cuando la conducta infractora termina, siendo esa la fecha en la que la
infracción se entiende cometida.
El Tribunal Supremo se ha pronunciado sobre qué norma debe de aplicarse en
aquellos supuestos en los que las infracciones se prolongan en el tiempo y ha habido
un cambio normativo mientras se cometía la infracción. La STS de 17/04/2002 (Rec.
466/2000) versa sobre un caso en el que se aplicó una disposición que no estaba
vigente en el momento inicial de comisión de la infracción, pero sí en los posteriores,
en los que la conducta infractora continuaba produciéndose. La Sentencia examinó un
supuesto que versaba sobre la sanción impuesta a una Jueza por incumplimiento de
su deber de abstención en unas Diligencias Previas. La sancionada alegó la no
vigencia cuando ocurrieron los hechos del artículo 417.8 de la LOPJ aplicado. La STS
consideró que la infracción se había venido cometiendo desde la fecha de la incoación
de las Diligencias Previas hasta el momento en que la Jueza fue suspendida en el
ejercicio de sus funciones, en el que la disposición ya estaba vigente, por lo que esa
norma sí era de aplicación. En idéntico sentido se pronuncia la SAN de 16/09/2008
(Rec.488/2006)
En consecuencia, la fecha en la que debemos entender cometida la presunta
infracción del artículo 6.1, apartados b) y f) RGPD, atribuida a la reclamada, es la del
momento en que ésta finaliza, que con la información disponible sería el 09/12/2018.
En esa fecha las normas vigentes en materia de protección de datos eran el RGPD y
la LOPDGDD (entró en vigor el 07/12/2018). Y la Ley Orgánica, a propósito de los
plazos de prescripción, dispone que las infracciones muy graves tienen un plazo de
prescripción de tres años (artículo 72) Así pues, la aplicación del RGPD a los hechos
sobre los que versa la reclamación en ningún caso vulnera el principio de
irretroactividad.
Por otra parte, al ser la norma aplicable el RGPD, la presunta infracción del
artículo 6.1. RGPD atribuida a la reclamada en ningún caso habría prescrito, por lo que
la prescripción no podría servir de fundamento jurídico del archivo del expediente que
la reclamada solicita en sus alegaciones a la propuesta de resolución.
Paralelamente, por lo que respecta a la infracción del artículo 31, en relación con
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/26
el artículo 58.1.e, ambos del RGPD, tipificada en el artículo 83.5.e) RGPD que también
se atribuyó a la reclamada en el acuerdo de inicio -imputación que se confirmó en la
propuesta de resolución- cabe indicar que la conducta en la que se materializa tal
infracción aconteció durante el año 2019, vigente el RGPD. Recordemos que el
acuerdo de admisión a trámite de la reclamación se firmó el 19/02/2019 y que los
requerimientos informativos de la Inspección de Datos a los que la reclamada no
respondió son de fecha 17/07/2019 y 23/09/2019. De tal modo que, respecto a esta
infracción, tampoco procede plantear ni la vulneración del principio de tipicidad ni
menos aún del de irretroactividad de las normas.
III
En el acuerdo de inicio del expediente sancionador se atribuyeron a la reclamada
dos infracciones del RGPD. Una de ellas, a la que haremos referencia en este
Fundamento III, es la vulneración del artículo 6.1, apartados b) y f), RGPD, en relación
con el artículo 5.1.a) RGPD.
El artículo 5.1.a) RGPD dispone que ?1. Los datos personales serán: a) tratados
de manera lícita, leal y transparente con el interesado;?
El principio de licitud se desarrolla, entre otros preceptos, en el artículo 6 RGPD
que, bajo la rúbrica ?Licitud del tratamiento?, detalla en su apartado 1 los supuestos en
los que el tratamiento de datos de terceros es considerado lícito:
?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
(?)
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño. (...)?
La vulneración del apartado f) del artículo 6.1 RGPD atribuida a la reclamada
estaba relacionada con el artículo 20 de la LOPDGDD -enmarcado en el Título IV,
?Disposiciones aplicables a tratamientos concretos?- relativo a los ?Sistemas de
información crediticia?, norma que dispone:
?1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos
personales relativos al incumplimiento de obligaciones dinerarias, financieras o de
crédito por sistemas comunes de información crediticia cuando se cumplan los
siguientes requisitos:
a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su
cuenta o interés.
