Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00379-2021 de 22 de septiembre de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 84 min
Órgano: Agencia Española de Protección de Datos
Fecha: 22/09/2022
Num. Resolución: PS-00379-2021
Cuestión
1 / 37Expediente Nº: PS/00379/2021
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 9 de diciembre de 2021 , la Directora de la Agencia...
Contestacion
1/37
? Expediente Nº: PS/00379/2021
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 9 de diciembre de 2021, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a B.B.B. (en adelante la
parte reclamada). Notificado el acuerdo de inicio y tras analizar las alegaciones
presentadas, con fecha 22 de julio de 2022 se emitió la propuesta de resolución que a
continuación se transcribe:
Expediente N.º: PS/00379/2021
PROPUESTA DE RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes:
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante), presentó en fecha 5 de enero de
2021 una reclamación ante la Agencia Española de Protección de Datos (AEPD) a
través de la Oficina Municipal de Información al Consumidor (OMIC) del Ayuntamiento
de Madrid en la que identificó como presunto responsable de los hechos a B.B.B., con
NIF ***NIF.1 (en adelante, la parte reclamada), titular del Locutorio ***LOCUTORIO.1.
Es preciso señalar que, meses antes, el 16 de octubre de 2019, la parte reclamante
formuló una reclamación por los mismos hechos en la que identificó como presunto
responsable y titular del Locutorio ***LOCUTORIO.1 a la mercantil UNITED ANIF,
S.L., con NIF B87319364 (en adelante, el reclamado erróneo), frente a quien la AEPD
acordó la apertura de un procedimiento sancionador: el PS/00462/2020.
Así pues, el escrito de fecha 5 de enero de 2021 en el que la reclamante rectifica la
identidad del presunto responsable que inicialmente había comunicado a la AEDP da
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/37
lugar a la apertura del expediente sancionador que nos ocupa y, toda vez que el
presunto responsable del procedimiento PS/00462/2020 no intervino en la conducta
objeto de la reclamación, determinó que se acordara el archivo del procedimiento
dirigido frente a él.
La reclamación formulada se basa en el tratamiento ilícito de los datos personales de
la reclamante efectuado por la reclamada, titular del Locutorio ***LOCUTORIO.1, que
los habría vinculado a dos envíos de dinero a los que la reclamante era ajena y que
fueron gestionados desde dicho establecimiento. El envío se efectuó a través de
Money Gram International S.R.L., empresa de la que el Locutorio ***LOCUTORIO.1
era agente autorizado.
La parte reclamante expone que el 2 de septiembre de 2019, a las 19:04 y 19:52
horas, respectivamente, recibió en su dirección electrónica, ***EMAIL.1, sendos
mensajes de Moneygram Payment Systems, Inc. informándole de dos envíos de
dinero supuestamente efectuados por ella en esa fecha a través de Money Gram. El
contenido de los mensajes era el siguiente:
En el primero, con número ***MENSAJE.1, figuraba como destinataria C.C.C.; un
importe a enviar de XXX,X ?; la fecha en la que el dinero fue recogido ?(...)? y la
cantidad a recibir ?(...)?.
En el segundo, con número ***MENSAJE.2, figuraba como destinataria D.D.D.; el
importe del envío era de XXX,X ?; la fecha en la que el dinero fue recogido por el
destinatario ?(...)? y la cantidad a recibir ?(...)?.
La reclamante manifiesta que, unos días antes, el 30 de agosto de 2019, envió una
remesa de dinero a un familiar desde el Locutorio ***LOCUTORIO.1 y que el mismo
día, a las 20:18 horas, recibió en su dirección electrónica un email desde Moneygram
Payment Systems, Inc. que confirmaba el envío efectuado y la recepción de la remesa
por el destinatario. Explica que en el email que recibió constaba -como en los que se
describen más arriba, recibidos el 2 de septiembre- esta información: Un número de
identificación del envío, XXXXXXXX; el nombre de la persona destinataria del envío,
E.E.E.; el importe enviado, XXX,X?; la fecha en la que el dinero fue recogido ?(...)? y la
cantidad a recibir ?(...)?.
