Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00371-2016 de 28 de junio de 2017
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 152 min
Órgano: Agencia Española de Protección de Datos
Fecha: 28/06/2017
Num. Resolución: PS-00371-2016
Cuestión
Sector:1 / 46
Procedimiento Nº PS/00371/2016
RESOLUCIÓN: R/00596/2017
En el procedimiento sancionador PS/00371/2016, instruido por la Agencia Española de
Protección de Datos a la entidad ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA
(ATI) , vista la denuncia presentada por Don A....
Contestacion
1/46
Procedimiento Nº PS/00371/2016
RESOLUCIÓN: R/00596/2017
En el procedimiento sancionador PS/00371/2016, instruido por la Agencia Española de
Protección de Datos a la entidad ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA
(ATI), vista la denuncia presentada por Don A.A.A., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 20 de enero de 2016 tiene entrada en esta Agencia un escrito
de Don A.A.A., en adelante el denunciante, en el que manifiesta que:
1. Es socio de la ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA, en adelante ATI,
desde 1996. ATI proporciona una serie de servicios informáticos de los que no ha
tenido queja hasta el año 2015.
A lo largo de ese periodo fue aceptando los términos y condiciones de servicio que
le permitieron, entre otras cosas, utilizar las cuentas de correo .....@ati.es e ....1@.
2. A lo largo de 2015 comprueba que la privacidad de los socios está siendo invadida
por el servicio denominado MailChimp prestado en años recientes sin que sus
condiciones hayan sido sometidas a su aprobación.
3. MailChimp es un servicio de gestión de envíos masivos de correo electrónico
prestado por la sociedad The Rocket Science Group, con sede en los Estados
Unidos de América.
4. El servicio MailChimp establece un identificador único para cada uno de los
destinatarios de los correos y, mediante el uso de web beacons y alterando los
enlaces incluidos en los correos, permite a ATI conocer qué destinatarios han abierto
qué correos y cuando, y lo mismo en relación con los enlaces incluidos en dichos
correos: quién ha seguido qué enlaces y cuando.
Esta capacidad de seguimiento es reconocida por el prestador del servicio, tanto en
sus términos y condiciones de uso como en su política de privacidad.
Los socios de ATI llevan más de un año recibiendo un promedio de tres mensajes
mensuales.
5. Para que los socios de ATI reciban los envíos del servicio MailChimp, es evidente
que ATI ha tenido que suministrar al servicio la relación completa de las direcciones
de correo electrónico de sus socios, lo que es una transferencia internacional de
datos personales fuera de la Unión Europea que no se ha consultado ni sometido a
la aprobación de los socios.
6. ATI cede los datos personales de sus socios a MailChimp para que haga de
intermediario en las comunicaciones con los socios meses después de la
invalidación del acuerdo de ?Puerto Seguro? (Safe Harbor) por el Tribunal de
Justicia de la Unión Europea (TJUE).
Según el denunciante, ?la prestación continuada del servicio desde Estados Unidos
en pleno 2016 es una infracción indefendible?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/46
El escrito de denuncia aporta copia de mensajes enviados desde la dirección
....2@atinet.es (con cabecera completa y código fuente) recibidos por el denunciante y
por otros socios de ATI que se los enviaron a petición propia.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, los
Servicios de Inspección de esta Agencia han tenido conocimiento de los siguientes
extremos:
Sobre MailChimp y su capacidad de seguimiento
1. El servicio MailChimp, según está definido en las condiciones de uso de su propio
sitio web http:// mailchimp.com/legal..... , es un servicio de correo electrónico que
permite crear, enviar y gestionar boletines de correo electrónico a destinatarios
individuales.
El servicio es prestado por The Rocket Science Group LLC, en adelante TRS, una
sociedad de responsabilidad limitada con sede en el estado de Georgia, en los
Estados Unidos de América.
2. Las condiciones de uso del servicio MailChimp establecen que:
2.1. El prestador del servicio podrá ver, copiar y distribuir internamente contenido de
los correos electrónicos de sus clientes para crear algoritmos y programas que
les ayuden a detectar problemas con las cuentas de usuario (Punto 16 de las
condiciones de uso).
2.2. El cliente es responsable de determinar si MailChimp es un servicio adecuado
para su uso teniendo en cuenta cualquier regulación, entre la cuales se citan las
leyes de privacidad de datos de la Unión Europea (Punto 20 de las condiciones de
uso.).
Si el cliente está ubicado en el Espacio Económico Europeo o hace envíos a
alguien ubicado en él, el cliente garantiza que:
? Obtendrá el consentimiento expreso para transmitir datos a MailChimp y que
éstos sean tratados, y que cumplirá en caso contrario con cualquier otra
política de privacidad que usted haya publicado.
? Ha firmado nuestro acuerdo de tratamiento de datos
(http:// mailchimp.com..................... ).
TRS proporciona un modelo de contrato para el tratamiento de datos en
cumplimiento con las cláusulas contractuales estándar.
3. La política de privacidad del servicio, accesible únicamente en lengua inglesa en
http://mailchimp.com.....................1, con fecha 8 de marzo de 2016 establecía que:
3.1. Cuando el cliente utiliza MailChimp TRS está proporcionando información que la
entidad recoge. La información recogida, tanto del cliente y como de sus
suscriptores al boletín, puede incluir la dirección IP, nombre, dirección física,
dirección de correo electrónico, número de teléfono, y otros datos cuya lista
completa se encuentra en el punto 5.1 de la política de privacidad.
3.2. Cuando el cliente usa MailChimp, TRS puede almacenar cookies, etiquetas o
scripts (cadenas de código), en su ordenador. TRS y sus proveedores de
servicios de analítica web (como Google) usan esas cookies para recoger
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/46
información de su visita y su uso de nuestro sitio y nuestros servicios (Punto 5.4
de la política de privacidad.
3.3. Cuando TRS envía correos electrónicos a sus clientes o a los suscriptores de
sus clientes incluye pixel gifs, también llamados web beacons, (Punto 5.5 de la
política de privacidad), que les permiten recoger información sobre el
comportamiento de los destinatarios y saber, por ejemplo, quién y cuándo ha
abierto los correos, quién ha hecho click sobre los enlaces, su dirección IP, tipo
de navegador y detalles similares.
Hacen ese seguimiento con la finalidad de medir la efectividad de sus
campañas de correo electrónico y mejorar las características del servicio para
segmentos específicos de clientes.
3.4. TRS puede obtener más información de sus clientes y suscriptores como
nombre, edad y uso de redes sociales realizando búsquedas en Internet o
consultando con terceras partes. (Punto 5.6 de la política de privacidad)
La finalidad de esta información complementaria es elaborar características
como Perfiles Sociales, una herramienta que ayuda al cliente a aprender sobre
sus suscriptores y enviarles contenido más relevante.
3.5. Como parte de sus servicios, TRS puede usar e incorporar a sus características
información agregada de la proporcionada por el usuario o recogida por TRS de
los suscriptores del usuario. TRS puede compartir esa información agregada,
incluyendo la dirección de correo electrónico de los suscriptores, con terceras
partes tal y como se indica en la sección 6 (Punto 5.6 de la política de
privacidad).
3.6. Anteriormente MailChimp certificó su cumplimiento del acuerdo de ?Puerto
Seguro?. Como consecuencia de la Sentencia de 6 de octubre de 2015 del
Tribunal de Justicia de la Unión Europea (C-362/14) los usuarios ubicados en
Europa y Suiza deben de solicitar el acuerdo de tratamiento de datos que
incorpora las cláusulas contractuales estándar.
4. En el sitio web del servicio MailChimp existen páginas y documentos en inglés
(http:// kb.mailchimp.com.....................2 ) y en español
(http://kb. mailchimp.com.....................2 , http://kb. mailchimp.com.....................3 ) que
describen las capacidades de seguimiento del servicio, su configuración y los
informes elaborados. (folios 373 al
A los efectos de no ser reiterativos se remite al Hecho Probado nº 8 en el que se
recoge parte de la información proporcionada en dichos sitios sobre el
funcionamiento del seguimiento de las aperturas de los correos y el seguimiento
de los clicks en los enlaces.
En uno de los ejemplos se muestran las aperturas de un correo y los clicks
realizados en los enlaces de un suscriptor individual para un envío concreto. (folio
377)
Sobre el tratamiento de los datos realizados por ATI
5. Constan un total de 9 ficheros inscritos en el Registro General de Protección de
Datos en los que ATI figura como responsable. El fichero de ?ASOCIADOS?, inscrito
en el año 2011 tiene como finalidad declarada la ?GESTION DE LOS ASOCIADOS:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/46
FACTURACION, PRESTACION DE LOS SERVICIOS DE FORMACION,
ASESORAMIENTO PROFESIONAL, ENVIO DE PUIBLICACIONES,
ASESORAMIENTO LABORAL, ENVIO DE OFERTAS Y PROMOCIONES
RELACIONADOS CON EL SECTOR DE LA INFORMATICA.?
6. Los destinatarios de los correos electrónicos remitidos utilizando el servicio
MailChimp son socios de ATI o ?amigos? de ATI, personas que son invitadas a
formar parte de la asociación durante un año sin necesidad de pagar la cuota de
socio.
Cualquier persona con titulación de informática o con una experiencia acreditada en
el ejercicio de la profesión puede ser socio de la ATI. No es necesario que los socios
ejerzan como profesionales liberales o autónomos.
Consultado el fichero de socios de ATI a 12 de abril de 2012, constan 1.796 socios.
7. El usuario de ATI del servicio MailChimp disponía de una lista de destinatarios
denominada ?Socios ATI? y de otra denominada ?Amigos ATI? sobre las que recibía
informes de estado periódicamente.
El informe de 7 de marzo de 2016 informa de que la lista ?Socios ATI? tiene un total
de 3.118 destinatarios.
El informe de 6 de abril de 2016 informa de que la lista ?Amigos ATI? tiene un total
de 1.463 destinatarios.
8. De los correos aportados por el denunciante y de los obtenidos durante la inspección
realizada en la sede de ATI, se observa que entre las direcciones de correo
electrónico destinatarias figuran tanto direcciones del dominio ati.es como de otros
distintos.
Se incluyen a continuación ejemplos de direcciones de correo destinatarias que
podrían ser consideradas como dato de carácter personal:
? .....@gmail.com
? .....@.....edu
? .....@.ati.es
9. Los días 8 de marzo y 13 de junio de 2016 se accede al sitio web www. ati.es de ATI
en el que se constata que:
9.1. En el pie de la página principal existe un enlace a una ?Nota legal? y a la
?información sobre las cookies de ATI?.
9.2. Existe un formulario para darse de alta como socio a través del cual se recaban
datos de carácter personal de los usuarios, reseñándose en los Hechos
Probados números 20) y 21) la información que se da por reproducida en
este punto a fin de no resultar reiterativos, la cual fue puesta de manifiesto en el
acuerdo de inicio del presente procedimiento sancionador.
9.3. En la ?Nota legal? del sitio web se ofrecía información relativa al ?Tratamiento
de los datos de carácter personal?, cuyo contenido fue incluido en el acuerdo
de inicio del presente procedimiento sancionador y aparece transcrito en el
Hecho Probado número 22) se da también por reproducido a efectos de no
ser reiterativos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/46
9.4. En la página de contacto del sitio web figuran los datos de la sede general, que
se encuentra en Barcelona y de las sedes de otros capítulos de ATI en otras
ciudades en distintas regiones de España.
10. No se ha localizado en el sitio web ninguna información relativa a la capacidad de
seguimiento del servicio MailChimp.
11. En el apartado relativo a ?Cookies que usamos? del documento de ?Política de
Cookies de ATI? al que se accede desde el enlace ?Información sobre las cookies
de ATI? se informa sobre el uso de cookies de Google Analytics, en los términos
que aparecen en el Hecho Probado número 24).
Consultados durante la inspección realizada a ATI, sus representantes manifestaron
que no les constaba que se hubiese informado u obtenido el consentimiento de los
destinatarios de los correos electrónicos en relación con la capacidad de
seguimiento del servicio MailChimp.
Sobre los correos electrónicos enviados por la ATI
12. El denunciante aporta inicialmente copia en papel del código fuente y cabeceras
completas de 14 correos electrónicos remitidos por ATI:
? Los recibidos el 26 de junio y el 1 de julio de 2015 por él mismo y otros cuatro
socios de ATI (sus correos y los reenvíos realizados por los socios a su cuenta).
? Cuatro correos electrónicos recibidos entre el 23 de diciembre de 2015 y el 11
enero de 2016 por el denunciante
A solicitud del Subinspector actuante, el denunciante aporta copia digital de un total
de 22 correos electrónicos, los 14 descritos en el párrafo precedente, otros 7
recibidos en octubre y noviembre de 2015 y un último recibido el 11 de enero de
2016.
13. En los 14 correos recibidos por el denunciante y en los 2 reenviados por otro de los
socios consta que éstos fueron enviados por distintas cuentas de dominios del
servicio MailChimp en nombre de ....2@atinet.es.
El envío ?en nombre de? implica que si bien es el usuario, en este caso ATI, quien
decide el contenido y los destinatarios, los envíos se hacen a través de cuentas y
servidores del servicio MailChimp gestionados por el prestador del servicio,
circunstancia cuya relevancia se explica posteriormente en el apartado del ?Sobre la
capacidad de seguimiento ofrecida por MailChimp?
14. Durante la inspección realizada el 12 de abril de 2016 se constata que:
a. El servicio MailChimp se ha utilizado entre el 14 de junio de 2014 y el 4 de abril
de 2016.
b. En dicho periodo constan mensajes de confirmación del envío de 108 campañas,
que es como se denomina cada uno de los envíos a grupos de destinatarios.
c. Constan registros del envío de campañas utilizando la lista de ?Socios ATI? los
días 11 de enero y 8 y 29 de marzo de 2016, con 3.315, 696 y 696 destinatarios
respectivamente.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/46
Sobre el seguimiento realizado
15. Tal y como explica TRS, para poder ofrecer informes de seguimiento de los envíos
que realizan sus clientes, el servicio MailChimp incluye web beacons y altera los
enlaces incluidos en los correos.
Este es un ejemplo de web beacon incluido en un correo recibido por el denunciante
el 8 de enero de 2016:
u=*****1c=*****2
id=*****3
e=*****4 >
Un ejemplo de uno de los enlaces modificados de ese mismo correo es el que sigue:
Se han separado los parámetros de la URL en líneas diferentes para hacer más
sencilla su identificación.
Si bien TRS no da información sobre el uso que da a cada uno de los tres valores,
tras tener en cuenta las explicaciones ofrecidas por el denunciante y analizar los
correos electrónicos aportados, la conclusión es que el parámetro ?u? identifica al
usuario remitente, el parámetro ?id? identifica el recurso accedido (imagen del web
beacon o enlace concreto) y el parámetro ?e? identifica al destinatario que realiza la
acción (abrir el correo o pulsar el enlace).
16. Se ha constatado el uso de dispositivos de seguimiento de la apertura de correos
(web beacons) y de pulsación de enlaces en los 22 correos electrónicos aportados
por el denunciante, que fueron recibidos entre el 1 de julio de 2015 y el 11 de enero
de 2016.
17. Durante la inspección realizada se solicitó el reenvío de dos correos electrónicos
enviados por ATI los días 11 de enero y 29 de marzo de 2016 a la cuenta del
Subinspector actuante.
Analizados los correos recibidos se observa que si bien estos correos no contienen
dispositivos de seguimiento de la apertura de correos (web beacons) ambos
contienen dispositivos de seguimiento de pulsación de enlaces.
Conforme consta en el documento 5 del acta de inspección E/00817/2016/I-1, el
correo electrónico enviado el 11 de enero de 2016 a las 9:27 tenía 3.315
destinatarios y el correo electrónico enviado 29 de marzo de 2016 a las 14:00 tenía
696 destinatarios.
18. Los representantes de ATI consideran que no se han hallado trazas de que la ATI
haya hecho uso de las capacidades de seguimiento del servicio MailChimp.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/46
19. En la cuenta de correo utilizada para gestionar los servicios de MailChimp se
localizaron 108 correos que, además de informar del lanzamiento de las campañas,
disponían de un botón ?View report? (Ver informe) que permitía acceder al informe de
seguimiento de la campaña.
