Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00369-2022 de 07 de junio de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 39 min
Órgano: Agencia Española de Protección de Datos
Fecha: 07/06/2023
Num. Resolución: PS-00369-2022
Cuestión
1 / 17Expediente N.º: PS/00369/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: El 11/03//2021 tuvo entrada en esta Agencia escrito presentado por
FACUA...
Contestacion
1/17
? Expediente N.º: PS/00369/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: El 11/03//2021 tuvo entrada en esta Agencia escrito presentado por
FACUA, en representación de D. A.A.A. (en adelante, la parte reclamante). La
reclamación se dirige contra RCI BANQUE, S.A. SUCURSAL EN ESPAÑA con NIF
W0014596A (en adelante, la parte reclamada). Los motivos en que basa la
reclamación son los siguientes: la recepción de llamadas de teléfono y mensajes de
texto, reclamándole una deuda pendiente de pago con la entidad reclamada relativa a
la financiación de un vehículo; financiación que el reclamante desconoce, al no
mantener relación jurídica alguna con la reclamada.
Acompaña reclamación dirigida al reclamado de 25/08/2020 informando del
acoso telefónico que sufre en su línea móvil ***TELEFONO.1 relativa a una deuda de
financiación de un vehículo que desconoce tener, solicitando supresión de sus datos
personales y la respuesta del reclamado de 09/09/2020, en la que le informan que el
reclamante no consta como cliente de la entidad.
SEGUNDO: El 15/04/2021, tras el análisis realizado sobre los documentos aportados y
las circunstancias concurrentes, no se apreciaron indicios racionales de la existencia
de infracción en el ámbito competencial de la Agencia Española de Protección de
Datos, por lo que, de acuerdo con lo previsto en el artículo 65.2 de la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales, dictándose resolución por la Directora de la Agencia Española de
Protección de Datos, acordando la inadmisión a trámite de la reclamación. La
resolución le fue notificada al afectado en fecha 16 de Abril de 2021,
TERCERO: El 13/05/2021 el afectado presento recurso de reposición contra la
resolución recaída, registrado en la Agencia en la misma fecha, mostrando su
disconformidad con la misma, argumentando básicamente los mismos hechos que en
su reclamación inicial y adjuntando fotografías de un teléfono móvil, en las que se
muestran sendos SMS de la entidad reclamada, de fechas posteriores a la fecha en
que se presentó la reclamación: 31 de marzo y 19 de abril de 2021, respectivamente.
CUARTO: El 16/06/2021, una vez realizadas las comprobaciones oportunas tras la
documentación aportada con posterioridad a la resolución de inadmisión a trámite de
la reclamación inicial presentada, se resuelve estimar el recurso de reposición
interpuesto contra la resolución dictada el 15/04/2021.
QUINTO: La Subdirección General de Inspección de Datos procedió a la realización de
actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de los poderes de investigación otorgados a las autoridades de
control en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/17
Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el
Título VII, Capítulo I, Sección segunda, de la LOPDGDD.
El 01/07/2022, la Directora de la AEPD dicto resolución por la que se declaraba
la caducidad de las actuaciones previas de investigación señaladas con el número
E/07106/2021 por el transcurso de más de doce meses contados desde la fecha de
admisión a trámite de la reclamación y no procederse a dictar y notificar el acuerdo de
inicio de procedimiento sancionador y la apertura de nuevas actuaciones de
investigación con el número ***REF.1.
SEXTO: Los representantes de la entidad manifiestan durante investigaciones previas
llevadas a cabo que tras consultar sus sistemas de información han comprobado que
no consta información o documentación alguna relativa al reclamante en tanto que no
es, ni ha sido, cliente de esta Entidad.
Sin embargo, el número de teléfono del reclamante figura en los sistemas de la
entidad asociado al contrato de préstamo ***REF.2 formalizado con ***EMPRESA.1,
con CIF ***NIF.1, el 04/11/2015 y finalizado el 05/11/2021.
Este número de teléfono fue facilitado directamente por el apoderado de la
persona jurídica titular del contrato de préstamo, a través de su Espacio Cliente, en el
transcurso de la relación comercial el 17/07/2020. Este Espacio está disponible en la
web del reclamado para que sus clientes puedan realizar, previo registro,
determinadas gestiones y consultas sobre los contratos que mantienen vigentes con la
Entidad.