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya
existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por
el deudor o mediante un procedimiento alternativo de resolución de disputas
vinculante entre las partes.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/26
c) Que el acreedor haya informado al afectado en el contrato o en el momento
de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con
indicación de aquéllos en los que participe.
La entidad que mantenga el sistema de información crediticia con datos relativos
al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar
al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar
los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679
dentro de los treinta días siguientes a la notificación de la deuda al sistema,
permaneciendo bloqueados los datos durante ese plazo.
d) Que los datos únicamente se mantengan en el sistema mientras persista el
incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de
la obligación dineraria, financiera o de crédito.
e) Que los datos referidos a un deudor determinado solamente puedan ser
consultados cuando quien consulte el sistema mantuviese una relación contractual
con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera
solicitado la celebración de un contrato que suponga financiación, pago aplazado o
facturación periódica, como sucede, entre otros supuestos, en los previstos en la
legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del
tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo
18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran
consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha
circunstancia, sin facilitar los datos concretos respecto de los que se hubiera
ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o
éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya
consultado el sistema informe al afectado del resultado de dicha consulta.
(...)?
La vulneración del artículo 6.1, apartados b) y f) del RGPD se encuentra
tipificada en el artículo 83.5.a) RGPD que establece:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20.000.000 Eur como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5,6,7 y 9.?
En la propuesta de resolución del expediente sancionador se confirmó la
atribución a la reclamada de sendas infracciones del artículo 6.1. RGPD, apartados b)
y f), tipificadas en el artículo 83.5.a) RGPD y se propuso imponer una sanción de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/26
multa de 100.000 euros.
La propuesta de resolución confirmó la imputación a la reclamada de la citada
infracción del RGPD a la luz de la documentación que entonces obraba en el
expediente y que se obtuvo, esencialmente, durante la fase de prueba. En este sentido
se ha de recordar que la reclamada no había respondido a la petición de información
de la Agencia; no respondió tampoco a los dos requerimientos informativos que le hizo
la Inspección de Datos de la AEPD y que, en el trámite de alegaciones al acuerdo de
inicio, no aportó ningún documento ni hizo otra manifestación que no fuera declarar
que había tratado los datos de la reclamante en el desarrollo normal de una relación
contractual. Por tanto, hasta la práctica de prueba los únicos documentos que obraban
en el expediente administrativo eran los que la reclamante aportó con su denuncia: La
copia de la tarjeta del Certificado que acreditaba estar incluida en el registro de
ciudadanos de la Unión en la que constaba su NIE y el documento de Ibercheck que
versaba sobre una inclusión en BADEXCUG por una deuda de 1.856,30 ? vinculada a
su NIE.
En respuesta a las pruebas que se practicaron durante la instrucción, la
reclamada aportó abundante documentación no obstante la cual la propuesta de
resolución apreció la comisión de la infracción del artículo 6.1 RGPD.
Esta documentación consistió en la copia de tres contratos que según
manifestación de la reclamada se habían celebrado de forma presencial ante uno de
sus distribuidores en noviembre de 2013 y que tenían por objeto el servicio telefónico
de tres líneas móviles portadas desde el operador VODAFONE y la adquisición
financiada de tres terminales móviles de alta gama. En los tres contratos facilitados se
incluían los datos del titular, el nombre ***NOMBRE.1, coincidente con el nombre de la
reclamante; el apellido, ***APELLIDO.1, distinto del de la reclamante; el NIE, idéntico
al de la reclamante y el domicilio en calle ***DIRECCIÓN.3, que difería del facilitado
por la reclamante en su denuncia.
Lo relevante en la documentación aportada en fase de prueba era que los tres
contratos carecían de firma y del sello del distribuidor y que en el encabezado de los
documentos contractuales se advertía que éstos no tendrían validez si no constaba en
ellos la firma del cliente y el sello del distribuidor.