Durante la inspección practicada en las instalaciones de la Asociación en Barcelona
el día el 12 de abril de 2016, no se pudo acceder a los informes de las campañas
por los motivos que se describen más adelante.
Sobre la conducta mostrada por ATI respecto de la labor inspectora
20. La ATI dispone de una sede central y de varios capítulos repartidos por la geografía
española. Dado que los socios y los integrantes de la estructura de la ATI son
profesionales de la informática que podían tener encargada la gestión del boletín, se
remitió el 30 de marzo de 2016 un correo electrónico a la dirección ....2@ati.es que
constaba en la página web de ATI.
En el correo electrónico se les avisaba de que el 5 de abril se celebraría una
inspección a la entidad y el tema objeto de la inspección (el servicio de correo
electrónico). En el correo se les solicitaba que identificase la sede en la que se
podría celebrar la inspección.
21. El mismo día 30 de marzo de 2016 el abogado de ATI contesta que la inspección
se celebrará en la sede central de Barcelona, a la par que solicita un cambio de
fecha debido a que no puede asistir el día 5 de abril, causa por la que desde la
Inspección de Datos se acuerda realizar la inspección el 12 de abril de 2016.
22. Durante la inspección realizada ese día, los representantes de ATI manifiestan
inicialmente que el servicio de correo electrónico que utilizan ya no es Mailchimp y
que se cambió por Mailman aproximadamente en octubre de 2015.
23. Durante las comprobaciones realizadas durante la inspección se constata que TRS
envía facturas por el servicio MailCMailChimphimp a ATI hasta el 14 de marzo de
2016.
24. Al tratar de acceder al servicio para realizar comprobaciones sobre el seguimiento y
los datos de los suscriptores el sistema deniega el acceso, momento en que se
comprueba que en los correos recibidos por ATI consta que el servicio se ha
suspendido el 4 de abril de 2016.
25. La suspensión del servicio se produce 5 días después de que ATI tenga
conocimiento de que por la AEPD se va a realizar una inspección que versa sobre
sus servicios de correo electrónico, impidiendo con ello la comprobación de
aspectos relevantes para la investigación en su cuenta de usuario de MailChimp.
Sobre la transferencia internacional de datos
26. Los representantes de ATI manifiestan que mediante la herramienta dispuesta por
Mailchimp al efecto se importaron las direcciones de correo electrónico de los
destinatarios de los correos de la ATI y que, aunque el sistema permitía incluir
muchos más datos, ese fue el único dato que fue incluido.
27. TRS tiene su sede en los Estados Unidos de América. Esta entidad debido a la
Sentencia de 6 de octubre de 2015 del Tribunal de Justicia de la Unión Europea (C-
362/14), - que invalidó la Decisión de la Comisión 2000/520/CE que establecía el
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/46
nivel adecuado de protección de las garantías para las transferencias internaciones
de datos a EEUU ofrecidas por el acuerdo de ?Puerto Seguro? publicado por su
Departamento de Estado-, proporciona un modelo de contrato para el tratamiento de
datos en cumplimiento con las cláusulas contractuales estándar que los usuarios
ubicados en Europa deberían de firmar.
Desde la Inspección de Datos se accede el día 8 de marzo de 2016 al modelo de
contrato publicado en la web de TRS, aunque posteriormente se comprueba en el
?archive.org?, sitio web que guarda copias estáticas de páginas web con las fechas
en las que fueron tomadas, que desde, al menos el 7 de noviembre de 2015, ya
existía un modelo de contrato de ese tipo.
28. Los representantes de ATI manifiestan que no recuerdan haber recibido ningún tipo
de comunicación del prestador del servicio MailChimp en relación con contratos a
firmar debido a la invalidación del acuerdo de ?Puerto seguro? y no han acreditado la
firma de este nuevo modelo de contrato con TRS.
TERCERO: Con fecha 26 de septiembre de 2016, la Directora de la Agencia Española
de Protección de Datos acordó iniciar, procedimiento sancionador a la ASOCIACIÓN
DE TÉCNICOS DE INFORMÁTICA (en adelante ATI), por la presunta infracción del
artículo 33 de la de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los
Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como muy grave en el
artículo 44.4.d) de la citada Ley Orgánica, así como por la presunta infracción del
artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la
Información y Comercio Electrónico (en lo sucesivo LSSI), LSSI, tipificada como leve en
el artículo 38.4 g) de la citada Ley.
CUARTO: Notificado el acuerdo de inicio, la representación legal de ATI formula escrito
de alegaciones en el que, además de solicitar vista y copia del expediente, aduce los
argumentos que, en síntesis, se citan a continuación:
- El tratamiento del dato del correo electrónico de los
asociados es un dato profesional al que no le resulta de
aplicación la normativa de protección de datos. ATI es una
asociación profesional de técnicos en informática, cuyo
objeto social es la representación de la industria del sector
informático, actuando, por ello, a nivel nacional e internacional
como representante de los intereses y proyectos de los
industriales, profesionales y comerciantes de la informática.
La pertenencia a la Asociación no puede interpretarse en
ningún momento como actividad privada, siendo la asunción
de esa imagen de profesional, industrial o comercial del
sector que presta sus servicios a cambio de retribución la
causa por la que el denunciante solicitó un correo del dominio
@ati.es, que es el que aparece en su cuenta de Linked-in.
Subsidiariamente, para ATI, dicho correo es el dato de
contacto profesional elegido para identificarse como tal
ante la Asociación, afirmando que ?El correo forma parte del
contacto de la empresa y como empresario?. A la vista de lo
cual, se concluye que con arreglo al criterio manifestado
por la AEPD en diversos informes jurídicos, cuyas fechas no
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/46
se citan, y resoluciones, cuyos números de procedimiento no
se indican, el presunto envío por una Asociación profesional
como ATI de una lista de emails de asociados por
MailChimp no supone un tratamiento de datos de carácter
personal, resultando de aplicación a este supuesto lo
dispuesto en el artículo 2.3 del Reglamento de desarrollo de
la - En cuanto a la línea temporal de la presunta infracción a la
LOPD, se señala que hasta el 6 de octubre de 2015 la
cesión de dichos emails estaba cubierta por el acuerdo de
?Puerto Seguro?, cuya invalidación con esa misma fecha en
virtud de Sentencia del TJUE, provocó que la AEPD
estableciera un periodo de contacto con las empresas para
solventar el problema que afectaba a la legalidad de la
práctica totalidad de las transferencias internacionales de
datos que se estaban realizando a EEUU, remitiéndose ATI
a una comunicación publicada en la web de la Agencia
sobre la aplicación de la sentencia de ?Puerto Seguro? en la
que, según la denunciada, se establecía hasta el 29 de
enero de 2016 un periodo de adaptación. El 2 de febrero
de 2016 la Unión Europea anuncia el acuerdo de ?Privacy
Shield?, que viene a sustituir al acuerdo de ?Puerto Seguro?,
lo que también publicita la propia Agencia, que en nota de
prensa de fecha 29 de febrero de 2016 vuelve a
pronunciarse sobre adaptaciones progresivas a la nueva
regulación y al nuevo Reglamento. En resumen, ATI alega
que ?aún se está poniendo en marcha el Privacy Shield?,
homologándose las empresas y después publicándose.?. A
la vista de lo cual, defiende que únicamente las
comunicaciones que hayan podido ser enviadas entre el 30
de enero y el 2 de febrero de 2016 resultarían objeto de
reproche administrativo, siempre que resultase probado
su envío en el procedimiento sancionador. ATI añade que
por la teoría de los actos propios de la propia Agencia
quedaría desmontada la apertura del expediente
sancionador.
- Primacía del Derecho Comunitario frente al derecho
nacional. Se alega que con la entrada en vigor del
Reglamento Europeo de Protección de Datos la normativa
nacional ha quedado obsoleta y ?Contra legem?. Si bien la
AEPD es la autoridad de control competente, porque así lo
recoge el Reglamento (UE) del Parlamento Europeo y del
Consejo de 27 de abril de 2016, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento General
de Protección de Datos), en vigor desde el 28 de mayo de
2016, sin embargo, no lo es en aquellos términos que se
oponen frontalmente al mismo, como sería el antiguo
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/46
procedimiento sancionador. El nuevo procedimiento
sancionador, dispone unos topes y unos baremos
sancionatorios, como por ejemplo los referidos al 2 o 4% del
presupuesto. Debe valorarse ambos casos y aplicar el
principio ?in dubio pro reo?. Sugieren se proceda al reenvío
prejudicial al TJUE.
- Las dos imputaciones se establecen bajo la premisa de la
posibilidad de poder hacer perfiles por la utilización de un
programa, y con ellos dañar la privacidad de terceros, en
este caso los miembros asociados o profesionales conexos,
no obstante lo cual durante la inspección practicada por la
AEPD, en la que se tuvo acceso a todos los servidores e
información, no se localizó ningún perfil ni se comprobó
que se hubiesen utilizado esas características objeto de
reproche. Se afirma que con la sentencia de 6 de octubre
de 2015 no han desaparecido las medidas de control
validadas por el acuerdo de ?Puerto Seguro?, cuya
existencia ha comprobado la Inspección de la AEPD,
añadiendo que, en el caso del denunciante, todo su perfil
como empresario autónomo del mundo de la tecnología se
puede encontrar en Facebook y Linkedln.
- El Acta de inspección no acreditó que se utilizara
indebidamente el correo ni analizó la información enviada por
la Asociación, que es pública e idéntica para todos los
asociados, dando lugar a que en el acuerdo de inicio se
reflejasen las siguientes interpretaciones desviadas: 1) Se
da por supuesto que todos los correos son de carácter
personal, sin identificar ninguno que lo sea expresamente;
2) Se efectúan por parte del instructor calificaciones que
sólo pueden indicar tendenciosidad, tales como ?infracción
indefendible? en el hecho primero, punto nº 6; 3) De los tres
correos que pone como ejemplos de correo destinatario
(punto octavo) de carácter personal, el primero es el del
gerente de la Asociación que firma el Acta de Inspección
así como las alegaciones al acuerdo de inicio, quien
certifica que ese no es su correo personal. El segundo es el
correo corporativo de un socio (@ati.net) y el único que se
dispone. El tercero, es el oficial y profesional del antiguo
vicepresidente del Capítulo Gallego y miembro de diversos
grupos de trabajo de ATI, constando dicho email en su
propia cuenta de linked-In; 4) Respecto del punto 22
matizan que ?en momento alguno dijeron los representantes
de ATI que en octubre se había cambiado? sino que desde
octubre se está en un proceso de cambio debido a la
incompatibilidad de las importaciones... y que durante ese
proceso de cambio se habían usado los dos sistemas de
correo corporativo, al igual que se descartó desde un
principio el sistema de google, por efectivamente poco
seguro. Pero esa afirmación, que está en el acta, no casaría
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/46
con la tendenciosidad del redactado. ? 5) El El Instructor no
reseña que The Rocket Science Group, LLC, en adelante
THE ROCKET, propietaria de MailChimp, ya ha completado
los requisitos corporativos para entrar en la lista web de
?Privacy shied?.
QUINTO: Remitida a ATI con fecha 4 de noviembre de 2016 copia de la
documentación obrante en el procedimiento a esa misma fecha (folios 1 al 524), con
fecha 7 de noviembre de 2016 se inicia periodo de práctica de pruebas, según lo
dispuesto en el artículo 17.1 del Reglamento del procedimiento para el ejercicio de la
potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto,
acordándose dar por reproducidos a efectos probatorios la denuncia interpuesta por el
denunciante y su documentación, los documentos obtenidos y generados por los
Servicios de Inspección con motivo de las actuaciones previas de Inspección que
forman parte del expediente E/00817/2016, las alegaciones al acuerdo de inicio
PS/00371/2016 presentadas por ATI. Asimismo, dentro del período de práctica de
pruebas, con fecha 8 de noviembre de 2016, se acuerda incorporar al procedimiento a
efectos probatorios:
Impresión del resultado de la información obtenida el 7 de noviembre de 2016
en Internet en las páginas web:
- http://www.agpd.es/portalwebAGPD............1
- https://es.linkedin.com............2
- https://atigalicia.............3
- https://mailchimp.com.....................1 y https://mailchimp.com/legal....., junto
con la traducción al castellano de los documentos de ?Política de
privacidad? y ?Términos de uso? alojados en dichas páginas obtenida a
través de la opción ?Traducir al español?
- http://www.ati.es/, que incluye, entre otra información, la referida a ?Ser
socio de ATI?
Impresión del ?Formulario de inscripción? de ?Nuevo Socio? de la citada Asociación
obtenido a través de Internet al acceder con fecha 8 de noviembre de 2016 a la
página web https://www.ati.es/haztesocio/haztesocio.php.
Asimismo, se acuerda SOLICITAR a ATI contestación a los siguientes extremos:
5.1 Especificación de las medidas concretas adoptadas desde el 6 de octubre de
2015, fecha de la sentencia del Tribunal de Justicia de la Unión Europea invalidando
la Decisión 2000/520/CE de Puerto Seguro de la Comisión, hasta la finalización del
contrato suscrito por ATI con The Rocket Sciencie Group LLC, compañía con sede
en los Estados Unidos de América, para adecuar a lo dispuesto en el artículo 33 de
la LOPD las transferencias internacionales de datos de carácter personal realizadas
por esa Asociación a fin de hacer efectivo el servicio MailChimp contratado a esa
empresa.
5.2 Acreditación de que los afectados por dicho tratamiento, titulares de los
correos electrónicos comunicados por dicha Asociación al mencionado prestador de
servicios, dieron su consentimiento inequívoco a las transferencias internacionales de
datos necesarias para la realización del servicio una vez invalidado el acuerdo de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
12/46
?Puerto Seguro?. Se solicita justificación del medio empleado para obtener dicho
consentimiento inequívoco.
5.3 Remisión de copia del contrato suscrito por esa Asociación con THE ROCKET
a efectos de la prestación por ésta del servicio MailChimp y del contrato de rescisión o
terminación. En todo caso se justificará la fecha exacta de finalización del contrato del
citado servicio.
5.4 Envío de copia de la ?Política de Privacidad? y de los Términos de Uso? del
servicio MailChimp en las fechas de su contratación por esa Asociación.
5.5 Detalle de las fechas en que ATI remitió boletines a sus socios y/o
amigos utilizando el servicio MailMachimp, con expresión del asunto de los mismos
y número de envíos realizados por boletín o campaña.
5.6 Aportación de los formularios web de Alta de Socio utilizados por ATI durante
los años 2014, 2015 y 2016, así como de los términos de las condiciones de registro
vigentes en dichos años, especificándose las fechas de validez de los documentos
aportados. De forma particular, se solicita copia del documento de alta del denunciante
como socio, de los términos exactos de su registro y de las modificaciones posteriores
que le hayan sido comunicadas.
5.7 Justificación del procedimiento seguido por esa Asociación para facilitar a los
miembros individuales de ATI una cuenta de correo electrónico ?ATI.es?, con remisión
de las condiciones relativas a la prestación de ese servicio que estaban vigentes los
años 2014, 2015 y 2016, particularmente antes y después del 6 de octubre de 2015.
Se solicita remisión de la petición del denunciante y aceptación por éste de los
términos de uso de la cuenta de correo a la que esa entidad se refiere en sus
alegaciones al acuerdo de inicio del procedimiento.
También con fecha 8 de noviembre de 2016, se informa a ATI que, de
conformidad con lo previsto en los artículos 80.3 y 137.4 de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las administraciones Públicas y del Procedimiento
Administrativo Común, en adelante LRJ-PAC, y el artículo 17.2 del citado Reglamento
del procedimiento para el ejercicio de la potestad sancionadora, se desestima la
práctica de las prueba propuesta por esa Asociación, consistente en aportar al
procedimiento el discurso de toma de posesión de la actual Directora de la AEPD, por
considerar que su práctica resulta innecesaria al tratarse de una información asociada
a un acto institucional que no guarda relación directa con los hechos objeto del
procedimiento, no resultando, por tanto, relevante para la resolución del mismo y la
determinación de posibles responsabilidades.