A través de dicho Espacio Cliente, los clientes, previamente registrados, tienen
la posibilidad de modificar en el apartado "Mi perfil" determinados datos, entre ellos, el
número de teléfono de contacto vinculado a su contrato. En este caso, el Cliente del
contrato de préstamo anteriormente referido, modificó a través de esta funcionalidad,
un dato de teléfono preexistente (segundo teléfono de contacto), introduciendo el
número ***TELEFONO.1.
En el registro inicial al Espacio Cliente, el Cliente debe proporcionar su
DNI/ClF, email, teléfono y fecha de nacimiento. Estos datos se cotejan
sistemáticamente con los recabados y verificados en el momento de la formalización
del contrato de préstamo para garantizar su coincidencia, en caso de discordancia
entre los datos facilitados en el Registro y aquellos obtenidos en el momento de la
firma del contrato de préstamo, automáticamente se genera un "caso" que debe ser
tratado manualmente por un agente, que analiza la idoneidad del cambio efectuado,
no permitiendo al Cliente continuar con el Registro en el Espacio Cliente
Una vez efectuado el registro inicial, el Cliente accede a su Espacio Cliente con
su NIF/CIF y una contraseña personal, única e intransferible, creada por él mismo en
el momento de Registro.
En lo que a la modificación posterior de datos se refiere, el reclamado tiene
además implementado un bloqueo cautelar que imposibilita realizar cualquier
modificación de datos, siempre que el Cliente cuente con más de dos impagos en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/17
momento de efectuar dicha modificación, para evitar cambios fraudulentos que
persigan impedir la acción de recobro de la deuda debida.
En el presente caso, el Cliente, tras acceder con su Clave personal a su
Espacio Cliente, modificó su segundo teléfono de contacto, introduciendo el número
del afectado
La sociedad titular del contrato de préstamo comenzó a no atender el pago de
los recibos incumpliendo, por tanto, lo pactado en el contrato, y debiéndose efectuar
por esta Entidad diversas gestiones encaminadas al recobro de la deuda, utilizando
para ello los datos de contacto facilitados por el propio titular.
En las notas disponibles en la agenda asociada al contrato, es posible apreciar
que la Entidad trató de contactar por varias vías con el cliente, al número principal
asociado al contrato, pero también, al número de teléfono del reclamante. Sin
embargo, han constatado que ninguno de los contactos efectuados a ese número
resultó fructuoso; el titular de la línea de telefonía nunca llegó a responder a ninguna
de las llamadas o mensajes que le fueron remitidos con el objeto de recobrar la deuda
Conforme recoge el "Manual gestor plataforma de recobro industrial", en caso
de haberse detectado que el segundo número de teléfono facilitado por el Cliente en
su Espacio Cliente no correspondía al titular del contrato, por manifestarlo así el titular
de la línea, se hubiera cesado inmediatamente en su localización y se hubiera
procedido al borrado del número en el sistema de gestión. No obstante, el reclamado
nunca logró establecer contacto con el Cliente al número de teléfono informado por
éste correspondiente al denunciante, no pudiendo conocer en ningún momento que
ese segundo teléfono proporcionado no correspondía al titular de la operación.
El reclamado no tiene constancia de que el titular de la línea telefónica se haya
puesto en contacto con la Entidad, por ningún medio, para poner de manifiesto esta
situación, o haya presentado reclamación alguna ante el servicio de Atención al
Cliente del reclamado o dirigiéndose a cualquiera de los buzones habilitados;
dpoesp@rcibanque.com o dpo.seguridad@rcibangue.com.
A raíz de las actuaciones de la Agencia Española de Protección de Datos el
reclamado ha procedido al borrado del número de teléfono del reclamante antes de
contestar al requerimiento. Asimismo, el reclamado va a analizar la implementación del
filtro de seguridad consistente en el envío de un SMS al número de teléfono
introducido para verificar los cambios que se produzcan en el Espacio Cliente, también
para los casos de Cliente persona jurídica.
SEPTIMO: Con fecha 20/07/2022, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta
infracción del artículo 17 del RGPD, tipificada en el artículo 83.5.b) del citado RGPD.