Esa circunstancia, unida al hecho de que la reclamada no aportó en su
respuesta a las pruebas practicadas ningún tipo de documento relativo a la identidad
de la persona que contrató del que pudiera inferirse que, con ocasión de la
contratación, había desplegado una mínima diligencia a fin de comprobar que la
persona que le facilitaba como propios unos datos personales era su titular, obligaron
a apreciar la responsabilidad de la reclamada en la comisión de una infracción del
artículo 6.1., b) y f) del RGPD.
Así, en la propuesta de resolución se argumentó lo siguiente respecto a esta
infracción del RGPD:
efectuados por la reclamada, atendidas las características de esos tratamientos,
debían ser los artículos 6.1.b) RGPD -que alude al tratamiento necesario para la
ejecución de un contrato en el que es parte el titular de los datos- y 6.1. f) RGPD
-fundamento relativo a la satisfacción del interés legítimo perseguido por el
responsable del tratamiento siempre que sobre dicho interés no prevalezcan los
derechos y libertades fundamentales del interesado que requieran la protección de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/26
datos personales-.
(...)
Las conductas en las que se concreta la vulneración del artículo 6.1. RGPD de
las que se responsabiliza a la reclamada fueron las siguientes:
B. De una parte, el tratamiento de los datos de la reclamante -su NIE, ***NIE.1, y su
nombre, ***NOMBRE.1- vinculados a tres contratos -?Contrato de alta con terminal
financiado por BBVA Particulares?- identificados con las referencias
***REFERENCIA.1, para la línea número ***TELÉFONO.1; ***REFERENCIA.2, de la
línea ***TELÉFONO.2; y número ***REFERENCIA.3, para la línea de telefonía móvil
***TELÉFONO.3.
Los tres contratos llevan fecha de 21/11/2013, que es cuando estimamos se
inició el tratamiento ilícito por la reclamada. El fin del tratamiento ilícito se estima
acaecido el 09/12/2018, habida cuenta de que no nos consta que hubiera continuado
después de esa fecha. (...)
(....) a la luz de la documentación aportada por la reclamada, no existe en el
presente caso ninguna prueba de que la reclamante hubiera contratado con ella
alguno de los servicios y productos que se dieron de alta vinculados a su NIE y a su
nombre.
Si bien la reclamada ha facilitado a la AEPD en fase de prueba tres ejemplares
del ?Contrato de alta con terminal financiado por BBVA Particulares? -incluso nos ha
remitido tres copias por cada uno de los contratos (copias para YOIGO, para el cliente
y para la entidad financiera)-, todos ellos de fecha 21/11/2013, en los que figuran, en el
apartado relativo a los datos del titular, el NIE y el nombre de la reclamante, estos
documentos nada acreditan sobre el hecho de que la reclamante hubiera contratado
con la reclamada.
Ninguno de los tres documentos que la reclamada ha facilitado ... se encuentran
firmados por la titular de los datos y supuesta contratante. El propio documento
contractual advierte en su encabezado que ?Los datos que tienen un asterisco ?*? son
imprescindibles para que Yoigo pueda darte de alta. Aquellos con dos asteriscos ?**?
son imprescindibles para que BBVA pueda tramitar el crédito?. En los tres contratos
facilitados a esta Agencia, en el epígrafe ?Firma?, aparece la anotación ?Firma *I**?,
precediendo al espacio destinado a la firma del cliente y la indicación ?Sello
distribuidor *I**?, precediendo al espacio destinado al sello del distribuidor ante el que
se celebra, presencialmente, el supuesto contrato. Con tales anotaciones el
documento contractual nos está advirtiendo que la firma del cliente y el sello del
Distribuidor son indispensables para que la operadora dé de alta un servicio telefónico
y para que BBVA -que es quien interviene financiando la compra a plazos de los
terminales móviles, según detalla el Condicionado General del contrato- tramite el
crédito a favor del cliente.
(...)
Se añade a lo anterior otro extremo esencial .... La reclamada no ha facilitado a
esta Agencia ningún documento que haga prueba de la identidad de la persona que,
supuestamente, contrató con ella y facilitó como suyos el NIE ***NIE.1, el nombre de
***NOMBRE.1, el apellido ***APELLIDO.1 y el domicilio ***DIRECCIÓN.3
(...) la acreditación de la identidad de la persona que contrata forma parte de la
actividad probatoria que incumbe a la responsable del tratamiento (...) Sin embargo,
no ha aportado ningún documento relativo a la identidad de la persona que
presuntamente suscribió los contratos que han dado origen a los hechos que nos
ocupan.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/26
(...)