Indica que, de acuerdo con el procedimiento de presentación, tramitación y resolución
de quejas y reclamaciones de Money Gram, requirió sin éxito a esta entidad a anular y
cancelar las operaciones de envío de dinero realizadas fraudulentamente el 2 de
septiembre de 2019. En tal sentido, afirma haber efectuado reclamaciones por vía
telefónica -números de incidencia ***INCIDENCIA.1 y ***INCIDENCIA.2- y a través de
un formulario web en la dirección ***EMAIL.2 a la que se asignó el número de
incidencia ***EMAIL.3.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/37
Expresa su desacuerdo con la respuesta que le ofreció el servicio de atención al
cliente de Money Gram -***EMAIL.4- que califica los hechos como ?un error
administrativo al introducir el agente mi email de manera equivocada?. Declara que
Money Gram le respondió que ?los extractos enviados desde una oficina no se pueden
visualizar?, por lo que, en consideración a la respuesta recibida, concluye que el
responsable de vincular sus datos personales a esas dos remesas de dinero a las que
ella es ajena sólo pudo haber sido el titular del Locutorio ***LOCUTORIO.1, quien
habría utilizado para tal fin sus datos que ella le había facilitado unos días antes con la
finalidad de gestionar un envío de dinero.
La reclamante no facilitó a la AEPD con sus dos escritos de reclamación -de fecha 16
de octubre de 2019 y 5 de enero de 2021- ningún documento que corroborase sus
manifestaciones, aunque sí ofreció una información de los hechos extraordinariamente
detallada. En fecha 16 de octubre de 2019 la OMIC del Ayuntamiento de Madrid
remitió a la AEPD ?el ejemplar para la Administración? del formulario oficial,
debidamente cumplimentado por la reclamante, denominado ?Hoja de reclamación? en
materia de consumo. En ese formulario aparecía la firma de la reclamante y en el
espacio destinado a ?Firma y sello del reclamado? aparecía estampado el sello de
?UNITED ANIF, S.L.? En el citado formulario la reclamante manifiesta que ella ?no
envió las remesas el día 2/9/2019?. Junto al formulario cumplimentado se facilitó a la
AEPD en esa fecha un único documento que también está firmado por la reclamante.
El documento en cuestión tiene la estructura de una denuncia dirigida al Juzgado por
la presunta comisión de varios delitos de los que se responsabiliza al reclamado
erróneo -UNITED ANIF, S.L.- y a MoneyGram International, SRL. A través de él se
explican con detalle los hechos acaecidos y se alude reiteradamente a que la
reclamante tiene a su disposición y aporta al Juzgado documentos acreditativos de los
hechos que son objeto de la reclamación.
El 5 de enero de 2021 se recibe un escrito de la OMIC del Ayuntamiento de Madrid en
el que comunica a esta AEPD que la reclamante les ?solicita? -debemos entender les
?facilita?- a través de mail de fecha 10 de diciembre de 2020 los datos del
establecimiento, al haberse producido un cambio de titularidad, con el fin de subsanar
la reclamación presentada ante la AEPD. El escrito añade que ?Desde esta OMIC
informamos a ese organismo que en el momento de los hechos, la titularidad del
establecimiento era: Nombre/Razón social: B.B.B.. Documento identificativo: ***NIF.1.
Domicilio del establecimiento: C/ ***DIRECCIÓN.1, Madrid C.P..?
En esa fecha, la OMIC remite también a la AEPD, como documentos anexos, la copia
de un hilo de correos electrónicos intercambiados con la reclamante y el escrito que la
AEPD había notificado a la reclamante en el que le informaba de la admisión a trámite
de la reclamación que presentó el 16 de octubre de 2019 en la que identificaba como
presunto responsable de los hechos al reclamado erróneo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/37
SEGUNDO: Los hechos sobre los que versa la reclamación presentada por la
reclamada el 5 de enero de 2021 son los mismos sobre los que versó la reclamación
formulada el 16 de octubre de 2019, que, como se ha adelantado dio lugar a la
apertura del procedimiento PS/00462/2020 frente al reclamado erróneo y que finalizó
con una resolución de archivo por inexistencia de responsabilidad.