OCTAVO: Notificado el acuerdo de inicio en fecha 05/08/2022 el reclamado solicito
copia del expediente y la ampliación del plazo para contestar; tanto la copia como la
ampliación fue concedida mediante escrito de fecha 10/08/2022.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/17
El reclamado en fecha 16/08/2022 presento escrito de alegaciones ad
cautelam, según expresión propia, ante la imposibilidad de acceder con carácter previo
al expediente administrativo, manifestando la falta de motivación del acuerdo de inicio
al no recoger el hecho infractor concreto; solicitando su archivo o subsidiariamente la
retroacción de las actuaciones al momento previo al acuerdo de inicio.
El 26/08/2022 se le remitido nuevamente copia del expediente y la ampliación
del plazo para contestar y mediante escrito de 12/09/2022 el reclamado alegaba que la
premisa infractora es errónea ya que se había contestado al ejercicio del derecho y su
actuación estuvo presidida por la buena fe; la ausencia de culpabilidad en su actuación
y el error de tipificación y vulneración del principio de legalidad.
NOVENO: Con fecha 20/12/2021 se inició un período de práctica de pruebas,
acordándose las siguientes
Dar por reproducidos a efectos probatorios la reclamación interpuesta por el
reclamante y su documentación, los documentos obtenidos y generados por los
Servicios de Inspección que forman parte del expediente E/05859/2020.
Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio
presentadas por el reclamado.
DECIMO: En fecha 07/03/2023, fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia Española de Protección de Datos se sancionara al
reclamado por infracción del artículo 17 del RGPD, tipificada en el artículo 83.5.b) del
RGPD, con una multa de 20.000 ? (veinte mil euros).
El 22/03/2023 el reclamado a reiteraba lo ya manifestado durante el
procedimiento y alegaba, en síntesis, que la premisa infractora resulta errónea ya que
se contestó al ejercicio del derecho estando presidida su actuación por la buena fe y
habiendo actuado proactivamente; ausencia de culpabilidad en su actúa ion y la
tipificación errónea de la infracción vulnerado la presunción de inocencia; la ausencia
de daños y perjuicios y circunstancias no tenidas en cuenta a la hora de valorar la
sanción.
UNDECIMO: De las actuaciones practicadas en el presente procedimiento, han
quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO. El 11/03/2021 tiene entrada en la AEPD escrito de FACUA, en
representación del reclamante, contra el reclamado motivado por la recepción de
llamadas de teléfono y mensajes de texto, en los que se le reclama una deuda
pendiente de pago relativa a la financiación de un vehículo; financiación que el
reclamante desconoce ya que no mantiene relación jurídica o contractual alguna con el
reclamado. Asimismo, manifiesta que los SMS que dirigen al reclamante se refieren a
él como ***EMPRESA.1
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/17
SEGUNDO. Constan aportadas capturas de pantalla en las que figuran mensajes
remitidos por el reclamado al reclamante de fechas 22/07/2020, 03/08/2020,
05/08/2020, 11/08/2020, 31/03/2021, 19/04/2021 con el siguiente contenido:
?miércoles, 22 de julio de 2020
RECIBO IMPAGADO VEHICULO
PAGUE AHORA 260,04 ? CON TARJETA EN EL TLF ***TELEFONO.2 O REALICE
TRANSFERENCIA B. SANTANDER ES ? PARA EVITAR ASNEF DE TITULARES Y
AVALES?.
?lunes, 3 de agosto de 2020
*RCI* LE INFORMAMOS
QUE TIENE UINA DEUDA
PENDIENTE, LE ROGAMOS
LLAME AL ***TELEFONO.2
PARA REGULARIZAR LA SITUACION
TLF ***TELEFONO.2?
?miércoles, 5 de agosto de 2020
*RCI* LE INFORMAMOS
QUE TIENE UINA DEUDA
PENDIENTE, LE ROGAMOS
LLAME AL ***TELEFONO.2
PARA REGULARIZAR LA SITUACION
TLF ***TELEFONO.2?
?martes, 11 de agosto de 2020
**URGENTE**DEUDA
VEHICULO**SOLICITAMOS
CONTACTO URGENTE
PARA EVITAR INCLUSION
EN ASNEF DE TITULAR Y
AVALES. LLAME AHORA AL
***TELEFONO.2?
?miércoles, 31 de marzo de 2021
**ULTIMO AVISO**
NO LOCALIZAMOS SU
PAGO***HASTA LAS 15HRS
PARA EFECTUAR PAGO Y EL
PARALIZAR TRAMITE** LLAME
URGENTE AL ***TELEFONO.2?