C. La segunda conducta de la reclamada contraria al principio de licitud, por
vulneración en este caso del artículo 6.1.f) RGPD, es la comunicación al fichero de
solvencia BADEXCUG de una incidencia vinculada al NIE de la reclamante por una
supuesta deuda de 1.856,30 euros.
La incidencia se dio de alta el 16/03/2014 y de baja el 09/12/2018 como
consecuencia de la ?actualización automática del fichero de datos enviado por la
entidad informante?. Esto significa que la anotación que publicaba el sistema de
información crediticia BADEXCUG, la condición de deudora de la titular del NIE
***NIE.1, la reclamante, se mantuvo activa durante más de cuatro años.
(...)
El artículo 20 de la LOPDGDD contiene una presunción iuris tantum de
prevalencia del interés legítimo del responsable del tratamiento que comunica datos
de terceros a los sistemas de información crediticia, conocidos popularmente como
ficheros de solvencia o morosidad. Para que la presunción referida despliegue su
eficacia tienen que cumplirse todos los requisitos que el precepto detalla en su
apartado 1, letras a) a f).
El tratamiento de datos en que se concreta la conducta de la reclamada ahora
examinada -la comunicación de los datos de la reclamante al fichero BADEXCUG y su
mantenimiento en ese fichero durante más de cuatro años- no puede fundarse en la
presunción del artículo 20 LOPDGDD pues no se cumplía uno de los requisitos sobre
los que la Ley Orgánica 5/2018 construye esta presunción.
(...)
Resulta evidente, a tenor de la documentación que obra en el expediente, que la
deuda por importe de XXX euros que la reclamada informó a BADEXCUG vinculada
al NIF de la reclamante no reunía el requisito de ?certeza?, pues tal deuda no era cierta
con relación a la persona a la que se atribuía y cuyos datos personales fueron objeto
de tratamiento. (...). El núcleo de la cuestión es que, en tanto la reclamada no ha
acreditado que fuera efectivamente la reclamante quien suscribió con ella los
contratos de los que derivan las deudas, tampoco queda acreditada la condición de
deudora de la reclamante. >>
En el trámite de alegaciones a la propuesta de resolución la reclamada ha
aportado documentación diversa y de gran relevancia que incide directamente en la
valoración jurídica de las conductas que hasta ahora habíamos calificado como
vulneración del artículo 6.1., letras b) y f), del RGPD.
El artículo 82 de la LPACAP, ?Trámite de audiencia?, establece en el apartado 2
que ?Los interesados, en un plazo no inferior a diez días ni superior a quince, podrán
alegar y presentar los documentos y justificaciones que estimen pertinentes?.
Los documentos aportados son, en síntesis, los siguientes:
(i) Los ?originales? de los tres contratos que se celebraron a través de un
distribuidor de YOIGO de forma presencial. Los tres contratos se encuentran
debidamente firmados por el cliente y llevan también el sello del distribuidor. Ha
aportado, respecto a cada uno de los números de línea para los que se contrata el
servicio de telefonía móvil, el documento de solicitud de portabilidad de numeración
móvil desde VODAFONE, debidamente firmado por el solicitante.
Los datos que constan en los contratos aportados en este trámite -tanto los
relativos a la identidad del titular del contrato (nombre, apellido, NIE, domicilio y cuenta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/26
bancaria), al objeto de los contratos, a la fecha, el número de referencia o a la línea de
telefonía móvil sobre la que versa cada uno- son idénticos a los que constaban en los
documentos contractuales que la reclamada aportó en el trámite de prueba y que
carecían de firma y sello.