Cabe indicar, a propósito de tales hechos, que la AEPD, a raíz de la reclamación de 16
de octubre de 2019, valoró, conforme al artículo 65, apartados 1 y 2, de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), la admisibilidad a trámite de esa
reclamación y acordó su admisión a trámite en fecha 4 de diciembre de 2020. Además,
el acuerdo de admisión a trámite se notificó a la parte reclamante de conformidad con
lo previsto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante, LPACAP).
Asimismo, de conformidad con el artículo 65.4 de la LOPDGDD, la AEPD dio traslado
de la reclamación al reclamado erróneo y a MONEY GRAM SPAIN, S.A., con NIF
A80821523, para que procediesen a su análisis e informasen a esta Agencia en el
plazo de un mes de las acciones llevadas a cabo para adecuarse a los requisitos
previstos en la normativa de protección de datos.
Esta última entidad respondió al requerimiento informativo el 27 de julio de 2020 y
manifestó que carecía de toda relación con la reclamante y con las entidades entonces
reclamadas -el reclamado erróneo y MONEYGRAM INTERNATIONAL SRL- por lo que
no podía facilitar ninguna información relativa a los hechos. Añadió que ella ?no es una
entidad de pago registrada en el Banco de España conforme al R.D. 736/2019, de 20
de diciembre, de régimen jurídico de los servicios de pago y de las entidades de pago;
por lo que no está autorizada a realizar ninguna operación de envío de dinero a la que
hace referencia la reclamante en su escrito de denuncia y ser objeto de su
reclamación. Dichas operaciones de envío parece ser que fueron realizadas por las
dos compañías indicadas.?
TERCERO: Con fecha 9 de diciembre de 2021, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta
infracción del artículo 6.1. del RGPD, tipificada en el artículo 83.5.a) del RGPD.
CUARTO: El acuerdo de inicio se notificó electrónicamente a la parte reclamada en
fecha 10 de diciembre de 2021, produciéndose en esa fecha tanto la puesta a
disposición de la notificación como su aceptación. Así lo acredita el certificado de la
FNMT que obra en el expediente.
La reclamada no formuló alegaciones frente al acuerdo de inicio del procedimiento
sancionador que nos ocupa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/37
QUINTO: Con fecha 21 de junio de 2022 la instructora del procedimiento acordó la
apertura de una fase de prueba y la práctica de las siguientes diligencias:
1.Dar por reproducida la reclamación presentada y su documentación anexa, así como
los documentos obtenidos y generados en la fase de solicitud informativa previa a la
admisión a trámite de la reclamación.
2.Dar por reproducidos los documentos que integran el procedimiento sancionador PS/
462/2020 y el recurso de reposición RR/428/2021.
3. En fecha 21 de junio de 2022 se requiere a la parte reclamada para que facilite a la
AEPD la información y los documentos siguientes:
3.1. Desde qué fecha es titular del negocio identificado con el nombre comercial
?LOCUTORIO ***LOCUTORIO.1?. Deberá aportar documentación que acredite su
respuesta.
3.2. Que manifieste en virtud de qué título jurídico explota el referido negocio
(compraventa, arrendamiento, etc) Deberá aportar los documentos que acrediten su
respuesta.
3.3. Que remita a la AEPD la documentación fiscal que acredite las respuestas a las
preguntas formuladas en los apartados 1 y 2 precedentes.
3.4. Que explique cuál es el protocolo de actuación implantado para cumplir las
obligaciones que le impone la normativa de protección de datos respecto a los datos
personales que recaba de los clientes que solicitan hacer un envío de dinero a través
de MONEY GRAN. En particular deberá explicar:
a) Qué trámite sigue para la gestión del envío de una remesa de dinero ordenada por
una persona física con el objeto de identificar con exactitud a la persona remitente.
b) Si solicita al cliente persona física que desea enviar dinero a través de MONEY
GRAM que le muestre un documento que acredite que es el titular de los datos que ha
facilitado como propios.
c)Si en ocasiones ha gestionado envíos de remesas de dinero a nombre de una
persona que no acude presencialmente a su establecimiento y que actúa a través de
un tercero que interviene en su nombre. En caso afirmativo, deberá indicar qué
documentación solicita a la persona que actúa en representación del titular del envío.