Asimismo, se indica que la documentación aportada en lengua distinta al
castellano deberá ir acompañada de su traducción al castellano, ello a los efectos de
su constancia en el expediente, y de conformidad con lo previsto en el artículo 36.1 de
la LRJ-PAC, norma que resulta de aplicación al presente procedimiento de conformidad
con lo dispuesto en la Disposición transitoria tercera de la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas que
dispone respecto del régimen transitorio de los procedimientos que: ?a) A los
procedimientos ya iniciados antes de la entrada en vigor de la Ley no les será de
aplicación la misma, rigiéndose por la normativa anterior.?
Con fecha 10 de noviembre de 2016 se acuerda incorporar al procedimiento, a
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
13/46
efectos de pruebas, impresión de capturas del contenido del CD aportado por el
denunciante en su correo electrónico de fecha 22 de abril de 2016 durante las
actuaciones previas de inspección E/00817/2016, así como de los archivos
correspondientes a los correos electrónicos remitidos por el denunciante en su
escrito de denuncia con la modificación introducida por éste en el enlace incluido en los
mismos que permite acceder a un panel de preferencias individualizado, el cual se ha
sustituido por el texto ?[EDITADO PARA ELIMINAR ENLACE]?.
Con fecha 30 de noviembre de 2016 se acuerda incorporar al procedimiento a
efectos probatorios impresión de la siguiente documentación: Contenido de las
inscripciones de los ficheros titularidad de la Asociación de Técnicos de Informatica
que figuran en el Registro General de Protección de Datos a fecha 25 de noviembre de
2016, entre los que se encuentra el denominado ?Asociados?; Registro de la compañía
estadounidense THE ROCKET en la lista del mecanismo ?Escudo de Privacidad?, al
que se ha accedido a través del enlace https://www.privacyshield.gov/participant?
id=a2zt0000000TO6hAAG con fecha 25 de noviembre de 2016; Impresión de la
información ofrecida es ?Acerca de MailChimp y UE Safe Harbor? en la página web
http:kb.mailchimp.com/ en las actualizaciones de fechas 11/12/2015 y 07/09/2016.
SEXTO: Con fecha 28 de noviembre de 2016 se registra de entrada escrito de ATI
solicitando ampliación de plazo para aportar la documentación cuya presentación ha
sido requerida en fase probatoria, acordándose, con fecha 30 de noviembre de 2016,
conceder a dicha Asociación un nuevo plazo de cinco días hábiles, contados desde el
siguiente a la recepción de dicho acuerdo, a los efectos solicitados.
SÉPTIMO: Con fecha 20 de diciembre de 2016 se registra de entrada escrito de ATI
señalando:
Respecto del punto 5.1: Desde octubre de 2015 se fueron sustituyendo
progresivamente los envíos ?por MailChimp? por envíos internos, aportando a efectos
probatorios: factura de MailChimp de fecha 14/12/2015, impresión de los cargos de
VISA de las facturas de enero a marzo de 2015 que muestran que los importes del
servicio fueron decreciendo, no habiendo pagos a partir de marzo.
Respecto del punto 5.2: La empresa The Rocket Science Gropup LLC ha sido
inscrita entre las empresas americanas que cumplen el Privacy Shield, pasando a
estar reconocida por la Unión Europea como empresa con suficiente nivel de
protección en materia de datos de carácter personal. Añade que: ?La aparición en dicho
registro, inhabilita el ser cesión internacional de datos de carácter personal, al cumplir
el acuerdo Privacy Shield y ser reconocida esta especificidad por la Unión Europea, y
por tanto por el Gobierno de España. Ni había, ni hay, cesión internacional de datos, ya
que los dos convenios internacionales se han sucedido en el tiempo con una moratoria
establecida por la propia Agencia, solo con un ?decalaje? de dos días entre el plazo de
gracia otorgado por la Agencia y el nuevo Tratado de ?Privacy Shield?, decalaje en el
que se ha realizado ningún envío.?
Reiteran que no se está ante datos de carácter personal, sino profesional, más
en el caso del denunciante que desde febrero de 2011 hasta febrero de 2015 fue
Vocal 5º de la Junta Directiva de la Asociación, y recibió el encargo público de
revitalizar la Asociación en Galicia, según consta en el Acta de la Junta de 25/02/2015.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
14/46
Respecto del punto 5.3, presentan, en inglés, impresión de pantalla de los
términos y condiciones que se obtienen vía Internet de MailChimp. No consta fecha de
obtención.
Respecto del punto 5.4 señalan que los términos de la política de privacidad
publicados en https://mailchimp.com.....................1/ eran válidos cuando existía el
?puerto seguro? y ahora con el ?escudo de privacidad?.
Respecto del punto 5.5, adjuntan relación de envíos junto con el nº de emails
desde junio de 2014 hasta el último en enero de 2016. El resto figuran en el
procedimiento.
Respecto al punto 5.6: Hasta el 2007 no hubo propiamente un formulario web de
alta de socio, existiendo unos libros hechos a mano de socios, dándose de alta como
tales. Se aporta el formulario que estuvo en vigor en 2003, el que entró en vigor en
2003 y fue sustituido por el formulario en línea que se compaginó con el formulario
web hasta 2014. La única obligación legal era tener sus datos registrados en el libro
físico de socios. Presentan libro foliado y sellado por la Generalitat de Catalunya, en
cuya página 33 constan los datos del alta del denunciante en la Asociación el año
1996. A mediados de 2007 se puso en marcha un programa de gestión de socios,
aportándose impresión de los datos del denunciante. Presentan el documento de alta
vía web de socio utilizado a finales de 2013 y principios de 2014, que pasó al
formulario actual que también se aporta.
Respecto al punto 5.7, el socio de ATI puede solicitar una cuenta de correo
electrónico corporativa a la Secretaria de los dominios ati.es o atinet.es, con diferente
capacidad del buzón. Acompañan carta de ofrecimiento de prestación de servicios, sin
fechar, que reciben los que se dan de alta como socios de ATI, respuesta modelo a la
petición de cuenta de correo a fecha 15/12/2016 y modelo texto e-mail que se envía a
los socios cuando solicitan la baja como asociado a fecha 15/12/2016.
OCTAVO: Con fecha 6 de febrero de 2017 se incorpora al procedimiento la siguiente
documentación: Impresión de copia de la Diligencia impresa en el Libro de Registro
de Socios de ATI por la Dirección General de Derecho y Entidades Jurídicas, del
Departamento de Justicia, de la Generalidad de Cataluña, con fecha 22 de diciembre
de 1998, a instancias de la Asociación de Técnicos de Informatica, así como de la hoja
número 33 de dicho Libro, donde aparecen los datos de alta del denunciante como
socio de la Asociación; Impresión de la página principal y de los documentos ?Aviso
Legal? y ?Política de Cookies? obtenidos, con fecha de hoy, vía Internet en la página
web http:// www.ati.es ; Traducción del inglés al español de una serie de documentos
obrantes en el procedimiento.
Con fecha 14 de febrero de 2017 se incorporan al procedimiento tres ?Notas de
Prensa? , de fechas 6 y 19 de octubre de 2015 y 3 de febrero de 29 de junio de 2016,
relativas las dos primeras a la Sentencia del Tribunal de Justicia de la Unión Europea
invalidando la Decisión de la Comisión relativa al ?Puerto Seguro?, refiriéndose la
tercera un anuncio de la Comisión Europea y EEUU de un acuerdo para la realización
de transferencias internacionales de datos y la cuarta al discurso de inauguración por el
Ministro de Justicia en funciones de la 8ª Sesión Anual Abierta de la AEPD. Asimismo,
se incorpora una comunicación aparecida el 9 de diciembre de 2015 en el Canal del
responsable de ficheros, Transferencias Internacionales, referida a la aplicación de la
Sentencia de Puerto Seguro, todas ellas publicadas en el portal web de la AEPD
https://www.agpd.es/.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
15/46
NOVENO: Con fecha 17 de febrero de 2017 se formuló propuesta de resolución en el
sentido de que por la Directora de la Agencia Española de Protección de Datos se
acordase imponer a la ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA (ATI) las
siguientes sanciones:
- Multa de 45.000 ? (Cuarenta y cinco mil euros) por la infracción del
artículo 33 de la LOPD, tipificada como muy grave en el artículo
44.4.d) de dicha norma, de conformidad con lo establecido en los
apartados 2 al 5 del artículo 45 de la citada Ley.
- Multa de 5.000 ? (Cinco mil euros) por la infracción del artículo 22.2
de la LSSI, tipificada como leve en el artículo 38.4 g) de dicha
norma, de conformidad con lo establecido en los artículos 39.1.c y 40
de la citada Ley.
La citada propuesta de resolución consta como notificada a ATI con fecha 21
de febrero de 2017.
DÉCIMO : Con fecha 10 de marzo de 2017 se registra de entrada escrito de la
representación de ATI manifestando su disconformidad frente a la propuesta de
resolución recibida, que, a su juicio, adolece de ecuanimidad, con sustento, en síntesis,
en los siguientes argumentos:
- Se obvia la aplicación del Reglamento Europeo de Protección de
Datos, a pesar de lo dispuesto en el artículo 128.2 de la LRJPAC
sobre el efecto retroactivo de las disposiciones sancionadoras.
Atendido que el REPD está en vigor, aunque no se aplique, no
pueden dictarse resoluciones sancionadoras sin atender la
prevalencia del Derecho Comunitario frente al nacional. En
consecuencia, la norma nacional no puede interpretarse
autónomamente, sino de conformidad con la norma Europea. Se cita
la STC 232/2015, de 5 de noviembre.
- El citado REPD protege clara y específicamente a las
Asociaciones profesionales sin ánimo de lucro como ATI, lo que
apoya invocando el Considerando 51 de dicha norma.
- Se reitera que ?no existe prueba alguna de que ni TRS haya usado
esos datos para efectuar ninguna actividad, ni que en momento
alguno ATI haya utilizado las herramientas de control que permitía el
programa MailChimp.?.
- En la propuesta se realizan una serie de valoraciones
desproporcionadas y no probadas como ?negarse a colaborar?,
?actuación reticente? o engaño que ?sólo reflejan la firme defensa de
los derechos de ATI?.
Además, dicho acto contiene afirmaciones que agravan intencionadamente los
hechos, ya que no discrimina entre los datos profesionales vinculados a la
naturaleza profesional de la Asociación, como serían el nombre y el correo electrónico
utilizados en los mailings, de otros datos que responden al concepto de datos de
carácter personal. Nunca se han realizado transferencias internacionales de datos
personales, sino de datos de carácter profesional para asuntos asociativos. Se invocan
los artículos 1.3 y 9.d) y e) del REPD.
Se reitera que la AEPD, y su Directora, mediante cartas a las empresas,
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
16/46
discursos y comunicaciones publicadas en la página web de la AEPD, dieron un
periodo de transitoriedad hasta el 21 de enero de 2016 y que el 2 de febrero de 2016
la Unión Europea anunció el ?Escudo de Privacidad?, donde van apareciendo
gradualmente las diversas empresas a las que se reconoce su cumplimiento, entre
otras, TSR en noviembre de 2016.
Según ATI, la redacción de la propuesta de resolución abre responsabilidades
que se corresponden al mal funcionamiento de las instituciones comunitarias,
señalando que se infringen una serie de artículos de la Carta de Derechos
Fundamentales de los Ciudadanos de la UE.
HECHOS PROBADOS
PRIMERO: Con fecha 20 de enero de 2016 Don A.A.A. , en adelante el denunciante,
presentó escrito poniendo de manifiesto las transferencias internacionales de los
correos electrónicos de los socios y amigos de ATI que dicha Asociación viene
realizando a la empresa estadounidense The Rocket Sciencia Group, LLC, en
adelante TRS, sin mediar el consentimiento de los destinatarios de las
comunicaciones electrónicas remitidas por ATI a través del servicio MailChimp de
gestión de envíos de correos electrónicos de la citada empresa, y para cuya
prestación TRS utiliza dispositivos de almacenamiento y recuperación de datos
(DARD) que instala en los correos electrónicos a fin de seguir la actividad de los
destinatarios de los envíos.
SEGUNDO: El denunciante aportó copia en papel un total de 15 correos
electrónicos, (todos ellos con cabecera completa y código fuente), enviados entre el 26
de junio de 2015 y el 11 de enero de 2016 desde distintas cuentas de dominios del
servicio MailChimp en nombre de ....2@atinet.es a su dirección de correo
electrónico y a las de otros cuatro socios de ATI a fin de probar que TRS asigna un
identificador único a cada una de las direcciones de correo electrónico de los
destinatarios de los mensajes de ATI. (folios 48 al 306 bis)
TERCERO: La dirección .....@ati.es del denunciante tiene asignado el identificador
*****6 en los envíos de fechas 26/06/2015 (folios 48 al 64), 01/07/2015 (folios 134 al
156), 23/12/2015 (folios 254 al 266), 08/01/2016 (folios 267 al 280), 11/01/2016 (folios
281 al 293) y 11/01/2016 (folios 294 al 306 bis),
La dirección .....4@gmail.com tiene asignado el identificador ***NÚM.1 en los envíos
de fechas 26/06/2015 (folios 65 al 75), 01/07/2015 (folios 157 al 171)
La dirección .....@gmail.com tiene asignado el identificador ***NÚM.2 en los envíos de
fechas 26/06/2015 (folios 76 al 109), 01/07/2015 (folios 172 al 222)
La dirección .....5@gmail.com tiene asignado el identificador ***NÚM.3 en los envíos
de fechas 26/06/2015 (folios 110 al 120), 01/07/2015 (folios 223 al 237)
La dirección .....@.ati.es tiene asignado el identificador ***NÚM.4 en los envíos de
fechas 26/06/2015 (folios 121 al 133), 01/07/2015 (folios 238 al 253), 01/07/2015 (folios
238 al 253)
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
17/46
Posteriormente, el denunciante aportó copia digital de otros siete correos
electrónicos remitidos desde la dirección ....2@atinet.es a su cuenta de correo
electrónico .....@ati.es con fechas 09/10/2015, 13/10/2015, 22/10/2015, 02/11/2015,
13/11/2015, 18/11/2015, 23/11/2015 y 11/01/2016 (folios 432, 433, 689 al 694, 714 al
716, 723 al 731 , 735 al 737 )
CUARTO: En la página 33 del Libro de Registro de Socios de ATI foliado y sellado por
la Generalitat de Catalunya constan registrados los siguientes datos del denunciante:
Núm. Socio: ***SOCIO.1; Fecha de alta: DD-MM-AA, Nombre: A.A.A., Dirección:
(C/...1), Población: SEVILLA, Provincia: SEVILLA DP ***CP.1. No figura el dato
correspondiente al correo electrónico (folio 883 y 884 )
QUINTO: En los ficheros de ATI figuran registrados los siguientes datos del
denunciante: Nº socio: ***SOCIO.1; Fecha de alta: DD/MM/AA, Fecha Nacimiento:
DD1/MM1/AA1; DNI: ***DNI.1; Nombre: A.A.A.; Dirección: (C/...2) (PONTEVEDRA),
Móvil: ***TEL.1; e-mail ati: .....@ati.es; Datos bancarios: ***CCC.1 (folios 512, 864 )
SEXTO: Con fecha 17 de octubre de 2008 ATI inscribió en el Registro General de
Protección de Datos, en adelante RGPD, el fichero denominado ?Asociados?,
declarando como finalidad del mismo: ?Gestión de los Asociados: facturación, prestación
de los servicios de formación, asesoramiento profesional, envío de publicaciones,
asesoramiento laboral, envío de ofertas y promociones relacionados con el sector de la
informatica?.
Posteriormente, cuando ATI contrató el servicio MailMachimp no notificó al RGPD la
modificación del fichero de ?Asociados? derivada de la realización de transferencias
internacionales con datos personales (correos electrónicos) obrantes en el mismo.