?lunes, 19 de abril de 2021
**NECESITAMOS CONTACTO
URGENTE**DEUDA
VEHICULO**TRASPASO AL
DPTO PREJUDICIAL. ULTIMA VIA
AMISTOSA TLF ***TELEFONO.3?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/17
TERCERO. Consta escrito del reclamante dirigido al reclamado en fecha 25/08/2020,
informándole del acoso telefónico al que está siendo sometido en su línea móvil
***TELEFONO.1 como consecuencia de una deuda vinculada a la financiación de un
vehículo que desconoce tener, solicitando la supresión de sus datos personales.
CUARTO. Consta la respuesta ofrecida por el reclamado al escrito anterior, de
09/09/2020, indicando que:? ?le informamos que con los datos facilitados no aparece
ninguna persona como cliente de esta Entidad?.
El reclamado, como se puede comprobar en el hecho segundo, con posterioridad
continuó recibiendo mensajes en su teléfono móvil.
QUINTO. El reclamado en escrito de respuesta al requerimiento de información de la
AEPD de fecha 15/02/2022 ha señalado ?Que, consultados nuestros sistemas, no obra
en los mismos información o documentación alguna sobre la persona cuyos datos
Ustedes nos han facilitado. Por consiguiente, no nos resulta posible remitirles la
información solicitada?.
SEXTO. EL 18/04/2022 la AEPD dirige al reclamado un segundo requerimiento
solicitando información del número de teléfono ***TELEFONO.1. En su respuesta
manifestaba que ?el número de teléfono que nos facilitan obra en nuestro sistema
asociado al contrato de préstamo nº ***REF.2 formalizado con ***EMPRESA.1 con
CIF?, el 04/11/2015 y finalizado el 05/11/2021?.
Y continua ?Este número de teléfono fue facilitado directamente por el apoderado de la
persona jurídica titular del contrato de préstamo, a través de su Espacio Cliente, en el
transcurso de la relación comercial, concretamente el 17/07/2020.
Este Espacio está disponible en la web de RCI BANQUE para que sus clientes
puedan realizar, previo registro, determinadas gestiones y consultas sobre los
contratos que mantienen vigentes con la Entidad.
A través de dicho Espacio Cliente, los clientes, previamente registrados, tienen la
posibilidad de modificar en el apartado "Mi perfil" determinados datos, entre ellos, el
número de teléfono de contacto vinculado a su contrato. En este caso, el Cliente del
contrato de préstamo anteriormente referido, modificó a través de esta funcionalidad,
un dato de teléfono preexistente (segundo teléfono de contacto), introduciendo el
número ***TELEFONO.1.
(?)
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los
procedimientos tramitados por la Agencia Española de Protección de Datos se regirán
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/17
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las
contradigan, con carácter subsidiario, por las normas generales sobre los
procedimientos administrativos?.
II
Los hechos puestos de manifiesto se materializan en la recepción de llamadas
en la línea de teléfono móvil del reclamante y mensajes de texto reclamándole una
deuda pendiente de pago con el reclamado derivado de la financiación de un vehículo,
que el reclamante desconoce al no mantener relación jurídica alguna con el
reclamado, lo que supondría la vulneración de la normativa en materia de protección
de datos de carácter personal.
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes
correctivos indicados a continuación:
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en
lugar de las medidas mencionadas en el presente apartado, según las
circunstancias de cada caso particular;
(?)?
III
1. El ejercicio del derecho de supresión viene regulado en el artículo 17 del
RGPD, que establece:
?1. El interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que le conciernan, el
cual estará obligado a suprimir sin dilación indebida los datos personales cuando
concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para
los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1,
y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se
oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una
obligación legal establecida en el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios
de la sociedad de la información mencionados en el artículo 8, apartado 1.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/17
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud
de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del
tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación,
adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los
responsables que estén tratando los datos personales de la solicitud del interesado de
supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de
los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de
datos impuesta por el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento, o para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable;
c) por razones de interés público en el ámbito de la salud pública de
conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en
la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible
u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones?.