3.5. Que explique si los datos personales que recaba de los clientes que hacen un
envío de dinero a través de MONEY GRAM se incorporan directamente a la aplicación
informática de esa compañía o si previamente se recogen en otro documento o
soporte, sea definitivo o un simple borrador, ya sea en soporte papel o en cualquier
otro.
4. Mediante escrito recibido por la reclamante en fecha 29 de junio de 2022, se le
requiere para que aporte la siguiente documentación e información:
4.1. Copia de su DNI, NIE o, en su defecto, de otro documento acreditativo de su
identidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/37
4.2. Que explique si llegó a presentar una denuncia ante la Comisaría de Policía o/y
ante el Juzgado de Instrucción en relación con los hechos por los que formuló
reclamación ante esta Agencia Española de Protección de Datos. En caso afirmativo,
deberá remitir la copia de la correspondiente denuncia, de todos los documentos que
hubiera presentado en la Policía o el Juzgado y de todos los documentos que le
hubieran entregado o hubiera recibido como consecuencia de tales denuncias.
Si se llegó a tramitar un procedimiento judicial, deberá facilitar la información y
documentación que acredite el estado en el que se encuentra el procedimiento judicial
y el órgano jurisdiccional que esté conociendo del procedimiento.
4.3. Copia de los dos email que declaró haber recibido en su dirección de correo
?***EMAIL.1? el día 2 de septiembre de 2019 desde la dirección electrónica
***EMAIL.3. Deberá aportar también las cabeceras de ambos correos electrónicos.
4.4. Copia de todos los documentos que obren en su poder relativos a las
reclamaciones que formuló ante MONEYGRAM en las que solicitó ?la cancelación de
las remesas fraudulentas, así como acceder al perfil bloqueado de acceso a web
moneygram.com?.
4.5. Copia de la respuesta que recibió del servicio de atención al cliente de
MONEYGRAM desde la dirección ***EMAIL.4.
4.6. Copia del documento que acredite que con fecha 30 de agosto de 2019 envió una
remesa de dinero a través del Locutorio ***LOCUTORIO.1 con número de
confirmación de envío XXXXXXXX.
5. En escrito dirigido a Money Gram International, S.R.L., que consta recibido por esa
entidad en fecha 27 de junio de 2022, se le requiere para que aporte la información y
documentación siguiente:
5.1. La copia del contrato que hubiera celebrado con el Agente Autorizado que opera
con el nombre comercial de ?LOCUTORIO ***LOCUTORIO.1?, identificación ?XXXX?,
con domicilio en Madrid, C.P. (España) calle ***DIRECCIÓN.1. Deberá proporcionar la
copia del contrato de Agencia que hubieran suscrito con la persona física o jurídica
titular del negocio ?LOCUTORIO ***LOCUTORIO.1? y, en su caso, la de los acuerdos
de subrogación en los que figuren los datos de identidad de los sucesivos titulares de
ese negocio. En todo caso, deberá identificar quién era la persona titular del negocio
?LOCUTORIO ***LOCUTORIO.1? que operaba como Agente Autorizado de MONEY
GRAM en fecha 2 de septiembre de 2019.
5.2. Respecto a los envíos de remesas con las referencias ***MENSAJE.1 y
***MENSAJE.2 que ejecutó el 2 de septiembre de 2019 a través de su Agente
Autorizado ?LOCUTORIO ***LOCUTORIO.1?, deberá facilitar las impresiones de
pantalla de sus sistemas informáticos en las que consten los datos de identidad de la
persona que está registrada como remitente de ambos envíos. Deberá proporcionar, al
menos, los siguientes datos del/ de los remitentes: nombre y apellidos, el documento
de identidad - clase y número- y la dirección de correo electrónico.
5.3. Que explique el iter que siguen los datos personales que se recaban para
gestionar los envíos de dinero desde que un Agente Autorizado los recoge del cliente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/37
hasta que MONEY GRAM entrega la remesa de dinero al destinatario a través de otro
Agente. En particular deberá informar de:
- Qué flujo siguen los datos personales que un Agente Autorizado recoge e introduce
en la aplicación de MONEY GRAM.
- Una vez que los datos han salido del Agente Autorizado que los ha recogido e
incorporado a la aplicación, ¿puede MONEY GRAM en algún trámite modificar o
reescribir los datos del cliente que el Agente Autorizado incluyó inicialmente en la
aplicación informática de la compañía?