Se ha aportado también (ii) un recibo de adeudo por domiciliación bancaria
emitido por BBVA el 12/11/2013 en el que el ordenante es el operador VODAFONE y el
titular de la cuenta de cargo una persona identificada con el mismo nombre y apellido
de la titular de los tres contratos -esto es, ***NOMBRE.1***APELLIDO.1-. Los dígitos
de la cuenta de cargo que aparecen en el recibo bancario son los mismos que se
incluyen en los tres contratos a efectos de domiciliación de las facturas. En el recibo
bancario aportado el domicilio de la titular de la cuenta coincide con el que figura en
los tres contratos como domicilio de la contratante, calle ***DIRECCIÓN.3
Además, el documento bancario de adeudo en cuenta muestra que el ordenante
del cargo es el operador de telecomunicaciones VODAFONE ESPAÑA, S.A.U., que
es también el operador que aparece como donante de las tres líneas de telefonía móvil
contratadas con YOIGO.
Otro de los documentales aportados (iii) es un Certificado de Registro de
Ciudadanos de la Unión? en el que el encargado del Registro Central de Extranjeros
de la Comisaría Provincial de ***LOCALIDAD.1 certifica que, de conformidad con lo
establecido en los artículos 3.3 y 3.7 del Real Decreto 240/2007, de 16 de febrero, y
teniendo presente que este documento sólo prueba la inscripción en el Registro
Central de Extranjeros si se presenta en unión del pasaporte o documento de
identidad en vigor, la persona que a continuación se indica, ha solicitado y obtenido su
inscripción en el Registro Central de Extranjeros (...) como residente comunitario en
España, desde el 15/11/2010: D. ***NOMBRE.1***APELLIDO.1; nacido/a el
05/08/1985, en ***LOCALIDAD.2 (***PAÍS.1); hijo de Gabriel y Viorica. Nacionalidad:
***PAÍS.1. Domicilio: calle ***DIRECCIÓN.2. Número de Identidad de Extranjero (NIE)
***NIE.1. El documento incluye en dos ocasiones este ?Aviso: Documento no válido
para acreditar la identidad ni la nacionalidad del portador?.
La conducta que se tomó en consideración para atribuir a la reclamada una
infracción del principio de licitud fue el tratamiento de los datos personales de la
reclamante -NIE y nombre- sin que estuviera acreditada la base jurídica que lo
amparaba. El tratamiento efectuado por la reclamada consistió en dar de alta tres
contratos a nombre de una persona identificada con el NIE y nombre de la reclamante
y en incluir el NIE en el fichero de solvencia BADEXCUG asociado a una deuda
impagada derivada de dichos contratos.
La reclamada ha aportado con sus alegaciones a la propuesta de resolución los
documentos que sirven, a su juicio, de fundamento a las causas de licitud descritas en
los apartados b) y f) del artículo 6.1 RGPD. Ha aportado tres contratos suscritos con
ella a través de un distribuidor en los que los datos de la persona contratante coinciden
con los de la reclamante en el NIE y el nombre -***NOMBRE.1-, aunque no en el
apellido -en el contrato figura ***APELLIDO.1 y la reclamante dice apellidarse
***APELLIDO.2- ni en el domicilio. Los tres contratos están firmados por la persona
contratante. Y a fin de acreditar que la persona que se identificó con los datos que
constan en los contratos y los facilitó como propios era quien decía ser, ha aportado el
documento denominado Certificado de registro de ciudadanos de la Unión cuyos datos
coinciden con los que constan en los tres contratos para identificar a su titular.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/26
Ahora bien, el Certificado incluye en dos ocasiones un aviso que informa de que
ese documento no es válido para acreditar la identidad ni la nacionalidad del portador
y en el texto del documento se advierte que ?(..) este documento sólo prueba la
inscripción en el Registro Central de Extranjeros si se presenta en unión del pasaporte
o documento de identidad en vigor?.
No puede otorgarse al Certificado aportado el poder de acreditar la identidad de
la persona contratante, pero al haber recabado ese documento demuestra, en
principio, que la reclamada, con ocasión de la celebración de los tres contratos,
desplegó alguna diligencia encaminada a la identificación de la persona contratante.