El Considerando 59 del RGPD señala que:
"Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus
derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar
y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos
personales y su rectificación o supresión, así como el ejercicio del derecho de
oposición. El responsable del tratamiento también debe proporcionar medios para que
las solicitudes se presenten por medios electrónicos, en particular cuando los datos
personales se tratan por medios electrónicos. El responsable del tratamiento debe
estar obligado a responder a las solicitudes del interesado sin dilación indebida y a
más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a
atenderlas".
Y el Considerando 66 del RGPD señala que:
"A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de
supresión debe ampliarse de tal forma que el responsable del tratamiento que haya
hecho públicos datos personales esté obligado a indicar a los responsables del
tratamiento que estén tratando tales datos personales que supriman todo enlace a
ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe
tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su
disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado
a los responsables que estén tratando los datos personales".
2. La normativa en materia de protección de datos de carácter personal permite
que puedas ejercer ante el responsable del tratamiento tus derechos de acceso,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/17
rectificación, oposición, supresión, limitación del tratamiento, portabilidad y de no ser
objeto de decisiones individualizadas.
Por tanto, este derecho puede ser ejercitado ante el responsable solicitando la
supresión de sus datos de carácter personal cuando concurra alguna de las
circunstancias establecidas en el artículo 17 del RGPD.
No obstante, hay que señalar que este derecho no es ilimitado, de tal forma
que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario
para el ejercicio de la libertad de expresión e información, para el cumplimiento de una
obligación legal, para el cumplimiento de una misión realizada en interés público o en
el ejercicio de poderes públicos conferidos a la persona responsable, por razones de
interés público, en el ámbito de la salud pública, con fines de archivo de interés
público, fines de investigación científica o histórica o fines estadísticos, o para la
formulación, el ejercicio o la defensa de reclamaciones.
3. La documentación obrante en el expediente ofrece indicios evidentes de que
el reclamado, vulneró el artículo 17 del RGPD, derecho de supresión, al no ser
atendido el mismo, pese a que el reclamado alega lo contrario, como lo acredita que
este continuó tratando los datos del reclamante.
De la documentación obrante en el expediente evidencia que el reclamado
vinculó el número de teléfono móvil del reclamante al contrato de préstamo número
***REF.2; préstamo que había sido formalizado con ***EMPRESA.1, con CIF ?,
desde el 04/11/2015 hasta el 05/11/2021, originando que el reclamante sufriera desde
el 22/07/2020 hasta el 19/04/2021 un acoso, un asedio en forma de llamadas y
mensajes sms depositados en su teléfono móvil reclamándole el pago de una deuda
relacionada con la financiación de un vehículo, objeto del citado contrato de préstamo
y que el reclamante en ningún caso había suscrito con la entidad reclamada con la que
ni mantenía ni mantiene relación contractual alguna.
Hay que señalar que el reclamado en escrito de respuesta al requerimiento de
información remitido por la AEPD, de fecha 15/02/2022, manifestaba ?Que
consultados nuestros sistemas, no obra en los mismos información o documentación
alguna sobre la persona cuyos datos Ustedes nos han facilitado. Por consiguiente, no
nos resulta posible remitirles la información solicitada?.
No obstante, el 18/04/2022 la Agencia dirigió al reclamado un segundo
requerimiento, solicitando información del número de teléfono ***TELEFONO.1 y en su
respuesta, esta vez sí revelaba que ?el número de teléfono que nos facilitan obra en
nuestro sistema asociado al contrato de préstamo nº ***REF.2 formalizado con
***EMPRESA.1 con CIF?, el 04/11/2015 y finalizado el 05/11/2021?.
Hay que recordar, como se recoge en los hechos probados, que el 25/08/2020
el mismo reclamante dirigió escrito al reclamado comunicándole el hostigamiento que
venía sufriendo en su línea de telefonía móvil intimándole al pago de una deuda
proveniente de la financiación de un vehículo y que en caso de no abonarla
amenazaba con ser incluido en ficheros de solvencia patrimonial, comúnmente
llamados de morosidad; financiación que manifestaba desconocer indicando ?Que,
desde el pasado 22 de julio del corriente ? viene siendo hostigado por la mercantil,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/17
que por la presente nos dirigimos, mediante llamadas y envío de sms a la línea de
teléfono asociada al número ***TELEFONO.1 , solicitando la cancelación de sus datos
y la respuesta fue que ?con los datos facilitados no aparece ninguna persona como
cliente de esta entidad?.