- ¿Es necesario que MONEY GRAM efectúe un volcado de datos desde la pantalla
utilizada por el Agente Autorizado a otro sistema o aplicación para que la operación de
envío se ejecute correctamente?
- Desde un punto de vista técnico, ¿una vez que el Agente ha cumplimentado el
formulario con los datos del cliente, puede MONEY GRAM acceder a esos datos y
modificarlos?
5.4. Qué medidas de seguridad exige MONEY GRAM a sus Agentes Autorizados a fin
de garantizar el cumplimiento del RGPD y, en particular, de los principios de licitud del
tratamiento y exactitud de los datos
5.5. Qué controles tiene implementados MONEY GRAM para verificar que los Agentes
Autorizados cumplen las medidas de seguridad adoptadas de conformidad con el
RGPD.
5.6. Deberá remitir la documentación que obre en su poder relacionada con las
siguientes reclamaciones formuladas el 2 de septiembre de 2019 ante el servicio de
atención al cliente de MONEY GRAM: i) Por vía telefónica con los números de
incidencia ***INCIDENCIA.1 y ***INCIDENCIA.2. ii) A través del formulario web
***EMAIL.2, número de incidente ***EMAIL.3.
5.7. Que detalle cuál es la base jurídica para el tratamiento que MONEY GRAM hizo
en fecha 2 de septiembre de 2019 del dato relativo a la dirección electrónica
***EMAIL.1 a la que se enviaron dos email relacionados con los envíos de remesas
identificados con las referencias ***MENSAJE.1 y ***MENSAJE.2.
6. Mediante diligencia de fecha 18 de julio de 2021 se incorporan al procedimiento a
efectos de prueba los documentos siguientes:
i. Identificado como ?doc4pdf?, una captura de pantalla obtenida desde ***URL.1
ii. Identificado como ?captura5pdf?, una impresión de pantalla obtenida desde ***URL.2
desde la que se puede seleccionar el idioma para acceder a los ?Avisos de privacidad
de Money Gram?.
iii. El documento identificado como ?Updated-MoneyGram-Global-Consumer? que
recoge el ?Aviso de privacidad global?, actualizado a 1 de abril de 2022, al que se
accede desde la dirección indicada en el punto 2 (por error, la diligencia remite al
punto 3)
iv. El documento identificado con el nombre ?Updated-Controller-for-Privacy-Notice?,
que recoge la ?Lista de responsables de tratamiento de datos- Adenda al aviso de
privacidad para consumidores globales de Money Gram?, al que se accede desde la
dirección electrónica indicada en el punto 2 (por error, la diligencia remite al punto 3).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/37
Resultado de las pruebas practicadas en el curso del procedimiento:
1.Ante la parte reclamada:
Se reciben en la AEPD en fecha 29 de junio de 2022, remitidos por la parte
reclamada, los siguientes documentos:
1.1. El modelo 037 de la AEAT -Declaración Censal Simplificada de alta, modificación
y baja en el Censo de empresas, profesionales y retenedores- cumplimentado por la
parte reclamada. Consta como fecha de alta censal e inicio de actividad el 11 de julio
de 2019.
1.2. El contrato de arrendamiento de local de negocio ubicado en calle
***DIRECCIÓN.1 suscrito el 1 de julio de 2019 del que es arrendataria la parte
reclamada.
1.3. El fichero con el nombre ?justificante_envios_moneygram.pdf?, que incluye tres
documentos que corresponden a los formularios, debidamente cumplimentados,
relativos al envío de dinero que la reclamante hizo el 30 de agosto de 2019 y a los dos
envíos de fecha 2 de septiembre a los que ella es ajena y a los que se vincularon sus
datos personales.
a) Características generales de los formularios:
. Los documentos llevan en su encabezado, a la derecha, el anagrama de Money
Gram y, a la izquierda, las indicaciones ?Envío/ Send?, ?Agente: LOCUTORIO
***LOCUTORIO.1-#L7934? y el respectivo número de ?Albarán:?
. Tras un primer párrafo dedicado al ?Aviso de fraude?, el cuerpo del documento se
estructura en estos epígrafes: ?Documento de liquidación de envío?; ?Datos de la
persona que hace el envío? y ?Pagar a?.