(folios 454 al 456 )
SÉPTIMO: La empresa estadounidense The Rocket Sciencie Group LLC presta a
través del sitio web www.mailchimp.com de su titularidad el servicio MailChimp que
permite crear, enviar y gestionar newsletters por correo electrónico a destinatarios
individuales. (folio 354)
OCTAVO: Con fecha 8 de marzo de 2016 se verifica que en la Condición nº 19
recogida en el documento de ?Condiciones legales de uso? de la página web
http://mailchimp.com se indica: (folios 354 al 363)
?19. Conformidad con las leyes
Declaras y garantizas que vas a utilizar MailChimp conforme a todas las leyes y
normativa aplicables. Tú eres el responsable de determinar si nuestros servicios son
adecuados para que los uses a la luz de cualquier normativa como HIPAA, GLB, las
leyes de privacidad de datos de la UE u otra legislación. Si estás sujeto a normativas
(como HIPAA) y usas nuestro servicio, no seremos responsables si el servicio no
cumple tales requisitos. Si estás ubicado en el Espacio Económico Europeo (EEA) o
envías a alguien ubicado en el EEA, declaras y garantizas que, al crear la lista de
distribución de correo electrónico, enviar correos electrónicos a través de MailChimp y
recopilar información como resultado del envío de correos electrónicos:
1. Describirás claramente por escrito de qué modo tienes previsto usar cualquier dato
recopilado, inclusive para tu uso de MailChimp. Obtendrás el consentimiento expreso
para la transferencia de datos a MailChimp como parte de este proceso y asimismo
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
18/46
cumplirás con cualquier política de privacidad que hayas publicado.
2. Has cumplido, y cumplirás, con todas las normativas, así como todas las leyes de
protección de datos, comunicación electrónica y privacidad que se apliquen a los países
a los que envías cualquier forma de correo electrónico a través de MailChimp.
3. Has recopilado, has almacenado, has usado y has transferido todos los datos
relativos a cualquier persona física de conformidad con todas las leyes y reglamentos de
protección de datos. Cuentas con todos los permisos necesarios para permitir a
MailChimp que reciba y procese datos y envíe comunicaciones a dicha persona en tu
nombre.
4. Acuerdas indemnizarnos y eximirnos de toda responsabilidad por pérdidas.
NOVENO: Con fecha 8 de marzo de 2016 se verifica que los apartados 5.5, 7. 14, 15
de la ?Política de Privacidad? insertada en la página web http://mailchimp.com se indica:
(folios 364 al 372)
?5. Información que recopilamos(?)
5. Píxeles invisibles: cuando enviemos correos electrónicos a los miembros, es posible
que hagamos un seguimiento de su comportamiento, como quién ha abierto los correos
y quién ha hecho clic en los enlaces. Lo hacemos para medir el rendimiento de las
campañas de correo electrónico y mejorar las funciones para segmentos de miembros
específicos. Para ello, incluimos gifs de un solo píxel, también llamados píxeles
invisibles, en los correos electrónicos que enviamos. Los píxeles invisibles nos permiten
recopilar información acerca del momento en el que abres el correo, la dirección IP, el
navegador o el tipo de cliente de correo electrónico y otros detalles similares. También
incluimos píxeles invisibles en los correos electrónicos que te entregamos. Usamos los
datos de esos píxeles invisibles para crear los informes sobre el rendimiento de tu
campaña de correo electrónico y las acciones que tus suscriptores han llevado cabo.
También tenemos disponibles los informes cuando te enviamos correo electrónico, por
lo que podemos recopilar y revisar esa información.?
?7. Datos recopilados para y por nuestros usuarios
Durante tu utilización de los Servicios, puede que importes a nuestro sistema
información personal que has recabado de tus suscriptores. No tenemos relación
directa con tus suscriptores, por lo que tú eres responsable de asegurarte de que
cuentas con el permiso adecuado para que podamos recabar y procesar la
información de tales personas. Podremos transferir información personal a empresas
que nos ayudan a prestar nuestros servicios («proveedores de servicios»). Todos los
proveedores de servicios suscriben un contrato con nosotros que protege los datos
personales y restringe el uso por su parte de cualquier dato personal en línea con la
presente política. (?)?
?14. Operamos en los Estados Unidos
Nuestros servidores y oficinas están situados en los Estados Unidos, por lo que tu
información podrá transferirse, almacenarse o procesarse en los Estados Unidos.
Aunque las leyes de protección de datos, de privacidad y de otro tipo de los Estados
Unidos pueden no ser tan exhaustivas como las de tu país, tomamos muchas medidas
para proteger tu privacidad, entre ellas ofrecer un acuerdo de tratamiento de datos. Al
utilizar nuestros sitios web, entiendes y consientes que tu información se recopila, se
almacena, se trata y se transfiere a nuestras instalaciones en los Estados Unidos y a
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
19/46
aquellos terceros con los que la compartimos, tal como se describe en la presente
política.
15. Transferencias de datos desde la UE a los Estados Unidos
MailChimp ha certificado previamente nuestro cumplimiento del Marco de Puerto Seguro
UE-EE. UU. y EE. UU.-Suiza. A la luz de una reciente sentencia del Tribunal de Justicia
de la Unión Europea, ya no dependemos del Marco de Puerto Seguro para justificar la
transferencia de los datos personales de residentes europeos y suizos a los Estados
Unidos. En vez de ello, los miembros situados en la UE o Suiza deben solicitar nuestro
acuerdo de tratamiento de datos actualizado que incorpora las cláusulas contractuales
tipo.?
DÉCIMO: Con fechas 8 de marzo y 15 de junio de 2016 se verifica que en la página
web http://kb.mailchimp.com.....................2 y en la Guía ?Understandong reports? se
ofrece información sobre el seguimiento de la actividad de los destinatarios de los
envíos proporcionada por el servicio, su configuración y los informes elaborados. (folios
373 al 381 bis, 382 al 400, 445 al 451)
Respecto del seguimiento de clicks se indica que ?permite ver qué suscriptores
hicieron clic en los enlaces de tu campaña. Cuando el seguimiento de clicks está
habilitado para una campaña, se añade la información de seguimiento de MailChimp a
cada URL de manera que cuando se hace click en un enlace en la campaña, esta
información de seguimiento redirecciona al suscriptor a través de los servidores de
MailChimp antes de enviarlos a la dirección web deseada. Ese redireccionamiento a
través de nuestro servidor se registrará como un clic en tu informe de campaña. .El
seguimiento de clics está habilitado para todas las campañas de MailChimp de forma
predeterminada y, como con el seguimiento de visitas puede ser una buena
herramienta para medir participación del suscriptor.?
Respecto del seguimiento de aperturas se informa que ?permite ver si tus suscriptores
han abierto las campañas que enviaste. Tu reporte de campaña mostrará que
suscriptores abrieron la campaña, y cuantas aperturas totales recibió la campaña.? En
cuanto a su funcionamiento se señala que: ?Cuando envías campañas a través de
MailChimp, nosotros incorporamos un pequeño gráfico invisible en la parte inferior de tu
correo electrónico HTML. Este gráfico de seguimiento de aperturas, o baliza web, es
único para cada campaña que envíes. Cuando alguien abre tu correo electrónico y ve
las imágenes que incluye, ese gráfico se descarga desde nuestro servidor y se registra
como una apertura en tu reporte de campaña (?) El tráfico de las balizas web es el
estándar del sector para el seguimiento de aperturas y es una gran herramienta para
darte una visión general de la participación de tus suscriptores.?
Existe un control de configuración que permite activar o desactivar las cuatro opciones
de seguimiento:
? Seguimiento de las aperturas de los correos en formato HTML.
? Seguimiento de los clicks en los enlaces de los correos en formato HTML.
? Seguimiento de las aperturas y los clicks en los correos en formato de texto
plano.
? Seguimiento de los clicks desde el correo hasta la compra de productos en el
sitio web del cliente (necesita que éste sea cliente de Google Analytics).
El seguimiento de aperturas está activado por defecto, excepto en las campañas de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
20/46
texto simple. El seguimiento de clics es obligatorio en todas las cuentas gratuitas y en
las cuentas de pago nuevas. Se puede activar y desactivar el seguimiento de clics en las
cuentas de pago después de haber enviado unas cuantas campañas sin ningún
problema de cumplimiento. Los informes permiten, entre otras cosas, ver la actividad del
suscriptor en cada una de las campañas que tenga las opciones de seguimiento
activado.
DECIMOPRIMERO: ATI utilizó el servicio MailChimp de TRS entre el 14 de junio de
2014 y el 4 de abril de 2016, localizándose en su cuenta de usuario de MailChimp:
- 108 correos electrónicos correspondientes al envío del mismo número de campañas.
En los correos de MailChimp referentes a los envíos efectuados con fechas
08/03/2016, 29/03/2016 y 11/01/2016 se comprueba que disponían del botón ?View
report? que permitía acceder al informe de seguimiento de las campañas enviadas
desde la plataforma de MailChimp por cuenta de ATI. (folios 336 al 340, 343 )
- Varios correos electrónicos de facturación remitidos por MailChimp a ATI, siendo el
primero de fecha 14 de junio de 2014 y el último de fecha 14 de marzo de 2016,
respectivamente, constando acreditado que el 14/03/2016 ATI abonó a Mailchimp
45,07 euros por sus servicios . (folios 308, 309, 328, 329, 330, 331, 334, 335 y 803)
-Correo electrónico de fecha 4 de abril de 2016 de MailChimp a ATI comunicando a
ésta la suspensión del servicio. (folios 310, 344)
DECIMOSEGUNDO.: ATI realizó a partir del 6 de octubre de 2015 un total de once
transferencias internacionales de datos a los Estados Unidos de América, país que no
proporcionaba un nivel de protección adecuado, con motivo de las campañas de
fechas 20, 21, 22 de octubre de 2015 y 2 (2), 4, 5, 6 de noviembre de 2015 , 11 de
enero, 8 y 29 de marzo de 2016, en las que ATI remitió, respectivamente, un total
de 3328, 1471, 3324, 3323, 1468, 739, 71, 3321, 3315, 696 y 696 emails
utilizando el servicio MailChimp. (folios 336 al 340, 799, 856 al 859)
DECIMOTERCERO: Las transferencias internacionales de datos de los correos
electrónicos utilizados para la realización por ATI de las once campañas reseñadas
en el Hecho anterior no contaban con autorización previa de la Directora de la AEPD,
no constando tampoco que ATI hubiera recabado con anterioridad a su realización el
consentimiento inequívoco de los afectados titulares de los datos transferidos.
DECIMOCUARTO: Se ha comprobado que los 22 correos electrónicos aportados por
el denunciante correspondientes a las campañas de 26/06/2015, 01/07/2015, 09/10/15,
13/10/2015, 22/10/2015, 02/11/2015, 13/11/2015, 18/11/2015, 23/11/2015, y
11/01/2016 incluyen dispositivos de seguimiento de apertura de correos electrónicos
(web beacons) y de pulsación de enlaces (alteración de enlaces de los emails). (folios
48 al 306 bis, 466)
DECIMOQUINTO: El Inspector actuante constató que los correos electrónicos que
ATI le reenvío correspondientes a las campañas remitidas por dicha Asociación el
11 de enero y 29 de marzo de 2016 contenían dispositivos de seguimiento de
pulsación de enlaces. (folio 466)
DECIMOSEXTO: Durante la inspección celebrada el 12 de abril de 2016 los
representantes de ATI manifestaron a los inspectores de la AEPD que: (folio 309)
o Al contratar el servicio MailChimp fueron conocedores de la capacidad de
seguimiento del servicio.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
21/46
o No les consta que se haya informado u obtenido el consentimiento de los
destinatarios de los correos electrónicos en relación con la capacidad de
seguimiento del servicio MailChimp.
o Entre socios y amigos (invitados que no pagan cuota el primer año) ATI
tiene aproximadamente 2000 destinatarios.
DECIMOSÉPTIMO: Se ha verificado que la página ?Sample agreement? del sitio web
mailchimp.com almacenada en el sitio web archive.org contiene la versión de 7 de
noviembre de 2015 del contrato de ?Condiciones adicionales de tratamiento de datos de
MailChimp- De conformidad con las cláusulas contractuales tipo? (?Additional Terms for
Data Proccessing?) ofrecido por la entidad The Rocket Sciencie Group, LLC a
sus clientes de la Unión Europea tras la anulación por el Tribunal de Justicia de la
Unión Europea dictase Sentencia de la Decisión de la Comisión 2000/520/CE que
declaraba el nivel adecuado de protección del ?Puerto Seguro?.
En dicho documento se señala que: ?A efectos del artículo 26 apartado 2 de la
Directiva 95/46/CE para la transferencia de datos personales a los encargados del
tratamiento establecidos en países terceros que no garanticen un nivel adecuado de
protección de datos, las partes han acordado las siguientes cláusulas contractuales
(las Cláusulas) para añadiré salvaguardas adecuadas en relación con la protección de la
privacidad y los derechos y libertades fundamentales de las personas físicas para la
transferencia por parte del exportador de datos al importador de datos de los daos
personales especificados en el Anexo 1?
Este mismo contrato con cláusulas contractuales tipo de MailChimp se localiza, con
ligeras modificaciones, en el sitio web www.mailchimp.com con fecha 8 de marzo de
2016. (folios 353, 401 al 412, 435 al 444)
DECIMOCTAVO: El sitio web www. ati.es es propiedad de ATI, Asociación que tiene
registrado a su nombre el dominio ati.es (folios 414, 644, 870)
DECIMONOVENO: En el sitio web www. ati.es se informa que ATI: ?es una
Asociación sin ánimo de lucro abierta a todos los que, en cualquier nivel profesional y
sector productivo, desarrollan su actividad como profesionales en el ámbito de las
Tecnologías de la Información y de la Comunicación (TIC)? que ?tiene como objetivo la
defensa, promoción y desarrollo de la actividad de quienes ejercen como técnicos y
profesionales en el campo de las tecnologías de información, facilitando a sus socios el
intercambio de experiencias, la formación y la información sobre dichas tecnologías, a la
vez que contribuye a la promoción, y el desarrollo delas mismas, estudiando su impacto
en la Sociedad y los ciudadanos, y potenciando las relaciones con su entorno social y
Económico, colaborando con otras entidades profesionales informáticas, implantadas
tanto en nuestro país como fuera de él. ? (folio 624)
VIGÉSIMO: Con fecha 8 de marzo de 2016 se constata que en el formulario de ?Alta
Socio 2016-Asociación de Técnicos de Informática? incluido en el sitio www. ati.es , se
requiere la facilitación de los siguientes datos: nombre, apellidos, DNI/NIE/Pasaporte,
fecha de nacimiento, dirección postal, teléfono de contacto, correo electrónico, así como
información relativa a la situación profesional que debía completarse marcando si era
empleado por cuenta ajena o por cuenta propia o empresario, estudiante, u otro, y
facilitando, entre otra información, nombre, datos postales y teléfono de la empresa, y
cargo actual en la empresa.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
22/46
En la cláusula informativa incorporada al mismo se indica que los datos facilitados se
incorporaban ?a un fichero propiedad de ATI para poder disfrutar de los servicios que su
condición de socio le confiere, así como para enviarle información acerca de nuevos sus
datos podrán ser comunicados a aquellas instituciones , sociedades u organismos, con
los que ATI mantenga acuerdos de colaboración, relacionados con el sector de
seguros, la banca y la formación para el envío de información comercial. Si usted
desea acceder, rectificar, cancelar u oponerse al tratamiento de sus datos puede
dirigirse por escrito a ....2@ati.es. ? (folios 418 al 420 )
VIGÉSIMO PRIMERO: Con fecha 13 de junio de 2016 se constata que en el
?Formulario de Inscripción? del reseñado portal ha sido modificado por otro en el que
se solicita la facilitación, como datos obligatorios, de la siguiente información: nombre,
apellido/s, correo electrónico teléfono de contacto y país. Entre la información opcional
se solicitan, entre otros datos: año de nacimiento, dirección, población, código postal,
provincia, puesto actual, empresa, sector.