La reclamada, a través de su distribuidor, también recabó de la persona que
contrató y facilitó como propios los datos que constan en los contratos otros
documentos que revelan que se identificaba con esos mismos datos ante su entidad
financiera. El recibo de BBVA de adeudo en cuenta prueba que en noviembre de 2013
la persona contratante estaba identificada ante dicha entidad con el mismo nombre,
apellido y domicilio que facilitó a la reclamada en la contratación. Además, la cuenta
bancaria de la que era titular, según el recibo de BBVA, es la que aparece en los
contratos como cuenta de domiciliación del pago. Del mismo modo, el ordenante del
cargo bancario que figura en el recibo de BBVA, la operadora VODAFONE, es
también, a tenor de los contratos, la operadora donante en la portabilidad de las líneas
telefónicas cuyos servicios se contrataron con la reclamada.
En definitiva, aunque el Certificado de registro de ciudadanos de la Unión carece
por sí solo de fuerza para acreditar la identidad de la persona que lo exhibe, hay en el
procedimiento otros documentos que demuestran que esos datos identificaban a la
persona contratante válidamente en otros ámbitos, como en sus relaciones con el
BBVA, del que era cliente, o con la operadora VODAFONE, con la que tenía
contratados servicios cuyo pago tenía domiciliado en su cuenta bancaria.
Valorados en conjunto los diversos documentos que la reclamada ha aportado
parece justo concluir que, atendidas las circunstancias del caso, desplegó una
diligencia mínima y razonable en la identificación de la persona que suscribió los
contratos y facilitó como suyos el NIE y el nombre de la reclamante. Y también es
ejemplo de diligencia en el cumplimiento de las obligaciones impuestas por el RGPD
que la reclamada haya conservado la documentación referente a la contratación y a la
identidad del contratante, que fue recabada en el año 2013, fecha de las
contrataciones, a fin de poder acreditar la licitud del tratamiento de datos efectuado.
La diligencia demostrada por la reclamada en la identificación de la persona que
contrató y facilitó como suyos los datos personales de NIE y nombre de la reclamada
impide apreciar en el supuesto examinado la concurrencia de culpa o negligencia,
necesaria para poder exigir responsabilidad administrativa. Como indicó la SAN de
29/04/2010, (Fundamento Jurídico sexto), ?La cuestión no es dilucidar si la recurrente
trató los datos de carácter personal de la denunciante sin su consentimiento, como si
empleó o no una diligencia razonable a la hora de tratar de identificar a la persona con
la que suscribió el contrato?. (El subrayado es de la AEPD)
La presencia del elemento subjetivo o culpabilidad en sentido amplio, como
condición para que nazca la responsabilidad sancionadora, ha sido confirmada por el
Tribunal Constitucional, entre otras, en su STC 76/1999, en la que afirma que las
sanciones administrativas participan de la misma naturaleza que las penales al ser
una de las manifestaciones del ius puniendi del Estado y que, como exigencia
derivada de los principios de seguridad jurídica y legalidad penal consagrados en los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/26
artículos 9.3 y 25.1 de la C.E., es imprescindible su existencia para imponerla.
En idéntico sentido, la Ley 40/2015 de Régimen Jurídico del Sector Público
dispone en el artículo 28.1. que ?Sólo podrán ser sancionadas por hechos constitutivos
de infracción administrativa las personas físicas y jurídicas, así como(...), que resulten
responsables de los mismos a título de dolo o culpa.?
En consecuencia, estando ausente el elemento subjetivo de la infracción -toda
vez que la documentación aportada muestra que la reclamada actuó con una
diligencia mínima y razonable para garantizar la identidad de la persona que contrató y
facilitó como propios determinados datos personales- corresponde acordar el archivo
del procedimiento en lo relativo a la infracción del artículo 6.1, apartados b) y f) RGPD
que se atribuyó a la reclamada en el acuerdo de inicio del expediente sancionador.
IV
A. El artículo 58 RGPD se refiere a los poderes otorgados a las autoridades de
control y hace referencia en el apartado 1 a sus ?poderes de investigación?, precepto
que establece:
?1. Cada autoridad de control dispondrá de todos los poderes de investigación
indicados a continuación:(?)
e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos
personales y a toda la información necesaria para el ejercicio de sus funciones;
f) obtener el acceso a todos los locales del responsable y del encargado del
tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de
conformidad con el Derecho procesal de la Unión o de los Estados miembros.?