. Le sigue un espacio sin letra impresa y después las ?Condiciones Generales?.
. En la parte derecha del documento hay una columna con esta leyenda: ?A rellenar
solo por el representante?. Debajo aparece el número de referencia del envío; la
?Cantidad a enviar?, especificada en euros -dedicando sendos espacios a la ?Cantidad
a enviar?, ?Comisión?, ?Descuento? y ?Total?- y la ?Cantidad a recibir? -habilitando las
casillas respectivas para ?Moneda en la que recibe:?; ?Cambio aplicado:? y ?Total a
recibir:?-. Seguidamente, en esta misma columna derecha, hay un recuadro para
cumplimentar la ?Profesión del ordenante?; la ?Fecha de nacimiento? y el ?Teléfono?.
Finalmente, en la misma columna existen espacios destinados al ?Número de
identificación del operador?; ?Fecha? y ?Firma del Agente?.
b) Formulario cumplimentado relativo al envío de dinero efectuado el 30 de agosto de
2019 a las ? 13.09.51 ?. El número de albarán que lo identifica es el ***ALBARÁN.1 y en
la columna derecha consta el número de referencia XXXXXXXX.
En el epígrafe ?Datos de liquidación envío?, se indica como destino Bogotá (Colombia)
y un importe a enviar de 495,50 euros.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/37
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen el nombre y dos
apellidos de la reclamante; su domicilio, calle ***DIRECCIÓN.2, C.P. de Madrid, el
número de móvil ***TELÉFONO.1, la nacionalidad, española y el número de DNI
***NIF.1. En la columna derecha, bajo la rúbrica ?Profesión del ordenante? consta
?EMPLEADA DE HOGAR?, la ?Fecha de nacimiento? ?15-07-1979? y el ?Teléfono?
número ***TELÉFONO.1. En el epígrafe ?Pagar a?, se incluye el nombre y dos
apellidos del destinatario -E.E.E..- y un número de móvil, ***TELÉFONO.2.
Al final de la columna derecha se recoge el ?Número de identificación del operador?:
?Locutorio ***LOCUTORIO.1 -#L7934?.
Debajo existe una firma en la que puede leerse ?XXXXXXXXX?. A simple vista esa
firma es idéntica a las firmas de la reclamante que constan en la documentación que
obra en el expediente: en la denuncia que formuló en la Comisaría de Policía, en la
?Hoja de reclamación? que presentó ante la OMIC y en el documento anexo a ese
formulario que se remitió a la AEPD el 16 de octubre de 2019.
c) Formulario cumplimentado relativo al envío de dinero efectuado el 2 de septiembre
de 2019 a las ?19.52:40?. El número de albarán que lo identifica es el ?XXXXXXXX? y
en la columna derecha el número de referencia es el ?***MENSAJE.2?.
En el epígrafe ?Datos de liquidación envío?, consta como destino Bogotá (Colombia) y
un importe a enviar de 394,50 euros.
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen todos los datos
personales de la reclamante que constan en el formulario de su envío de dinero
realizado el 30 de agosto: su nombre y dos apellidos, su domicilio (calle, número y
código postal), el número de móvil, la nacionalidad y su número de DNI.
En la columna derecha, bajo la rúbrica ?Profesión del ordenante?, ?Fecha de
nacimiento? y ?Teléfono?, constan esos tres datos de la reclamante que aparecen en el
formulario relativo al envío de dinero que realizó el 30 de agosto.
En el epígrafe ?Pagar a?, consta como destinatario D.D.D. y el número de móvil
***TELÉFONO.3.
Al final de la columna derecha se recoge el ?Número de identificación del operador?:
?Locutorio ***LOCUTORIO.1 -#L7934?.
Debajo existe una firma en la que puede leerse ?A.A.A.?. Esta firma es, a simple vista,
total y absolutamente diferente de la de la reclamante, con la que no presenta ninguna
coincidencia. Existen en el expediente administrativo varios documentos con la firma
de la reclamante.
d) Formulario cumplimentado relativo al envío de dinero efectuado el 2 de septiembre
de 2019 a las ? 19.04.14?. El número de albarán que lo identifica es el ?***ALBARÁN.2?
y en la columna derecha el número de referencia es el ?***MENSAJE.1?.