Este formulario dispone de una casilla de verificación en blanco acompañada de la
siguiente leyenda ?He leído y acepto las condiciones de registro?, cuya marcación
implica la aceptación de las condiciones de registro que figuran en la página de ?Nota
legal? a la que enlaza la parte subrayada de la leyenda citada. (folios 452, 648, 868 y
869).
VIGÉSIMO SEGUNDO: Con fechas 8 de marzo y 26 de agosto de 2016 se constata
que el punto 2 de la ?Nota legal? del sitio web www. ati.es contenía la siguiente
información referente al ?Tratamiento de los datos de carácter personal?: (folios 414 al
416 y 474 al 476)
?El usuario autoriza, consiente expresamente a ATI, el tratamiento de los datos
personales que suministre. Voluntariamente, a través de formularios y correo
electrónico, para que realice las siguientes actividades y/o acciones, salvo que el
usuario indique lo contrario al suscribirse cualesquier producto y/o servicios de ATI o a
resultas de una revocación posterior del consentimiento inicialmente otorgado:
i) Envío de información sobre los productos y servicios (descargas a
móviles, suscripciones, venta de productos, sorteos, concursos, etc) de
ATI que haya solicitado mediante los formularios de la web, ya sea a
través de medios electrónicos o por correo postal.
ii) A la gestión del contenido, información y/o datos que se contienen en
los perfiles de cada uno de los usuarios así como el contenido,
información y/o datos generados al interactuar el usuario con el Sitio
web como espacio virtual para dichas utilidades y/o funciones.
iii) Al estudio estadístico. ATI cuenta con un programa estadístico para el
estudio de las visitas, origen geográfico de las mismas, con la finalidad
de mejorar el servicio ofrecidos a través de la web
iv) La conservación de sus datos de carácter personal durante el plazo
previsto en las disposiciones aplicables.
ATI proporciona al usuario en cada formulario donde se le solicite el tratamiento de sus
datos, la oportunidad de expresar su negativa al tratamiento de sus datos de carácter
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
23/46
personal, para otros fines que no sean los solicitados por el usuario, dicha negativa la
podrá ejercer a través de una casilla que podrá marcar negándose a dicho tratamiento.
Todos los datos son tratados con absoluta confidencialidad, no siendo accesibles a
terceros para finalidades distintas para las que no han sido autorizados. El fichero
creado está ubicado en la (C/...3) de Barcelona, bajo la supervisión y control de ATI (?)
?
Asimismo, en la ?Nota Legal? se indica que ?Cualquier usuario puede ejercitar sus
derechos de acceso, rectificación, oposición y cancelación de sus datos de carácter
personal suministrados a través de nuestros portales mediante comunicación escrita
dirigida a ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA, ubicado en la (C/...3) de
Barcelona o al correo electrónico ....2@ati.es.?
VIGÉSIMO TERCERO: Ni el los formularios web de Alta como Socio citados ni en la
Nota Legal se informaba a los afectados sobre la utilización por ATI de dichos datos
para realizar transferencias internacionales con los mismos, ni se solicitaba el
consentimiento de los afectados para su tratamiento con dicha finalidad.
VIGÉSIMO CUARTO: Con fecha 8 de marzo de 2016 se constata que:En el apartado
5 de la Nota Legal del sitio web www.ati.es, relativo a la ?Navegación con cookies?
se informaba que ?La web de ATI utiliza cookies, pequeños ficheros de datos que se
generan en el ordenador del usuario y que nos permiten conocer su frecuencia de
visitas, los contenidos más seleccionados y los elementos de seguridad que pueden
intervenir en el control de acceso a áreas restringidas, así como la visualización de
publicidad en función de criterios predefinidos por ATI y que se activan por cookies
servidas por dicha entidad o por terceros que prestan estos servicios por cuenta de ATI.
El usuario tiene la opción de impedir la generación de cookies, mediante la selección de
la correspondiente opción en su programa navegador.? (folio 416)
En el apartado 3 del documento de ?Política de Cookies de ATI? del sitio web
www.ati.es, relativo a ?Cookies que usamos?, al que se accede desde el enlace
?Información sobre las cookies de ATI? se indica que:
?Las cookies usadas en la web de ATI, son las utilizadas por el sistema de registro de
visitas de Google Analytics, ampliamente usadas en miles de web de internet y las de
los propios productos Open Source utilizados en nuestros servicios web, foros blogs y
boletín virtual?.
VIGÉSIMO QUINTO: TI no proporcionó a los destinatarios de los correos electrónicos
de la Asociación (usuarios del sitio web www.ati.es ) ningún tipo de información
relativa al uso, por parte de TRS, de dispositivos de seguimiento de apertura de
correos electrónicos (web beacons) y de pulsación de enlaces contenidos en los
correos mientras dicho tercero le prestó el servicio MailChimp. Ni la ?Nota Legal? ni
los formularios web de Alta de Socio del referido sitio obrantes en el procedimiento
ofrecen información al respecto. (folios 413 al 420 ,466, 865 al 869)
VIGÉSIMO SEXTO: ATI ofrece a sus socios una cuenta de correo gratuita con dominios
de la Asociación (ati.es o atinet.es). (folio 873)
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
24/46
VIGÉSIMOSÉPTIMO: La Sentencia del Tribunal de Justicia Europeo número C-362/14
de 6 de octubre de 2015 invalidó la Decisión de la Comisión 2000/520/CE que
considera que las transferencias internacionales de datos a Estados Unidos tenían un
nivel adecuado de protección.
VIGÉSIMO OCTAVO: Con fecha 21 de noviembre de 2016 el Departamento de
Comercio de los Estados Unidos de América certifica la afiliación de la entidad The
Rocket Science Group LLC al ?Privacy Shield? (Escudo de Privacidad) (folios 766 al
768)
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos de conformidad con lo dispuesto en el artículo 37. g)
en relación con el artículo 36 de la LOPD y el párrafo segundo del artículo 43.1 de la
LSSI.
II
La primera infracción de la que se inculpa a ATI en el presente procedimiento
sancionador se vincula a la realización por dicha Asociación de transferencias
internacionales de datos de carácter personal a la empresa TRS, entidad radicada en
los Estados Unidos de América que presta el servicio MailChimp de gestión de envíos
de correo electrónico, a partir del 6 de octubre de 2015 sin mediar autorización previa
de la Directora de la AEPD y sin constar que se produzca la excepción contemplada en
el artículo 34.e) de la LOPD.
Si bien con carácter previo a dilucidar si ATI resulta responsable de la comisión
de dicha infracción a la normativa de protección datos, resulta necesario determinar si
los correos electrónicos transferidos pertenecientes a asociados y amigos de la
denunciada son datos de carácter personal, y, una vez fijada dicha circunstancia,
analizar si al caso presente le resulta de aplicación la LOPD, ya que ATI ha alegado
que el tratamiento afectaba a cuentas de correo electrónico de profesionales,
industriales o comerciantes asociados a una Asociación Profesional del sector de la
informática al que éstos se vinculan.
El artículo 1 de la LOPD dispone: ?La presente Ley Orgánica tiene por objeto
garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar?.
La LOPD, viene a regular el derecho fundamental a la protección de datos de las
personas físicas, esto es, el derecho a disponer de sus propios datos sin que puedan
ser utilizados, tratados o cedidos sin su consentimiento, con la salvedad de las
excepciones legalmente previstas.
En cuanto al ámbito de aplicación de la citada norma el artículo 2.1 de la misma
señala: ?La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda
modalidad de uso posterior de estos datos por los sectores público y privado?.
El concepto de dato de carácter personal aparece definido en el artículo 3.a) de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
25/46
la LOPD, como: ?Cualquier información concerniente a personas físicas identificadas o
identificables?, señalándose en el artículo 5.1. f) del Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal,
aprobado por Real Decreto 1720/2007, de 21 de diciembre, en adelante RLOPD,
como datos de carácter personal: ?Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas
identificadas o identificables?. En el apartado 5.1.o) del mismo Reglamento se define
persona identificable, como ?toda persona cuya identidad pueda determinase, directa o
indirectamente, mediante cualquier comunicación referida a su identidad física,
fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará
identificable si dicha identificación requiere plazos o actividades desproporcionados?
Con arreglo a las citadas definiciones, los datos de carácter personal de los
socios y amigos de ATI registrados en el fichero de ?Asociados? de su titularidad,
entre los que se incluyen los correos electrónicos de contacto de los asociados y
amigos, son datos personales relativos a personas físicas vinculados o interesados
en el sector TIC que, separada o conjuntamente con otros datos, permiten
identificar sin esfuerzos desproporcionados a los sujetos titulares de dichos datos
personales.
III
En relación con la primera cuestión planteada referente a si los correos
electrónicos tratados por ATI para enviar comunicaciones electrónicas a través del
servicio MailChimp son datos de carácter personal, debe observarse que de acuerdo
con las definiciones de dato de carácter personal y persona identificable anteriormente
transcritas, se deduce que la dirección de correo electrónico, considerando que
contiene información de su titular, o en la medida en que permita proceder a la
identificación del mismo sin realizar esfuerzos desproporcionados para ello, ha de ser
considerada como dato de carácter personal, estando su tratamiento sometido a la
citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización,
cesión o comunicación si el interesado afectado no ha dado su consentimiento para
ello.
La dirección de correo electrónico se forma por un conjunto de signos o palabras
libremente elegidos, generalmente por su titular, con la única limitación de que dicha
dirección no coincida con la correspondiente a otra persona. Esta combinación podrá
tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación
del titular de la cuenta de correo que proporcione la dirección de que se trate.
Así, existirán supuestos en los que la dirección de correo electrónico contenga
información de su titular que lo identifique. Esto ocurre en el caso de las cuentas de
correo electrónico del denunciante y de los otros cuatro socios de ATI que aquel
adjuntó a su escrito de denuncia, ya que sus corroes electrónicos contienen sus
nombres y/o apellidos o la combinación de estos datos, no existiendo duda de que
dichas direcciones han de ser consideradas como datos de carácter personal. También
habrá supuestos en los que la dirección de correo electrónico no muestre datos
relacionados con la persona titular de la cuenta, de modo que no será un dato de
carácter personal, a no ser que otros datos (dominio, DNI, domicilio, teléfono, puesto
de trabajo...), conjunta o separadamente, permitan la identificación del usuario sin un
esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso,
la dirección de correo electrónico quedará amparada por el régimen establecido en la
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
26/46
LOPD. Debe añadirse, evidentemente, que si junto con la dirección de correo electrónico
aparecieran otros datos que permitieran la identificación del sujeto (tales como su
nombre y apellidos, su número de teléfono, su domicilio, puesto de trabajo, conjunta o
separadamente), la identificación sería absoluta y no se plantearía duda de que nos
encontramos ante un supuesto de tratamiento de datos de carácter personal.
Al hilo de lo cual conviene traer a colación la Sentencia de la Audiencia Nacional
de fecha 15 de enero de 2015, Rec. 297/2010, en la que se estudiaba el tratamiento
inconsentido de la dirección de correo profesional de una persona física, y en la que se
indicaba:
?En relación con la dirección de correo electrónico, esta Sala ha considerado en
las SSAN de 23 de marzo 2006 (Rec. 911/2003), 25 de mayo de 2006 (Rec. 536/2004),
que la dirección de correo electrónico de la que es titular una persona física, constituye
una información que le concierne, que le afecta, y que forma parte del ámbito de su
privacidad protegido por la Ley de Protección de Datos, siéndole plenamente aplicable
su régimen Jurídico.
En dichos procedimientos se argumentaba que en los supuestos a los que se
referían la dirección de correo electrónico no recogía el nombre y apellidos de su titular y
no tenía vinculación con su identidad, por lo que no debería considerarse como dato de
carácter personal, pero ello fue desestimado por las citadas sentencias. En concreto, la
SAN de 25 de mayo de 2006 especificaba que la dirección de correo electrónico de que
es titular una persona física constituye un dato personal porque "con independencia de
que la denominación de la dirección corresponda o no con el nombre y apellido de su
titular, país o empresa en la que trabaja, lo cierto es que se puede mediante una
operación nada difícil, identificar perfectamente a una persona física, ya que esa
dirección de correo electrónico aparecerá vinculada a un dominio concreto, por lo que
sólo será necesario consultar al servidor en que se gestione dicho servicio. Es más esta
Sala, en un caso como el número del Documento Nacional de Identidad, que en
principio no tiene aparente relación externa con el nombre y apellido de su titular, ha
entendido que es un dato de carácter personal amparado por la LOPD en la sentencia
de 27 de octubre de 2004 (Rec. 1112/2002 )".
Por tanto, la dirección de correo electrónico de una persona física, en la medida
que permite identificar a su titular sin plazos ni actividades desproporcionadas,
constituye un dato personal y su tratamiento en casos como el presente, y sin perjuicio
de las previsiones específicas establecidas por la Ley de Servicios de Sociedad de la
Información para otros supuestos, está sometido a las previsiones de la LOPD.
En el caso de autos, la dirección de correo electrónico que la Asociación
recurrente tenía registrada en sus ficheros era YYYYYYYYY que, en contra de lo
alegado por la recurrente, no es una dirección de correo electrónico de una persona
jurídica, en concreto de los Laboratorios YYYYYYYYYY, sino de una persona física, el
denunciante Don FL .A mayor abundamiento, en el presente caso la dirección aparece
conformada por el nombre de la persona física titular de la misma. Se trata de la
dirección de correo de una persona física en los laboratorios donde presta sus servicios,
viene referida a dicha persona física, tratándose de su dirección profesional.
Esta Sala ha reiterado que el dato del afectado, aunque se refiera al lugar de
ejercicio de su profesión, es un dato de una persona física con una actividad profesional,
cuya protección cae en la órbita de la citada Ley Orgánica 15/1999, SAN, Sec. 1ª de 3
de octubre de 2007 (Rec. 163/2006).
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
27/46
Consecuentemente, las direcciones de correo electrónico de contacto incluidas
en el fichero ?Asociados? de ATI conciernen a personas físicas usuarias de las
mismas. En este caso, además, en el mencionado fichero junto a los correos
electrónicos de los asociados aparece la siguiente información de carácter personal
de los mismos: DNI, nombre y apellidos, dirección del asociado. Por lo cual, resulta
irrelevante a tales efectos que los correos electrónicos facilitados por los asociados al
registrarse sean sus cuentas de contacto particular, profesional o corporativo.
De lo que se colige que los correos electrónicos corporativos o profesionales
que figuran en el punto octavo del Informe de Actuaciones Previas de Inspección
E/00817/2016 son datos de carácter personal, especialmente, si se valora que
identifican a sus titulares y/o usuarios al incluir su nombre y/o apellidos (folio 463)
A tenor de todo lo cual, los datos de carácter personal de los socios y amigos
de ATI registrados en el fichero de ?Asociados? de su titularidad, entre los que se
incluyen los correos electrónicos de contacto de los asociados y amigos, son datos
personales relativos a personas físicas vinculados al sector TIC que, separada o
conjuntamente con otros datos, permiten identificar a los sujetos titulares de dichos
datos personales.
IV
En segundo lugar, fijada la condición de datos de carácter personal de los
correos electrónicos objeto de tratamiento por ATI, resulta necesario determinar si al
tratamiento efectuado por esta Asociación con dicha información le pudiera resultar
de aplicación lo dispuesto en los apartados 2 y 3 del Reglamento de Desarrollo de la
LOPD, aprobado por Real Decreto1720/2007, de 21 de diciembre, que en relación con
el ámbito objetivo de aplicación del citado Reglamento disponen que:
?2. Este reglamento no será aplicable a los tratamientos de datos referidos a
personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas
físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y
apellidos, las funciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan
referencia a ellos en su calidad de comerciantes, industriales o navieros, también se
entenderán excluidos del régimen de aplicación de la protección de datos de carácter
personal. ?
De este modo, quedarán excluidos de las garantías de la LOPD los datos que se
refieran a personas jurídicas en todos los casos, así como los relativos a los
profesionales que organicen su actividad bajo la forma de empresa cuando los datos
hagan referencia a su condición de comerciantes, industriales o navieros y los
referentes a los empresarios individuales en los mismos supuestos.