Una de las principales novedades y concepto principal que presenta el RGPD,
es el principio de responsabilidad proactiva. Este principio se define como la necesidad
de que el responsable del tratamiento de datos aplique medidas técnicas y
organizativas apropiadas a fin de garantizar y demostrar que el tratamiento de datos
personales es conforme con el Reglamento. Es decir, no basta con cumplir con la
normativa de protección de datos, también hay que poder demostrar que se está
cumpliendo con la normativa.
Este principio viene recogido en el artículo 5.2 del RGPD, que establece:
?2. El responsable del tratamiento será responsable del cumplimiento de lo
dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)?.
Este principio exige por tanto una actitud consciente y diligente frente a todos
los tratamientos de datos personales que se lleven a cabo, actitud que no ha existido
en el presente caso puesto que ante el escrito remitido por el reclamante el 25/08/2020
el reclamante debió de actuar con mayor diligencia y proactividad a fin de preservar
sus derechos en el tratamiento de sus datos de carácter personal y su legitimación,
todo lo contrario de lo ocurrido el 18/04/2022 cuando la AEPD le remitió su segundo
requerimiento, solicitando información relativa al número de teléfono ***TELEFONO.1
perteneciente al reclamante.
Y que ante dichas actuaciones el reclamado había procedido al borrado del
número de teléfono del reclamante antes de contestar al requerimiento, medida está
que debió llevarse a cabo a la luz del escrito del reclamante, verificando y
comprobando que el mismo no era cliente de la entidad y que no podía pertenecer a
***EMPRESA.1, y desde ese mismo momento los datos de carácter personal del
reclamante no debieron ser objeto de tratamiento al no estar el reclamado legitimado
para ello, por no tener ni el consentimiento ni la autorización para ello.
4. En el escrito de 25/08/2020 por el cual el reclamante informaba al reclamado
del acoso al que estaba siendo sometido en su línea móvil ***TELEFONO.1 como
consecuencia de una deuda vinculada a la financiación de un vehículo que desconocía
tener, solicitó la cancelación de sus datos personales ejercitando el derecho de
suspensión ante el responsable y concretaba su solicitud señalando que:
?- SE ABSTENGAN de continuar requiriendo pago alguno.
- PROCEDAN A CANCELAR los datos de carácter personal de nuestro socio
de su base interna.
- PROCEDAN A CANCELAR o abstenerse de incluir los datos de carácter
personal de nuestro socio de todos los ficheros de solvencia patrimonial pues los
mismos no responden a una deuda cierta, vencida ni mucho menos exigible??
De conformidad con lo señalado en el artículo 17 del RGPD, la reclamante
tenía derecho a obtener sin dilación indebida la supresión de sus datos por parte del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/17
reclamado, máxime cuando dichos datos estaban siendo tratados ilegítimamente y
exponiendo al reclamante a una situación injusta e infundada.
Por tanto, con los datos trasladados por el afectado en su solicitud el
reclamado debió proceder con una mayor responsabilidad habida cuenta de lo que el
reclamante estaba soportando y darse cuenta de que los mensajes y llamadas se
estaban realizando a quien no estaba obligado a padecerlo pues no mantenía relación
contractual alguna con la entidad y no limitarse a responder ?que con los datos
facilitados no aparece ninguna persona como cliente de esta Entidad?, pues con esos
mismos datos la respuesta fue la contraria a requerimiento de la AEPD de 18/04/2022.
De acuerdo con las manifestaciones del reclamado el citado número de
teléfono fue facilitado directamente por el apoderado de la persona jurídica titular del
contrato de préstamo, a través de su Espacio Cliente, en el transcurso de la relación
comercial el 17/07/2020; dicho espacio está disponible en la web del reclamado para
que sus clientes puedan realizar determinadas gestiones y consultas sobre los
contratos que mantienen vigentes con la Entidad.
En este caso, el cliente del contrato de préstamo anteriormente referido
modificó a través de esta funcionalidad, el dato de teléfono preexistente (segundo
teléfono de contacto), introduciendo el número ***TELEFONO.1.