A su vez, el artículo 31 RGPD -relativo a las obligaciones generales del
responsable y del encargado de tratamiento, Sección 1, del Capítulo IV del
Reglamento (UE) 2016/679- señala:
?El responsable y el encargado de tratamiento, y en su caso sus representantes
cooperaran con la autoridad de control que lo solicite en el desempeño de sus
funciones?.
Por otra parte, la LOPDGDD, artículo 51.1, establece que ?La Agencia Española
de Protección de Datos desarrollará su actividad de investigación a través de las
actuaciones previstas en el Título VIII y de los planes de auditoria preventivas?. La
LOPDGDD encuadra en este Título el artículo 67, que versa sobre las actuaciones de
investigación previa.
Además, el artículo 53 de la LOPDGDD se refiere al alcance de la actividad de
investigación e indica en el apartado 1 que ?Quienes desarrollen la actividad de
investigación podrán recabar las informaciones precisas para el cumplimiento de sus
funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y
datos necesarios, examinarlos en el lugar en que se encuentren depositados o en
donde se lleven a cabo los tratamientos obtener copia de ellos, inspeccionar los
equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o
procedimientos de gestión y soporte del tratamiento sujetos a investigación?.
El incumplimiento por un responsable del tratamiento de la obligación que le
impone el artículo 31 del RGPD, en relación con las facultades que en materia de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/26
inspección tiene atribuidas esta Agencia por el artículo 58.1 e) del citado Reglamento
(UE) 2016/679, es subsumible en el tipo sancionador del artículo 83.5.e) RGPD que
dice:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
(?)
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del
tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control
con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del
artículo 58, apartado 1. (El subrayado es de la AEPD)
A efectos de prescripción, la LOPDGDD califica en su artículo 72.1. como
infracción muy grave: ?o) La resistencia u obstrucción del ejercicio de la función
inspectora por la autoridad de protección de datos competente?. El plazo de
prescripción de las infracciones muy graves es de tres años.
B. La documentación que obra en el expediente administrativo acredita que la
reclamada se negó a colaborar con la actuación inspectora llevada a cabo por el
Servicio de Inspección de la AEPD en el marco del E/2053/2019 y que al tomar la
decisión de no colaborar con la investigación desarrollada por la autoridad de control
era plenamente consciente de las consecuencias que podían derivarse de su conducta
omisiva.
Prescindiendo de la petición informativa que la Agencia hizo a la reclamada
antes del inicio de las actuaciones de investigación previa -esto es, antes de que se
hubiera acordado la admisión a trámite de la reclamación-, solicitud informativa a la
que tampoco respondió, y centrándonos en las actuaciones de investigación previa,
pues a tenor del artículo 51.1 LOPDGDD éstas se encuadran en la función
investigadora que tienen reconocida las autoridades de control y que desarrolla el
artículo 58.1 RGPD, se destacan estas circunstancias:
La reclamada no dio ninguna respuesta a la AEPD. El único escrito recibido de
ella en el curso de las actuaciones de investigación previa es de fecha 07/08/2019 y en
él solicita que se amplíe el plazo para responder al requerimiento informativo que se le
había hecho el 17/07/2019 y que recibió en esa misma fecha. En ese requerimiento se
le otorgaba un plazo de quince días hábiles para evacuar el trámite. La AEPD
responde en escrito de 12/08/2019 y concede la ampliación de plazo solicitada. La
respuesta de esta Agencia, que se notifica electrónicamente en la misma fecha, es
aceptada por la reclamada siete días después, el 19/08/2019. No se recibe ninguna
respuesta. La Inspección de Datos envió a la reclamada un segundo requerimiento
informativo de fecha 23/09/2019, que se puso a disposición en la sede electrónica el
mismo día y cuya notificación fue aceptada por la reclamada el 30/09/2019. La
reclamada no respondió tampoco a este segundo requerimiento. En definitiva, pese a
que la recepción por la reclamada de ambos requerimientos informativos de la
Inspección de Datos consta acreditada, no respondió a ninguno de ellos.