En sentido contrario, tanto los profesionales como los comerciantes individuales
quedarán bajo el ámbito de aplicación de la LOPD y, por tanto, amparados por ella,
cuando los primeros no tuvieran organizada su actividad profesional bajo la forma de
empresa, no ostentando, en consecuencia, la condición de comerciante (es el caso de
los profesionales liberales), y los segundos cuando no fuera posible diferenciar en cada
caso, clara y terminantemente, su actividad mercantil del propio entorno de su privacidad
como persona física. En estos dos casos deberán aplicarse siempre las garantías y
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
28/46
principios reconocidos en la LOPD dada la naturaleza fundamental del derecho a
proteger.
En el presente supuesto el fichero en el que se encuentran registrados los
correos electrónicos de los que son usuarios o titulares los socios y amigos de ATI no
incluyen esta información como un medio para contactar con las personas jurídicas en la
que éstos pudieran prestar servicios, tal y como requiere el mencionado artículo 2.2 del
RLOPD. Además, el fichero de ?Asociados? no se limita a incorporar los datos que
aparecen detallados en el reseñado artículo, incluyendo también el DNI y fecha de
nacimiento de los afectados, así como datos bancarios de los mismos, información que,
evidentemente, excede de la detallada en dicho precepto.
Tampoco puede entenderse que se produzca el supuesto contemplado en el
artículo 2.3 del RLOPD. ATI no ha acreditado mediante ningún medio de prueba en
derecho que los socios y amigos que recibieron las comunicaciones electrónicas
remitidas desde el servicio MailChimp fueran únicamente empresarios individuales en
los términos del mencionado precepto, es decir que tuvieran organizada su actividad
empresarial como comerciantes, industriales o navieros. De hecho el denunciante
se anuncia como programador senior autónomo en Linkedln, sin especificar otra
condición.
Además, según se desprende de los asuntos de las campañas remitidas por
ATI tanto con anterioridad como con posterioridad a la Sentencia del Tribunal de
Justicia de la Unión Europea (TJUE) de 6 de octubre de 2015, éstas no van
destinadas exclusivamente a comerciantes. De hecho, muchos de los asuntos de las
campañas remitidas por ATI no se refieren a cuestiones empresariales, tal y como
prueban los envíos con asuntos tales como: ?Novedades de diciembre de nuestro
colaborador Ediciones ENI, editorial especializada en libros de informática?, ?Pídenos tu
invitación para la Semana de la educación AULA en Madrid?, ?Convocatoria de
Elecciones a la Junta Directiva General de ATI?, ?TECHNO-LUNCH CTECNO. Vine a
dinar amb en Dídac Lee. Descompte pels socis de l?ATI?, ?Estudio sobre privacidad de
datos en el entorno sanitario?, ?Webinar Gratuito 28 Octubre-Algunas claves para la
informatización de un archivo hospitalario?, ?Presentación de Novática y entrega de
Premio Novática 2015?, (folios 336, 338, 857, 858, 859).
A mayor abundamiento, ATI informa en su portal web que cuenta con diferentes
tipos de socios, habiendo ?socios de número? entendidos como profesionales
vinculados al sector TIC, socios ?Jubilados?, entendidos como socios de número que al
jubilarse y cesar su actividad laboral deciden continuar perteneciendo a ATI, socios
?Adheridos?, que se describen en la web como profesionales informáticos que no
cumplen las condiciones para ser socios de número o socios estudiantes, o también
como personas, que no siendo profesionales informáticos, quieren participar en las
actividades de ATI, además de socios ?Invitados? que son personas que se asocian sin
compromiso ni coste durante un intervalo de tiempo (folios 640 y 641).
Es decir, el tratamiento efectuado se dirige tanto a personas físicas
identificadas que están, o estuvieron, vinculadas profesionalmente con el sector
informático como a personas que no son profesionales informáticos, pero están
interesados en participar en las actividades desarrolladas por ATI dentro del sector
de la informática, aunque no sean profesionales del mismo.
A los efectos de dilucidar el alcance de la posible exclusión de los datos
referidos a personas físicas con una actividad profesional resulta ilustrativa la SAN de
12-05-2011, en la que se indicaba que: ?No puede concluirse, por tanto que los
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
29/46
empresarios individuales y profesionales estén en su conjunto excluidos del ámbito de
protección de la LOPD, sino que se hace necesario diferenciar (y la línea divisoria es
confusa y difusa) cuando un dato del empresario o profesional, se refiere a la vida
privada de la persona y cuando a la empresa o profesión, pues solo en el primer caso
cabe aplicar la protección de la LO 15/1999. Labor de diferenciación que puede basarse
en dos criterios distintos y complementarios.
Uno: el criterio objetivo de la clase y la naturaleza de los datos tratados, según
estén en conexión y se refieran a una esfera (la íntima y personal) o a otra (la
profesional) de la actividad.
Otro: el de la finalidad del tratamiento y circunstancias en que éste se desarrolla,
criterio éste que operaría en aquellos casos en que alguno de los datos profesionales
coincida con los particulares (por ej. coincidencia de domicilio privado con el de la
empresa, o cuando no se pueda acreditar si una deuda es de la empresa o si es
personal del interesado.?
Sentado lo anterior, el tratamiento realizado por esa Asociación no diferencia
la esfera empresarial de la esfera privada o personal de los titulares de los correos
electrónicos incluidos en el fichero de ?Asociados? a los que remiten los envíos, siendo
los sujetos finales del tratamiento las personas físicas en su condición de tales y no
exclusivamente en su condición de comerciantes. Por lo que el tratamiento efectuado
por ATI no se sitúa al margen del régimen de aplicación de la LOPD, no resultando
de aplicación lo dispuesto en los apartados 2 y 3 del RLOPD.
A tenor de todo lo cual, el tratamiento derivado de las transferencias
internacionales de los correos electrónicos de los socios de la Asociación se encuentra
sometido a las garantías de la normativa de protección de datos al afectar al ámbito
privado y personal de los sujetos titulares y usuarios de los mismos.
En consecuencia, debe rechazarse el alegato formulado por ATI en su
contestación a la propuesta de resolución relativo a que nunca se realizaron
transferencias internacionales de datos personales, sino de datos de carácter
profesional de sus asociados, puesto que conforme se ha razonado este tipo de datos
también puede recaer bajo el ámbito objetivo de aplicación de la normativa de
protección de datos.
V
En cuanto al precepto vulnerado y el contexto normativo aplicable al supuesto
estudiado, los artículos 33 y los apartados e) y k) del artículo 34 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo
sucesivo LOPD), establecen que:
1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter
personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos
a dicho tratamiento con destino a países que no proporcionen un nivel de protección
equiparable al que presta la presente Ley, salvo que, además de haberse observado lo
dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de
Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se
evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias
que concurran en la transferencia o categoría de transferencia de datos. En particular,
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
30/46
se tomará en consideración la naturaleza de los datos, la finalidad y la duración del
tratamiento o de los tratamientos previstos, el país de origen y el país de destino final,
las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se
trate, el contenido de los informes de la Comisión de la Unión Europea, así como las
normas profesionales y las medidas de seguridad en vigor en dichos países. ? (el
subrayado es de la AEPD)
?Artículo 34. Excepciones.
Lo dispuesto en el artículo anterior no será de aplicación: (?)
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista. (?)
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en
el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección
adecuado. ?
A su vez, los apartados 1 y 2 del artículo 26 de la LOPD, disponen en relación con
la ?Notificación e inscripción registral? a cumplimentar por el responsable del fichero
que:
?1. Toda persona o entidad que proceda a la creación de ficheros de datos de
carácter personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos
extremos que debe contener la notificación, entre los cuales figurarán necesariamente el
responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter
personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio
o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en
su caso, las transferencias de datos que se prevean a países terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se
produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección
de su ubicación. ?(el subrayado es de la AEPD)
Por su parte el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal, aprobado por Real Decreto
1720/2007, de 21 de diciembre, (en adelante RLOPD), establece en sus artículos 65,
66, 67.1, 68 y 70. 1 y 2 lo siguiente:
?Artículo 65. Cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de
13 de diciembre.
La transferencia internacional de datos no excluye en ningún caso la aplicación
de las disposiciones contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el
presente reglamento.
?Artículo 66. Autorización y notificación.
1. Para que la transferencia internacional de datos pueda considerarse conforme
a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente
Reglamento será necesaria la autorización del Director de la Agencia Española de
Protección de Datos, que se otorgará en caso de que el exportador aporte las garantías
a las que se refiere el artículo 70 del presente reglamento.
La autorización se otorgará conforme al procedimiento establecido en la sección
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
31/46
primera del capítulo V del título IX de este reglamento.
2. La autorización no será necesaria:
a) Cuando el Estado en el que se encontrase el importador ofrezca un nivel
adecuado de protección conforme a lo previsto en el capítulo II de este título.
b) Cuando la transferencia se encuentre en uno de los supuestos contemplados
en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, de 13 de diciembre.
3. En todo caso, la transferencia internacional de datos deberá ser notificada a
fin de proceder a su inscripción en el Registro General de Protección de Datos,
conforme al procedimiento establecido en la sección primera del capítulo IV del título IX
del presente reglamento. ?
?Artículo 67. Nivel adecuado de protección acordado por la Agencia Española de
Protección de Datos.
1. No será precisa autorización del Director de la Agencia Española de
Protección de Datos a una transferencia internacional de datos cuando las normas
aplicables al Estado en que se encontrase el importador ofrezcan dicho nivel adecuado
de protección a juicio del Director de la Agencia Española de Protección de Datos.
El carácter adecuado del nivel de protección que ofrece el país de destino se
evaluará atendiendo a todas las circunstancias que concurran en la transferencia o
categoría de transferencia de datos. En particular, se tomará en consideración la
naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos
previstos, el país de origen y el país de destino final, las normas de Derecho, generales
o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de
la Comisión de la Unión Europea, así como las normas profesionales y las medidas de
seguridad en vigor en dichos países.
Las resoluciones del Director de la Agencia Española de Protección de Datos por
las que se acordase que un determinado país proporciona un nivel adecuado de
protección de datos serán publicadas en el «Boletín Oficial del Estado?.
Artículo 68. Nivel adecuado de protección declarado por Decisión de la Comisión
Europea.
No será necesaria la autorización del Director de la Agencia Española de
Protección de Datos para la realización de una transferencia internacional de datos que
tuvieran por importador una persona o entidad, pública o privada, situada en el territorio
de un Estado respecto del que se haya declarado por la Comisión Europea la existencia
de un nivel adecuado de protección. ?
Artículo 70. Transferencias sujetas a autorización del Director de la Agencia
Española de Protección de Datos.
1. Cuando la transferencia tenga por destino un Estado respecto del que no se
haya declarado por la Comisión Europea o no se haya considerado por el Director de la
Agencia Española de Protección de Datos que existe un nivel adecuado de protección,
será necesario recabar la autorización del Director de la Agencia Española de
Protección de Datos.
La autorización de la transferencia se tramitará conforme al procedimiento
establecido en la sección primera del capítulo V del título IX del presente
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
32/46
reglamento.
2. La autorización podrá ser otorgada en caso de que el responsable del fichero
o tratamiento aporte un contrato escrito, celebrado entre el exportador y el importador,
en el que consten las necesarias garantías de respeto a la protección de la vida privada
de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio
de sus respectivos derechos.
A tal efecto, se considerará que establecen las adecuadas garantías los
contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión
Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE, de 27 de diciembre de
2001, y 2004/915/CE, de 27 de diciembre de 2004 o de lo que dispongan las Decisiones
de la Comisión que den cumplimiento a lo establecido en el artículo 26.4 de la Directiva
95/46/CE. ?
A su vez los apartados j), ñ) y s) del artículo 5 del RLOPD definen los conceptos
utilizados en los preceptos anteriormente reseñados en los siguientes términos:
?j) Exportador de datos personales: la persona física o jurídica, pública o privada,
u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto
en el presente Reglamento, una transferencia de datos de carácter personal a un país
tercero.?
?ñ) Importador de datos personales: la persona física o jurídica, pública o
privada, u órgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer país, ya sea responsable del tratamiento,
encargada del tratamiento o tercero. ?
?s) Transferencia internacional de datos: Tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien
constituya una cesión o comunicación de datos, bien tenga por objeto la realización de
un tratamiento de datos por cuenta del responsable del fichero establecido en territorio
español. ?
VI
El artículo 43.1 de la vigente LOPD establece que: ?Los responsables de los
ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador
establecido en la presente Ley.?, atribuyendo a ambas figuras la condición de
responsables de las infracciones previstas en dicha, concepto que debe integrarse con
la definición que de los mismos realiza el artículo 3.d) de la LOPD al entender
como: ?Responsable del fichero o tratamiento? a ?la persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento?, por lo que ambas figuras están sujetas al régimen
sancionador de la LOPD.
Por su parte, el artículo 5.1.q) del RLOPD define como tal a la ?persona física o
jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento,
aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.?
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
33/46
A su vez, los apartados b), c), y e) del mencionado artículo 3 de la LOPD
definen los siguientes conceptos:
?b) ?Fichero:? Todo conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.?
?c) Tratamiento de datos como aquellas ?operaciones y procedimientos técnicos
de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias?,
?e) Afectado o interesado: persona física titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente artículo.?
De acuerdo con los preceptos de la normativa de protección de datos transcritos,
ATI resulta responsable de la creación y mantenimiento del fichero ?Asociados?, así
como del tratamiento efectuado con los datos de carácter personal incorporados al
mismo con la finalidad de gestionar las diferentes actividades desarrolladas por la
Asociación en orden al cumplimiento de sus finalidades y mantenimiento de su
relación con los socios y amigos de la misma, lo que incluye la decisión adoptada por
ATI, como responsable del fichero y del tratamiento, de comunicar las direcciones
de correo electrónico de sus asociados y amigos a la empresa TRS, radicada
en Estados Unidos, para que ésta le prestase el servicio de envío de correos
electrónicos de la Asociación a través de MailChimp
En definitiva, esta comunicación de datos de carácter personal por ATI a un
tercero para la prestación de un servicio supone una transmisión de los mismos
fuera del territorio del Espacio Económico Europeo, lo que constituye un tratamiento
de datos que recae bajo la órbita de responsabilidad directa de esa Asociación, que
en su condición de responsable del mencionado fichero decidió sobre la finalidad y
uso de parte de los datos de carácter personal incorporados al fichero
?Asociados?, motivo por el cual ostenta una posición jurídica susceptible de generar
responsabilidades administrativas derivadas del incumplimiento de la LOPD .
VII
En el presente caso hay que tener en cuenta que las transferencias
internacionales de datos realizadas por ATI a la empresa TRS, radicada en los
EEUU, entre el 14 de junio de 2014, fecha de inicio de la relación contractual entre
los referidos exportador e importador de datos personales, hasta el 6 de octubre de
2015 se amparaban en la Decisión de la Comisión 2000/520/CE, que consideraba
que el acuerdo de ?Puerto Seguro? ofrecía una nivel adecuado de protección para las
transferencias internacionales de datos desde la Unión Europea a Estados Unidos.
Sin embargo, desde la declaración de invalidez de la Decisión 2000/520/CE
adoptada por el TJUE en Sentencia C-362/14 de fecha 6 de octubre de 2015 pasa a
entenderse que el acuerdo de ?Puerto Seguro? no proporciona un nivel adecuado de
protección de las garantías para la realización de transferencias de datos desde la
Unión Europea a EEUU. Atendido que esta situación afecta directamente a las
transferencias de los correos electrónicos que ATI ha realizado para que TRS
pudiera prestarle el servicio de gestión de sus comunicaciones electrónicas, puesto
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
34/46
que dicho tratamiento ya no puede encontrar amparo legal en la adhesión de TRS a
la Decisión de ?Puerto Seguro? para las transferencias internacionales, se estima que
dicha entidad debió acudir a la norma general del artículo 33 de dicha Ley respecto
del movimiento internacional de datos, así como como al resto de preceptos de la
normativa de protección de datos vinculados al régimen de transferencias
internacionales de datos.