En el epígrafe ?Datos de liquidación envío?, consta como destino Bogotá (Colombia) y
un importe a enviar de 494,50 euros.
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen los datos
personales de la reclamante que constan en el formulario de su envío realizado el 30
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/37
de agosto: su nombre y dos apellidos, su domicilio (calle, número y código postal), el
número de móvil, la nacionalidad y su número de DNI.
En la columna derecha, bajo la rúbrica ?Profesión del ordenante?, ?Fecha de
nacimiento? y ?Teléfono?, constan esos tres datos de la reclamante que aparecen
también en el formulario del envío de dinero que efectuó el 30 de agosto.
En el epígrafe ?Pagar a?, figura como destinatario C.C.C. y el número de móvil
***TELÉFONO.4.
Al final de la columna derecha se recoge el ?Número de identificación del operador?:
?Locutorio ***LOCUTORIO.1 -#L7934?.
Debajo existe una firma en la que puede leerse ?A.A.A.?. La firma es, a simple vista,
total y absolutamente diferente de la de la reclamante, con la que no presenta ninguna
coincidencia y de la que existen varios ejemplos en el expediente administrativo.
1.4. Un escrito de la reclamada con el siguiente texto:
proceso para los envíos de dinero que se realizan en mi locutorio:
1. Pedimos el documento del cliente
2. Preguntamos a qué país quieren enviar dinero
3. Si es un cliente habitual Preguntamos con que compañía quiere enviar, tenemos
varias compañías
4. Si el cliente a elegido moneygram comprobamos si su datos que están en la ficha
de moneygram son correctos.
5. Preguntamos a quien quiere enviar el dinero y en caso de que es un nuevo
beneficiario Preguntamos nombre completo de beneficiario, número de teléfono
6. Si es pago a cuenta número completo de cuenta del destinatarios, nombre
completo, número de teléfono, número de documentos y nombre del banco y la
relación con el beneficiario.
7. Procedemos hacer el envío y mandamos escaneado el documento del cliente a la
compañía a la espera que lo autoriza y una vez que está autorizado Procedemos
hacer el envío.>> (El subrayado es nuestro)
2. Ante la parte reclamante.
Se reciben en la AEPD en fecha 30 de junio de 2022, remitidos por la parte
reclamante, los siguientes documentos:
2.1. Copia de la denuncia que presentó en la Comisaría de Policía el 17 de septiembre
de 2019 (Atestado ***ATESTADO.1). En ella, en primer término, se identifica a la
compareciente, la actual reclamante, a través de su DNI: consta su nombre, apellidos,
NIF, domicilio, fecha de nacimiento y teléfono que coinciden con los que figuran en la
?Hoja de reclamación? que ella presentó ante la OMIC. La denunciante manifiesta que
el 30 de agosto de 2019 ?realizó un envío de 500 euros a su cuñado F.F.F. en efectivo
a través de Money Gran, en local UNITED ANIF, S.L., sito en calle ***DIRECCIÓN.1,
haciendo entrega de su documentación personal, la cual estuvo en posesión de los
trabajadores de este locutorio y recibiendo un resguardo de dicha transacción.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/37
?Que en el día arriba indicado recibió en su correo electrónico dos correos electrónicos
por parte de Money Gran, pudiendo observar cómo se habían realizado dos envíos de
dinero a dos personas que no conocía [...]?
?Que la dicente no había realizado estos envíos de dinero, por lo contactó con
MoneyGram, los cuales le respondieron que se trataba de un error a la hora de
introducir el correo electrónico, por lo que la dicente les solicitó que como se trataba
de un error y ya que ella no los había realizado fueran borrados de su cuenta de
cliente.?
?Que estos envíos de dinero no han sido borrados de su cuenta de cliente, por lo que
piensa que alguna persona desconocida, pudo usar su cuenta de forma fraudulenta,
para realizar los envíos de dinero, desconociendo los motivos por los que realizaría
esta acción.