Asimismo, el reclamado ha manifestado que no tenía constancia de que el
titular de la línea telefónica se hubiera puesto en contacto con la entidad por ningún
medio a fin de poner de manifiesto la situación sufrida o haya presentado reclamación
alguna.
No obstante, tal manifestación debe decaer y no puede ser admitida, a la luz de
la documentación aportada; baste señalar el escrito del reclamante y la respuesta
ofrecida al mismo de fecha 09/09/2020 citada anteriormente que evidencia todo lo
contrario.
5. En cuanto a la ausencia de culpabilidad alegada por el reclamado hay que
señalar que el principio de culpabilidad es exigido en el procedimiento sancionador y
así la STC 246/1991 considera inadmisible en el ámbito del Derecho administrativo
sancionador una responsabilidad sin culpa.
El Tribunal Supremo (STS 16 de abril de 1991 y STS 22 de abril de 1991)
considera que del elemento culpabilista se desprende ?que la acción u omisión,
calificada de infracción sancionable administrativamente, ha de ser, en todo caso,
imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable?. El
mismo Tribunal razona que ?no basta...para la exculpación frente a un comportamiento
típicamente antijurídico la invocación de la ausencia de culpa? sino que es preciso
?que se ha empleado la diligencia que era exigible por quien aduce su inexistencia.?
(STS 23 de enero de 1998).
En esa doctrina abunda luego la STC (Sala Segunda) 129/2003, de 30 de junio
de 2003, que, citando la anterior STC 246/1991, señala en su F.J. 8: (...) la admisión
en nuestro Derecho administrativo sancionador de la responsabilidad directa de las
personas jurídicas, reconociéndoles así capacidad infractora, conlleva que la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/17
responsabilidad se configure sobre la capacidad de infracción y la responsabilidad,
?que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de
que dicha protección sea realmente eficaz ... y por el riesgo que, en consecuencia,
debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma»
( STC 246/1991 , FJ 2). En el presente caso, habiendo existido actividad probatoria de
cargo sobre los hechos que se le imputaban a la mercantil ahora recurrente, era a ella
a quien competía proporcionar a los órganos administrativos que han intervenido en la
sustanciación del expediente un principio de prueba, por mínimo que fuera, que
permitiera hacerles pensar que la infracción de la norma no le era reprochable (...)?.
Por tanto, la entidad ha adolecido de grave falta de diligencia como lo
demuestra que sus procedimientos internos o bien protocolos de actuación fueron
ineficaces y no fueron capaces de detectar que los datos aportados por el reclamante
y la AEPD, especialmente su número de teléfono, no eran titularidad del verdadero
deudor, ***EMPRESA.1, con quien se había concertado un contrato de préstamo y
que los avisos de impago continuaran remitiéndose a su móvil intimándole a pagar una
deuda que no le correspondía.
Y en lo que respecta a la buena fé alegada hay que señalar que la Audiencia
Nacional en sus sentencias, entre otras la de 24/05/02 ha señalado que ?la buena fe
en el actuar, para justificar la ausencia de culpa ?como se hace en el presente caso-;
basta con decir que esa alegación queda enervada cuando existe un deber específico
de vigilancia derivado de la profesionalidad del infractor. En esta línea tradicional de
reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la
alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y
diligencia derivados de su condición de profesional?.
Por último, alega el reclamado error en la tipificación jurídica ya que no es
cierto que haya habido ausencia de respuesta al ejercicio del derecho de supresión del
interesado y que cuando se comunicó por la AEPD el número de móvil del reclamante
fue desvinculado de ***EMPRESA.1, y que tal proceder debería ser calificado como
leve por lo que la infracción estaría prescrita.
En primer lugar, en ningún lugar se afirma como dice el reclamado que hubiera
ausencia de respuesta puesto que en los propios hechos probados se recoge la
respuesta ofrecida al reclamante y al inspector actuante por el reclamado; lo que se
afirma es que el derecho no fue atendido porque el tratamiento continuó a pesar de los
escritos remitidos (lo que debería haber propiciado como mínimo el cese del
tratamiento), como lo evidencia que siguieran intimando al reclamante con reiterados
sms y advertencias de que en caso de impago seria incluido en ficheros de morosidad.