Debe rechazarse la interpretación efectuada por ATI del contenido de las
diferentes notas de prensa realizadas por la AEPD que lleva a esa Asociación a
defender que conforme a las mismas la infracción se circunscribiría, en su caso, al
período temporal comprendido entre el 30 de enero y el 2 de febrero de 2016.
Sobre este particular, en primer lugar señalar que los comunicados realizados
desde el Grupo de Trabajo del Artículo 29, así como las notas de prensa o publicaciones
realizadas desde la Agencia Española de Protección de datos, en nada modifican la
responsabilidad que se atribuye a ATI en la comisión de la infracción que ahora se
analiza. Así, en la nota de prensa de fecha 19 de octubre de 2015, referente a la
publicación de una declaración conjunta de las Autoridades Europeas de Protección de
Datos en relación con la aplicación se la sentencia del TJUE sobre Puerto Seguro, se
advierte claramente que durante el período que se buscan soluciones políticas,
jurídicas y técnicas que permitan transferencias de datos al territorio de EEUU
respetando los derechos fundamentales, ?las Autoridades de protección de datos
consideran que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes
(BCRs) pueden seguir utilizándose. En cualquier caso, esto no impedirá que las
Autoridades de protección de datos investiguen casos particulares, por ejemplo a partir
de denuncias, y ejerzan sus poderes con el fin de proteger a las personas?.
También en dicha nota, tras precisar que ?las transferencias que aún se estén
llevando a cabo bajo la Decisión Puerto Seguro tras la sentencia del TJUE son
ilegales.?, se indica que ?Con el fin de garantizar que todos los actores están
suficientemente informados, las Autoridades de protección de datos de la UE van a
poner en marcha campañas de información adecuadas en sus respectivas países. Esto
puede incluir información directa a todas las empresas respecto de las que conste que
utilizaban la Decisión de Puerto Seguro, así como mensajes generales en los sitios web
de las Autoridades.?
En dicha comunicación, por lo tanto, se advertía la posibilidad de iniciar
actuaciones de investigación en caso de denuncia, tal y como ha ocurrido en este caso
a raíz de la denuncia presentada con fecha 29 de enero de 2016 por un afectado, ya
que en ningún caso la AEPD puede hacer dejación de sus funciones y competencias.
Posteriormente en la comunicación de fecha 9 de diciembre de 2015, sobre la
aplicación de la sentencia de Puerto Seguro, la AEPD señalaba que ?El marco
temporal definido por las Autoridades europeas de protección de datos se concreta, en
el caso de España, en que los responsables informen al Registro General de Protección
de Datos de la AEPD antes de finales de enero sobre la continuidad de las
transferencias y sobre su adecuación a la normativa de protección de datos. La Agencia
en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores
por defecto contra las empresas. En la comunicación enviada a los responsables, la
AEPD sólo indica que, de no modificarse la base legal para la realización de
transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la
suspensión temporal de transferencias. ?
Al hilo del contenido de dichas comunicaciones, conviene recalcar que ATI no
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
35/46
recibió la comunicación de 29 de octubre de 2015 enviada a los responsables dado
que la AEPD no tenía constancia en esa fecha, anterior a la formulación de la
denuncia, que dicha Asociación realizaba transferencias internacionales de datos a
EEUU, ya que no había notificado al RGPD de la AEPD este tipo de tratamientos
con carácter previo a su realización material.
En cuanto a la nota de prensa de 3 de febrero de 2016, se trata de una
información facilitada por la AEPD ?con el objetivo de ofrecer información a los
responsables que realizan transferencias de datos a EEUU? que se limita a señalar
que la Comisión Europea y EEUU anuncian un nuevo marco para la realización de
transferencias internacionales, advirtiendo, además, que la ?CE ha anunciado que en
las próximas semanas prepara un borrador de ?Decisión de adecuación?. Por lo que
dicha nota de prensa no modifica en modo alguno la situación anterior, ni exime del
cumplimiento a los responsables del tratamiento de obtener la autorización a la que se
refiere el artículo 33 de la LOPD .
En cuanto a la nota de prensa de la AEPD de 29 de junio de 2016 trata de la
inauguración de la 8ª Sesión Anual Abierta de la AEPD por el ministro de Justicia en
funciones, refiriéndose básicamente a los retos de asumir el nuevo Reglamento
General de Protección de Datos.
Además, tampoco consta que ATI con posterioridad a la Sentencia de 6 de
octubre de 2015 procediese a notificar la modificación del fichero ?Asociados? a fin de
regularizar la falta de inscripción previa en el fichero Registro General de Protección
de Datos de la AEPD de las transferencias internacionales de datos que venía
realizando con las cuentas de correo registradas en dicho fichero desde que en
junio de 2014 contrató el servicio MailChimp de TRS, no obstante que el artículo 66.3
del RLOPD señala que: ?En todo caso, la transferencia internacional de datos deberá
ser notificada a fin de proceder a su inscripción en el Registro General de Protección de
Datos, conforme al procedimiento establecido en la sección primera del capítulo IV del
título IX del presente reglamento.? .
Igualmente, en el período posterior a la reseñada STJUE, en el que consta
que ATI continuó realizando transferencias internacionales de datos a EEUU, dicha
Asociación no solicitó la iniciación de procedimiento de autorización de
transferencias internacionales de datos de conformidad con lo dispuesto en el artículo
137.1 del RLOPD, precepto que establece que: ?1. El procedimiento para la obtención
de la autorización para las transferencias internacionales de datos a países terceros a
las que se refiere artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre , y el
artículo 70 de este Reglamento se iniciará siempre a solicitud del expendedor que
pretenda llevar a cabo la transferencia.? . Del mismo modo que no consta que ATI
suscribiese el contrato de ?Condiciones adicionales de tratamiento de datos de
MailChimp ? De conformidad con las cláusulas contractuales tipo?, (Additional Terms
for Data Procecessing), puesto por TRS a disposición de sus clientes de la Unión
Europea tras la sentencia del TSJE anulando la decisión de la Comisión que
declaraba el nivel adecuado de protección del ?Puerto Seguro? .
En todo caso, la afiliación de TRS al mecanismo ?Privacy Shield? o ?Escudo
de Privacidad? con fecha 21 de noviembre de 2016 resulta irrelevante a los efectos que
nos ocupan, ya que dicha circunstancia se produce meses después de haber finalizado
la relación contractual existente entre ambas partes.
En consecuencia, del análisis de las citadas notas de prensa o comunicaciones
no se desprende el reconocimiento por la Agencia de un periodo de transitoriedad
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
36/46
como pretende ATI , ni supone tampoco una declaración de la falta de previsión de
la Agencia o de la Unión Europea, sino que, por el contrario, responden a un interés de
transparencia informativa en relación con la situación creada a raíz de la Sentencia
de fecha 6 de octubre de 2015.
Finalmente, se rechaza que de la redacción de la propuesta de resolución
se abran responsabilidades derivadas del mal funcionamiento de las Instituciones
Europeas por vulneración de los artículos 6, 8, 21, 41, 48 y 53 de la Carta de Derechos
Fundamentales de los Ciudadanos de la UE, máxime cuando ATI se limita a reseñarlos
sin justificar el modo concreto en que se hayan podido ver conculcados los
derechos a la libertad y a la seguridad, a la protección de datos de carácter personal,
a la prohibición de toda discriminación, a una buena administración, a la presunción de
inocencia y a un nivel de protección que dichos artículos recogen. Esta afirmación
se realiza por la inculpada obviando que la tramitación del presente procedimiento
sancionador obedece, precisamente, a la defensa del derecho a la protección de los
datos de carácter personal de los asociados y amigos de ATI cuyos correos
electrónicos fueron objeto de transferencias internacionales a un prestador de
servicios situado en un país que no garantizaba un nivel de protección adecuado,
tratamiento que dicha Asociación realizó entre el 20 de octubre de 2015 y el 29 de
marzo de 2016 sin disponer de autorización previa de la Directora de la AEPD ni
del consentimiento inequívoco de los afectados para realizar tales transferencias
internacionales de datos, de las que la AEPD tuvo conocimiento a raíz de la
denuncia contra dicha Asociación de fecha 20 de enero de 2016.
VIII
En cuanto a la alegación relativa a la primacía del Derecho Comunitario como
consecuencia de la entrada en vigor del Reglamento General de Protección de Datos
(RGPD), que establece un nuevo régimen sancionador en relación con el
previsto en la LOPD, debe señalarse que, precisamente debido a la prelación alegada
en el presente supuesto resultan de aplicación las Disposiciones finales recogidas en
los artículos 94 y 99 del citado RGPD que establecen lo siguiente:
?Artículo 94
Derogación de la Directiva 95/46/CE
1. Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de
2018.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente
Reglamento. Toda referencia al Grupo de protección de las personas en lo
que respecta al tratamiento de datos personales establecido por el artículo
29 de la Directiva 95/46/CE se entenderá hecha al Comité Europeo de
Protección de Datos establecido por el presente Reglamento.?
?Artículo 99.
Entrada en vigor y aplicación:
1. El presente Reglamento entrará en vigor a los veinte días de su
publicación en el Diario Oficial de la Unión Europea.
2. Será aplicable a partir del 25 de mayo de 2018.?
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
37/46
Por lo que aunque el RGPD haya entrado en vigor el 25 de mayo de 2016 no
comenzará a aplicarse hasta dos años después, el 25 de mayo 2018, plazo de tiempo
en el que tanto la Directiva 95/46/CE como las normas nacionales que la trasponen,
entre ellas la LOPD, siguen siendo válidas y de aplicación, incluido el régimen
sancionador contenido en la citada Ley Orgánica 15/1999, de 13 de diciembre.
En conclusión, no se puede aplicar retroactivamente una norma como el RGPD
que no es de aplicación hasta el 25 de mayo de 2018 conforme a lo dispuesto en el
citado artículo 99 de la misma, no procediendo, por tanto, entrar a valorar si la aplicación
del régimen sancionador del RGPD sería más favorable para ATI.
A mayor abundamiento en relación con la supuesta aplicación al caso analizado
de una serie de preceptos recogidos en el RGPD, cabe indicar que los presupuestos
que regulan los artículos 1.3 y 9.d) y e) de dicho Reglamento invocados por ATI al
contestar la propuesta de resolución no se ajustan al supuesto de hecho analizado. De
esta forma el artículo 1.3 se refiere a ?la libre circulación de los datos personales en
la Unión?, mientras que el tratamiento estudiado se refiere a transferencias
internacionales de datos. Por su parte, las excepciones contempladas en los
apartados d) y e) del artículo 9.2 del mismo Reglamento, precepto relacionado con el
Considerando 51 también citado por ATI, se refieren a categorías especiales de
datos personales entre las que no se encuentran las direcciones de correo
electrónico de los afiliados y amigos de ATI objeto de tratamiento, a lo que se suma
que dicha Asociación no responde a una finalidad política, filosófica, religiosa o
sindical.
IX
El artículo 44.4.e) de la LOPD tipifica como infracción muy grave, ?La
transferencia internacional de datos de carácter personal con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la
Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a
esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria?
En el presente caso se da la conducta descrita en el citado artículo, al estar
acreditado en el procedimiento que ATI (exportador de datos personales y responsable
del fichero ?Asociados?) después de la Sentencia C-362/2014 del TJUE realizó una
serie de transferencias internacionales de correos electrónicos registrados en su
fichero de ?Asociados? a la empresa estadounidense TRS (importador de datos
personales) para que ésta efectuase un tratamiento de dichos datos por cuenta de
la referida Asociación, tratamiento que ATI llevó a cabo sin disponer de autorización
previa de la Directora de la AEPD para realizar dichas transferencias
internacionales de datos (correos electrónicos) a EEUU, país que tras haberse
invalidado la Decisión de la Comisión 2000/520/CE relativa al acuerdo de ? Puerto
Seguro? no disponía de un nivel adecuado de protección de las garantías
para las transferencias internacionales de datos a EEUU en las fechas en que se
realizó el tratamiento objeto de estudio, no produciéndose tampoco la excepción
contemplado en el artículo 34.3 de la LOPD a dicha autorización.
Asimismo los citados hechos son imputables a ATI a título de culpa, ya que si
bien no puede estimarse que haya existido intencionalidad en la conducta descrita, si se
ha producido una evidente falta de diligencia de ATI en orden a adoptar medidas
tendentes a obtener la autorización de la Directora para la realización de las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
38/46
transferencias internacionales de datos estudiadas. Sobre este particular se resalta que
durante los seis meses posteriores a la Sentencia ATI siguió transfiriendo a los EEUU
datos sin realizar ninguna acción tendente a solventar dicho incumplimiento.
En este sentido, se recuerda que el artículo 5.1 t) del RLOPD considera
tratamiento de datos ?(...) las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias?.
X
El artículo 45 de la LOPD, apartados 2 al 5, establece:
?2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000
euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción
la entidad imputada tenía implantados procedimientos adecuados de actuación en la
recogida y tratamiento de los datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado
o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de
varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma
diligente.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
39/46
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción
fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.?
En el presente caso se estima que procede aplicar la minoración cualificada
prevista en el apartado 5.a) del artículo 45 de la LOPD por la concurrencia significativa
de varios criterios del apartado 4 del mismo precepto.
En concreto, operan los apartados d) y e) del artículo 45.4 en atención a
que no puede obviarse que estamos ante una Asociación sin ánimo de lucro que
desarrolla su actividad en beneficio de los asociados generando un volumen de negocio
que no tiene carácter lucrativo, no constando que a raíz de la comisión de la infracción
descrita ATI haya obtenido beneficios económicos o de otra naturaleza.
Procediendo, por tanto, establecer la cuantía de la sanción en la escala inferior
en gravedad y fijar la cuantía de la sanción en la horquilla de 40.001 ? a 300.000 ?
prevista para las infracciones graves.
En cuanto a la determinación de la sanción a imponer dentro del intervalo de las
infracciones leves, se considera operan como agravantes a los efectos de dicha
graduación la concurrencia de los criterios a), b) y j) del apartado 4 del artículo 45 de
la LOPD.
Así, respecto del carácter continuado de la infracción (criterio a), de lo actuado
se desprende que con posterioridad a la anulación por el TJUE de la Decisión de la
Comisión 2000/50/CE, la Asociación denunciada continuó transfiriendo los datos de
los correos electrónicos de los socios y amigos de ATI a la empresa estadounidense
prestadora del servicio MailChimp para la realización de once campañas que se
desarrollaron entre el 20 de octubre de 2015 y el 29 de marzo de 2016 sin mediar
autorización previa de la Directora de la AEPD para ello, ni haber acreditado durante
la tramitación del expediente que los titulares de los datos afectados por las
transferencias hubieran dado su consentimiento inequívoco a las mismas con esa
finalidad. De lo que se colige que hasta que rescindió su relación contractual con TRS
con fecha 4 de abril de 2016, es decir, prácticamente seis meses después de dictarse
la reseñada Sentencia, la denunciada no dejó de realizar transferencias
internacionales datos de carácter personal a un país que no contaba con un nivel
adecuado de protección de los derechos fundamentales consagrados en los artículos
7 y 8 de la Carta de Derechos Fundamentales de la UE.
Respecto del volumen de los tratamientos efectuados, (criterio b) se destaca el
elevado número de correos electrónicos registrados en el fichero ?Asociados? cuyo
tratamiento se vio afectado en cada una de las once campañas descritas, y que
conforme a lo reflejado en el Hecho Probado Decimosegundo de esta resolución
únicamente descendió en los dos últimos envíos o campañas.
Asimismo, se entiende como circunstancia agravante relevante (criterio j) la
conducta poco colaboradora mostrada por la Asociación con la labor inspectora de la
AGPD, en tanto que con fecha 30 de marzo de 2016 ATI solicitó posponer la visita de
inspección inicialmente prevista para el 5 de abril de 2016 por motivos de agenda del
asesor jurídico de la Asociación que iba a estar presente en la actuación, fijándose,
finalmente la realización de la visita para el día 12 de abril de 2016, fecha en la que
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
40/46
pudo comprobarse que la suspensión del servicio ?MailChimp? se produjo cuatro días
después de que ATI tuviera conocimiento de que iba a realizarse una inspección
presencial en sus instalaciones relacionada con la utilización del mencionado servicio
de correo electrónico. De esta forma, con la suspensión del servicio los inspectores
actuantes no pudieron realizar en la cuenta de usuario de MailChimp de ATI
comprobaciones sobre aspectos relevantes para la investigación al estar suspendido
el servicio desde el 4 de abril de 2016.