La segunda circunstancia relevante es que en los dos requerimientos que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/26
enviaron a la reclamada se le informaba con detalle de las consecuencias que podrían
derivarse de no atender la petición de colaboración con la AEPD. Se le recordó la
obligación que le impone el RGPD de colaborar en el desarrollo de la función
inspectora y que el incumplimiento de dicha obligación podría comportar la comisión
de una infracción tipificada en el artículo 83.5.e, RGPD por infracción del artículo 58.1.
RGPD.
En consideración a los hechos probados, se estima que la reclamada incurrió en
una infracción del articulo 31 RGPD, en relación con el artículo 58.1.e, de la misma
norma, tipificada en el artículo 83.5.e) RGPD y calificada por la LOPDGDD a efectos
de prescripción, como infracción muy grave (artículo 72.1.o,)
C. En la determinación de la multa administrativa a imponer por la infracción del
artículo 31, en relación con el artículo 58.1.e), RGPD, se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD.
Atendiendo a la exigencia del RGPD de que las multas administrativas sean
?efectivas, proporcionadas y disuasorias? y a las previsiones de los artículos 83.4 y
83.5 RGPD, debe tomarse en consideración el volumen total anual global del ejercicio
financiero anterior de la reclamada. Bien entendido que, como precisa el Considerando
150 del RGPD, ?Si las multas administrativas se imponen a una empresa, por tal debe
entenderse una empresa con arreglo al artículo 101 y 102 del TFUE?. El grupo
MASMOVIL al que pertenece la reclamada obtuvo en el ejercicio 2018 unos ingresos
de 1.451 millones de euros y un beneficio neto de 71 millones de euros.
Analizadas las circunstancias que presiden la conducta infractora, a fin de
concretar el importe de la sanción de multa que deba imponerse a la responsable, se
estima que están presentes los siguientes elementos que entrañan una agravación de
la culpabilidad del sujeto infractor y/o de la antijuridicidad de su conducta.
- La reclamada actuó con una falta de diligencia extremadamente grave cuando se
negó de forma reiterada a colaborar con la función inspectora que la AEPD estaba
ejerciendo. Negativa que no puede justificarse ni en la existencia de alguna incidencia
en las notificaciones de los requerimientos informativos, pues se recibieron
correctamente por la reclamada, ni en el transcurso de los plazos otorgados para
responder. La AEPD actuó con total flexibilidad y dio toda clase de facilidades a la
reclamada para que pudiera prestar la colaboración solicitada. Se ampliaron los plazos
para responder en el momento en que la reclamada lo solicitó -pese al tiempo
transcurrido entre la recepción del requerimiento informativo y la petición de
ampliación del plazo- y se dejó pasar un tiempo considerable después de que los
plazos vencieran y antes de reiterar el requerimiento informativo. Tampoco se obtuvo
ningún tipo de respuesta al segundo requerimiento de colaboración. Circunstancia
agravante que se encuadra en el artículo 83.2.b, RGPD.
- La vinculación entre la actividad de la reclamada y el tratamiento de datos personales
de clientes o de terceros (artículo 83.2.k, del RGPD en relación con el artículo 76.2.b,
de la LOPDGDD)
En atención a las consideraciones precedentes, se acuerda sancionar a la
reclamada por la infracción del artículo 31, en relación con el 58.1.e, RGPD, tipificada
en el artículo 83.5.e) RGPD y calificada por la LOPDGDD a efectos de prescripción
como infracción muy grave (artículo72.1.o,), con una multa administrativa de 20.000
euros.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/26
Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: RESPECTO a la a la presunta infracción del artículo 6.1. letras b) y f) del
RGPD, que se atribuyó a XFERA MÓVILES, S.A., con NIF A82528548, en el acuerdo
de inicio de este expediente sancionador, ACORDAR el ARCHIVO del procedimiento
sancionador por INEXISTENCIA DE INFRACCIÓN, al haber aportado la reclamada los
documentos que así lo acreditan.
SEGUNDO: MPONER a XFERA MÓVILES, S.A., con NIF A82528548, por una
infracción del artículo 31 del RGPD, en relación con el artículo 58.1.e, tipificada en el
artículo 83.5.e) del RGPD, una sanción de veinte mil euros (20.000 ?).
TERCERO: NOTIFICAR la presente resolución a XFERA MÓVILES, S.A.
CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/26
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es