En segundo lugar, tampoco es cierto como manifiesta el reclamado que hasta
que el inspector actuante no comunicó el número de móvil del reclamante fue cuando
se descubrió la vinculación del dato con el tercero, ***EMPRESA.1, puesto que el
reclamante (su representante) ya lo había comunicado en escrito de 25/08/2020.
Por tanto, tuvieron que ser necesarios hasta tres intentos, a través sendos
escritos para que el reclamado dejara de tratar los datos del reclamante, se diera
cuenta de que éste no era el deudor y desprendiera la vinculación que asociaba el
número del móvil como perteneciente al verdadero deudor y cliente de la mercantil.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/17
De lo que antecede se deduce que el derecho de supresión ejercitado por el
reclamante no fue atendido lo que implica en cierto modo su obstrucción, su
impedimento, la no atención reiterada al ejercicio del mismo, considerando que tal
proceder supone la vulneración del artículo 17 del RGPD, infracción que se encuentra
tipificada en artículo 83.5. b) del RGPD.
IV
La infracción del artículo 17 del RGPD se encuentra tipificada en el artículo
83.5.b) del citado RGPD en los siguientes términos:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
(?)
b) los derechos de los interesados a tenor de los artículos 12 a 22;
(?)?
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
Y en su artículo 72, a efectos de prescripción, califica de ?Infracciones
consideradas muy graves?:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
(?)
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio
de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679.
(?)?
V
A fin de establecer la multa administrativa que procede imponer han de
observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que
señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/17
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción?.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su
artículo 76, ?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/17
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier
interesado.?
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción de multa a imponer en el presente caso por la infracción del artículo 17 del
RGPD tipificada en el artículo 83.5 del citado Reglamento de la que se responsabiliza
al reclamado, en una valoración inicial, se estiman se estiman concurrentes los
siguientes factores:
Como circunstancias agravantes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate; no hay
que olvidar que nos encontramos ante la infracción de un derecho del interesado,
derecho de supresión, que no ha sido atendido por la entidad, lo que ha supuesto que
el reclamante fuera intimado a el pago de una deuda que no le correspondía
provocándole perjuicios con el intento de hacerle acreedor de una deuda que no le
correspondía y el intento, producido el impago, de incluirlo en ficheros llamados
comúnmente de morosidad; además, la operación de tratamiento ha supuesto que sus
datos de carácter personal fueran objeto de tratamiento sin legitimidad alguna al no
evidenciarse base legal alguna para su tratamiento.
Además, los datos personales del reclamante han sido objeto de tratamiento
por el reclamado, sin que figure que es o haya sido cliente de la entidad (artículo 83.2.
a) del RGPD).
- Aunque si bien no es posible sostener que la entidad haya actuado
intencionadamente o con dolo, no cabe duda de que ha incurrido en una grave falta de
diligencia al no atender el derecho ejercitado como lo acredita que continuara y
persistiera en su tratamiento como lo evidencian los mensajes emitidos con
posterioridad al ejercicio del derecho (artículo 83.2. b) del RGPD).
- El carácter continuado de la infracción, puesto que el reclamado ha estado
tratando los datos de carácter personal del reclamante hasta el 19/04/2021; desde que
le fue remitido el escrito de reclamación, solicitando la supresión los datos del
reclamante debieron dejar de ser tratados sin dilación alguna (artículo 76.2.a) de la
LOPDGDD en relación con el artículo 83.2.k).
- La actividad de la entidad presuntamente infractora está vinculada con el
tratamiento de datos tanto de clientes como de terceros. En la actividad de la entidad
reclamada es imprescindible el tratamiento de datos de carácter personal de sus
clientes como de terceros por lo que, dado el volumen de negocio de la misma la
transcendencia de la conducta objeto de la presente reclamación es innegable
(artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k).
Como circunstancias atenuantes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/17
- El número de personas afectadas pues solo consta que lo haya sido el
reclamante.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a RCI BANQUE, S.A. SUCURSAL EN ESPAÑA, con NIF
W0014596A, por una infracción del artículo 17 del RGPD, tipificada en el artículo 83.5
del RGPD, una multa de 20.000 ? (veinte mil euros).
SEGUNDO: NOTIFICAR la presente resolución a RCI BANQUE, S.A. SUCURSAL EN
ESPAÑA.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000, abierta a nombre de la
Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A..
En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/17
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es