Con arreglo a la concurrencia de las mencionadas circunstancias agravantes
(apartados a), b) y j) del citado artículo 45.4 de la LOPD), se considera acorde con el
principio de proporcionalidad de las sanciones imponer una multa de 45.000 euros a
ATI como responsable de la comisión de la infracción calificada como muy grave en
el art. 44.4 de la LOPD, cuantía comprendida dentro de la escala de las infracciones
leves con arreglo a lo previsto en el artículo 45.5. a) de dicha norma.
XI
La segunda infracción que se imputa a ATI es la vulneración del artículo 22.2
LSSI, precepto que bajo la rúbrica ?Derechos de los destinatarios de los servicios?,
dispone lo siguiente:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición de que los
mismos hayan dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario
para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al
solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el destinatario?.
La protección que otorga el citado precepto tiene su justificación en la medida en
que, en muchos casos, los usuarios que utilizan los servicios de Internet desconocen
que el acceso a los mismos puede conllevar la instalación de dispositivos, ficheros o
archivos que no sólo proporcionan información que permite mejorar la navegación y
prestar correctamente el servicio solicitado , sino que también posibilitan, con las
implicaciones para la privacidad de los usuarios que ello supone, la recogida actualizada
y continuada de datos relacionados con su comportamiento. En el caso que nos ocupa,
el uso de estos dispositivos y tecnologías, permitía conocer tanto ATI como a TRS la
apertura correos electrónicos y el uso de los enlaces contenidos en los mismos para
cada uno de los destinatarios. La propia TRS informa en su política de privacidad de que
podrá utilizar esa información para medir la efectividad de sus campañas de correo
electrónico y mejorar las características del servicio para segmentos específicos de
clientes y que podrá obtener más información de sus clientes y suscriptores como
nombre, edad y uso de redes sociales realizando búsquedas en Internet o consultando
con terceras partes con la finalidad de elaborar perfiles que ayuden al cliente a conocer
sus suscriptores.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
41/46
Por lo tanto, para garantizar la utilización de tales dispositivos con fines
legítimos y con el conocimiento de los usuarios afectados, que con mayor frecuencia
recurren a Internet para la realización de sus actividades cotidianas, la regulación
comunitaria y nacional establecen la obtención de un consentimiento informado con el
fin de asegurar que éstos puedan conocer del uso de sus datos y las finalidades para
las que son utilizados.
Igualmente, conviene señalar que el citado artículo 22.2 de la LSSI extiende su
alcance a cualquier tecnología utilizada por los prestadores de servicios de la sociedad
de la información para almacenar información o acceder a información asociada al
uso de este tipo de servicios.
La normativa citada establece que para que el consentimiento otorgado por el
usuario sea válido, éste deberá ser informado de manera previa, clara y completa por
parte del prestador de servicios de la sociedad de la información. Para ello resulta
esencial informar sobre los tipos de dispositivos que se utilizan, indicando, en todo caso
si son de primera o de tercera parte,- en cuyo caso se identificará al tercero-, sus
respectivas finalidades, aludir a las acciones concretas que supongan la obtención del
consentimiento y expresar los procedimientos de rechazo o bloqueo para su instalación.
XII
Dicho precepto se ha integrado en la LSSI utilizando conceptos propios de dicha
norma; y se trata de conceptos legales, no vulgares, que cuentan con una definición
establecida en la propia ley que los delimita.
Por un lado, tanto la rúbrica del artículo como el tenor literal del artículo hablan
del destinatario, que según el apartado d) del Anexo de la LSSI es la ?persona física o
jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la
información. ?
Por otro lado, el Anexo de la LSSI define en su apartado c) al prestador de
servicios como la ?persona física o jurídica que proporciona un servicio de la sociedad
de la información?. Y por servicio de la sociedad de la información el apartado a)
entiende ?todo servicio prestado normalmente a título oneroso, a distancia, por vía
electrónica y a petición individual del destinatario.?
El concepto de servicio de la sociedad de la información comprende también los
servicios no remunerados por sus destinatarios, en la medida en que constituyan una
actividad económica para el prestador de servicios.
Son servicios de la sociedad de la información, entre otros y siempre que
representen una actividad económica, los siguientes:
1.º La contratación de bienes o servicios por vía electrónica.
2.º La organización y gestión de subastas por medios electrónicos o de
mercados y centros comerciales virtuales.
3.º La gestión de compras en la red por grupos de personas.
4.º El envío de comunicaciones comerciales.
5.º El suministro de información por vía telemática.
No tendrán la consideración de servicios de la sociedad de la información los
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
42/46
que no reúnan las características señaladas en el primer párrafo de este apartado y, en
particular, los siguientes: (?.)
Conforme a las definiciones legales anteriores se considera que ATI, en su
condición de titular del sitio web www. ati.es y responsable de la remisión de los
correos electrónicos en los que se incluían dispositivos de seguimiento de la actividad
de los destinatarios de tales envíos, ostenta la condición de Prestador de Servicios
de la Sociedad de la Información, debiendo, en consecuencia, dar cumplimiento a las
obligaciones previstas en el artículo 22.2 de la LSS para dicha figura , y en caso de
incumplimiento de las mismas, sujeto al régimen sancionador previsto en dicha norma.
De acuerdo con la redacción del artículo 22.2 de la LSSI y el sentido legal de los
conceptos empleados en el mismo, el prestador de servicios de la sociedad de la
información podrá utilizar los referidos dispositivos en relación con una persona física
o jurídica que utilice, sea o no por motivos profesionales, un servicio de la sociedad de la
información, ello a condición de que el destinatario haya dado su consentimiento una
vez que se le haya facilitado información clara y completa sobre su utilización.
No obstante, y aunque pudieran afectar al tratamiento de datos en las
comunicaciones electrónicas, el tercer párrafo del reseñado artículo introduce
determinadas exenciones al cumplimiento de las exigencias fijadas en dicho precepto,
siempre y cuando todas y cada una de las finalidades para las que se utilicen los
citados dispositivos estén individualmente exentas del deber de informar y obtener el
consentimiento sobre su uso.
La primera exención requiere que su utilización tenga como único fin permitir la
comunicación entre el equipo del usuario y la red. La segunda exención requiere que la
instalación de estos dispositivos sea necesaria para la prestación de un servicio de la
sociedad de la información expresamente solicitado por el usuario.
XIII
En este supuesto del análisis de la documentación aportada por el denunciante
así como de la valoración del conjunto de elementos de juicio obrantes en el
procedimiento, se evidencia que la denunciada no facilitó, con anterioridad a la
realización de los envíos de las campañas, ningún tipo de información a los destinatarios
de los correos electrónicos (socios y amigos de ATI) remitidos por esa Asociación a
través de MailChimp, servicio de envío de correo electrónico gestionado por TRS,
relativa a la instalación por parte del tercero prestador del citado servicio en dichos
envíos de dispositivos de seguimiento de la actividad de los destinatarios a fin de
controlar la apertura de los correos y la pulsación de los enlaces contenidos en los
correos, y poder elaborar con la información recabada informes de seguimiento de las
campañas.
Conviene señalar que ATI no ha acreditado haber informado previamente de
dicha circunstancia a los afectados destinatarios de los envíos en el plazo en que se
mantuvo vigente la relación contractual entre ATI y TRS, comprendido entre el 14 de
junio de 2014 y el 4 de abril de 2016. En esta misma línea, se observa que consta en
el procedimiento documentación acreditativa aportada por el denunciante que prueba
que las campañas remitidas con fechas 26/06/2015, 01/07/2015, 09/10/15,
13/10/2015, 22/10/2015, 02/11/2015, 13/11/2015, 18/11/2015, 23/11/2015, y
11/01/2016 incluían dispositivos de seguimiento de apertura de correos electrónicos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
43/46
(web beacons) y de pulsación de enlaces (alteración de enlaces de los emails), obrando
también en el expediente las manifestaciones del inspector actuante referentes a que
los envíos que ATI le reenvió correspondientes a las campañas de 11 de enero y 29
de marzo de 2016 contenían dispositivos de seguimiento de pulsación de enlaces.
Al hilo de lo cual se observa que en la ?Nota Legal? de la página web de ATI,
en la que se indican las finalidades para las que se recaban los datos de carácter
personal de los usuarios vía formulario o correo electrónico, no se informa sobre
la instalación de los reseñados dispositivos de seguimiento en los correos
electrónicos enviados con información sobre los productos y servicios de ATI ni se
solicita su autorización para ello.
Esta falta de información por ATI se produce a pesar de que la entidad
prestadora del servicio MailChimp si informaba a los usuarios y clientes de dicha
herramienta que recopilaban información por campaña relativa al seguimiento de
aperturas de los envíos y seguimiento de clicks en los enlaces contenidos en
los envíos al objeto de elaborar informes estadísticos sobre el comportamiento de los
destinatarios, a la par que señalaba que la habilitación del seguimiento de clicks era
obligatoria para todas las cuentas gratuitas y las cuentas de pago, especificando la
forma y momento de desactivar dicha herramienta respecto de estas últimas cuentas,
informando también que el seguimiento de aperturas estaba activado por defecto.
A mayor abundamiento, en el Acta de Inspección levantada con fecha 12 de
abril de 2016 con motivo de la inspección practicada en las instalaciones de Barcelona
de ATI, y suscrita, además de por los Inspectores de la AEPD actuantes, por el
Gerente de ATI, figura que los representantes de esa Asociación manifestaron en
respuesta a las cuestiones planteadas por dichos inspectores que: ?Al contratar el
servicio MailChimp fueron conocedores de la capacidad de seguimiento del servicio,
pero no fueron esas capacidades de uso las que llevaron al cambio.?, de lo que se
colige que eran conocedores del uso de los mencionados dispositivos, a pesar de lo
cual no informaron previamente a los usuarios afectados de su instalación y de su
funcionalidad.
ATI alega en su descargo que aunque los inspectores de la AEPD tuvieron
acceso a todos los servidores e información no localizaron ningún perfil ni pruebas de
que se hubieran hecho servir las capacidades de seguimiento del servicio MaillChimp.
Frente a dicha afirmación, hay que señalar, en primer lugar, que basta con
no informar al destinatario del servicio de la sociedad de la información de la utilización
y/o de las finalidades a las que responde el uso de este tipo de dispositivos de
seguimiento para entender vulnerado el deber de informar previo a dicho uso y,
por ende, a la obtención del consentimiento informado de los destinatarios del servicio,
obligación que recae sobre el responsable del servicio de la sociedad de la
información en cuestión. En segundo lugar, puntualizar que en el Informe de
Actuaciones Previas de Inspección consta que los inspectores no pudieron acceder a
los informes de seguimiento de las campañas del mencionado servicio el sistema
denegaba el acceso al haberse suspendido el servicio con fecha 4 de abril de 2016,
cinco días después de que ATI tuviese conocimiento de que iba a realizarse una
inspección que afectaba a sus servicios de correo electrónico.
A tenor de todo lo cual, se considera acreditado el incumplimiento por ATI de
las garantías recogidas en el artículo 22.2 de la LSSI exigibles a todos los prestadores
de servicios de la Sociedad de la Información.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
44/46
XIV
En definitiva, ATI ha vulnerado el derecho de los destinatarios de los
correos electrónicos remitidos por ATI a través del servicio MailChimp de TRS, a
obtener información clara y completa, y previa a su instalación, sobre el uso y
finalidades de los dispositivos de seguimiento que se incluían en dichos envíos
por el prestador de dicho servicio de correspondencia electrónica, incumpliéndose por
ATI lo dispuesto en el primer párrafo del artículo 22.2 de la LSSI .
Esta conducta, encuentra su tipificación en la infracción leve prevista en el
artículo 38.4.g) de la LSSI, precepto que considera como infracción leve: ?Utilizar
dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado
la información u obtenido el consentimiento del destinatario del servicio en los términos
exigidos por el artículo 22.2.?
En este caso, durante todo el tiempo en que se mantuvo la relación contractual
con TRS, y más concretamente en el período comprendido entre el 26 de junio de
2015 y el 29 de marzo de 2016, en el que se remitieron las campañas en las que se
enmarcan los correos electrónicos aportados por el denunciante y los envíos
localizados a raíz de la inspección practicada el 12 de abril de 2016, no consta
acreditado que esa Asociación adoptase alguna medida tendente a adecuar su
conducta al cumplimiento a las exigencias informativas establecidas en el artículo 22.2
de la LSSI.
Se observa que esta falta de información por parte de ATI se produjo no
obstante que TRS informaba en las páginas web asociadas al servicio MailChimp,
según consta en los Hechos Probados noveno y décimo, de los tipos y finalidades de
los dispositivos de seguimiento utilizados para controlar la actividad de los destinatarios
de los correos electrónicos y crear informes sobre el desarrollo de las campañas.
XV
A tenor de lo establecido en el artículo 39.1.c) de la LSSI, las infracciones leves
podrán ser sancionadas con multa de hasta 30.000 ?, estableciéndose los criterios para
su graduación en el artículo 40 de la misma norma, el cual dispone:
?La cuantía de las multas que se impongan se graduará atendiendo a los
siguientes criterios:
a) La existencia de intencionalidad.
b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.
c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando
así haya sido declarado por resolución firme.
d) La naturaleza y cuantía de los perjuicios causados.
e) Los beneficios obtenidos por la infracción.
f) Volumen de facturación a que afecte la infracción cometida
g) La adhesión a un código de conducta o a un sistema de autorregulación
publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en
el artículo 18 o en la disposición final octava y que haya sido informado favorablemente
por el órgano u órganos competentes.?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
45/46
A los efectos de la aplicación del principio de proporcionalidad en la graduación
de las sanciones a imponer recogidos en el artículo 40 de la LSSI, se considera que en
este caso actúa como circunstancia agravante de especial relevancia el criterio b)
del mismo, ya que ATI no facilitó información a sus asociados sobre el uso de
DARD de tercera parte del servicio MailChimp durante todo el tiempo en que mantuvo
la relación contractual con TRS, que se prolongó entre el 14 de junio de 2014 y el 4
de abril de 2016.
En consecuencia, en aplicación del principio de proporcionalidad recogido en el
artículo 40 de la LSSI y 131 de la LRJ-PAC, se considera adecuado a la gravedad de
los hechos imponer una sanción de 5.000 ? a la inculpada como responsable de la
comisión de una infracción al artículo 22.2 de la LSSI.
Vistos los preceptos citados y demás de general aplicación,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA (ATI), por
una infracción del artículo 33 de la LOPD, tipificada como muy grave en el artículo
44.4.d) de dicha norma , una multa de 45.000 ? (Cuarenta y cinco mil euros), de
conformidad con lo establecido en los apartados 2 al 5 del artículo 45 de la citada Ley
Orgánica.
SEGUNDO: IMPONER a la ASOCIACIÓN DE TÉCNICOS DE INFORMÁTICA (ATI),
por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo
38.4.g) de dicha norma , una multa de 5.000 ? (Cinco mil euros), de conformidad con
lo establecido en los artículos 39.1.c) y 40 de la citada Ley.
TERCERO: NOTIFICAR la presente resolución a la ASOCIACIÓN DE TÉCNICOS DE
INFORMÁTICA (ATI) y a Don A.A.A. .
CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el
plazo de pago voluntario que señala el artículo 68 del Reglamento General de
Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el
art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000 abierta a nombre de la Agencia
Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se
procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días
1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación
entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el
5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a
lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el
Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
46/46
de noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común, los interesados podrán interponer,
potestativamente, recurso de reposición ante la Directora de la Agencia Española de
Protección de Datos en el plazo de un mes a contar desde el día siguiente a la
notificación de esta resolución, o, directamente recurso contencioso administrativo ante
la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo
dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley
29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el
plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según
lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es