?Que adjunta resguardo de envío realizado por ella a su cuñado el día 28/08/2019,
correo electrónicos con número de referencia de envíos fraudulentos así como
historial de transacciones de su perfil.? (El subrayado es nuestro)
2.2. Un escrito idéntico al que presentó en fecha 16 de octubre de 2019, que se ha
descrito en el Antecedente de Hecho Primero? documento que también está firmado
por la reclamante. El documento en cuestión tiene la estructura de una denuncia
dirigida al Juzgado por la presunta comisión de varios delitos de los que se
responsabiliza al reclamado erróneo -UNITED ANIF, S.L.- y a MoneyGram
International, SRL.- con la particularidad de que con él aporta las siguientes capturas
de pantalla obtenidas de un terminal móvil:
i. En una imagen se lee: ?¡Gracias! Te responderemos lo antes posible. Núm de
seguimiento de asistencia ***EMAIL.3?. En la otra imagen, después del anagrama de
la compañía dice, se lee: ?Money Gram. Perfil cerrado Después de una revisión
minuciosa?. La reclamante explica que estas capturas de pantalla se refieren a una
reclamación en la que solicitó cancelar las remesas número ***INCIDENCIA.1 y
***INCIDENCIA.2.
ii. El perfil que tiene en la web de Money Gram con su ?Historial de Transacciones?.
Aparecen reflejadas cuatro transacciones, además de una realizada en el año 2018, la
que la reclamante efectuó el 30 de agosto de 2019 y las dos efectuadas el 2 de
septiembre de 2020 que ella no ordenó y sobre las que versa este procedimiento
sancionador.
2.3. Copia del correo electrónico que la reclamante recibió el 3 de septiembre de 2019
desde ***EMAIL.4. identificado con la referencia ?Money Gram Case 9079320?. En el
mensaje le comunican que el cliente proporcionó una dirección electrónica inválida o el
agente equivocó la dirección electrónica al introducirla en el sistema, lo que provocó
que la reclamante recibiera un aviso relativo a la transacción. (?Dear A.A.A., We regret
to learn that the consumer provided an invalid email address or the agent mistyped the
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/37
email address in the system, which caused you to receive a notification about a
transaction.?)
3. Ante MONEY GRAM INTERNATIONAL, SRL.
Esta entidad no ha respondido a las pruebas solicitadas.
SÉPTIMO: Se acompaña como Anexo la relación de los documentos que obran en el
procedimiento.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: La reclamante denuncia que la parte reclamada, titular del Locutorio
***LOCUTORIO.1, agente autorizado de Money Gram International, S.P.R.L., vinculó
sus datos personales a dos envíos de dinero realizados a través de Money Gram, a los
que ella es ajena, que fueron gestionados por el citado locutorio el 2 de septiembre de
2019.
SEGUNDO: La reclamante manifestó en su reclamación que recibió en su dirección
electrónica, ***EMAIL.1, el 2 de septiembre de 2019, a las 19:04 y 19:52 horas,
respectivamente, dos correos electrónicos remitidos por Moneygram Payment
Systems, Inc. relativos a dos envíos de dinero que ella no ordenó, dirigidos a personas
que afirma no conocer, que contenían la siguiente información:
-En uno de ellos, número de referencia ***MENSAJE.1, figura como destinataria del
envío C.C.C.; el importe a enviar es de XXX,X ?; la fecha en la que el dinero fue
recogido ?(...)? y la cantidad a recibir ?(...)?.
-En el otro, con número de referencia ***MENSAJE.2, figura que la destinataria es
D.D.D.; el importe del envío XXX,X ?; la fecha en la que el dinero fue recogido por el
destinatario ?(...)? y la cantidad a recibir ?(...)?.
TERCERO: La reclamante efectuó el 30 de agosto de 2019 un envío de dinero a
través de MoneyGram, gestionado por el Locutorio ***LOCUTORIO.1, y el mismo día,
a las 20:18 horas, recibió en su dirección electrónica ***EMAIL.1 un email desde
Moneygram Payment Systems, Inc. que confirmaba el envío y la recepción de la
remesa por el destinatario. En el mensaje constaba el número de referencia
XXXXXXXX; el nombre de la persona destinataria del envío; el importe enviado,
XXX,X?; la fecha en la que el dinero fue recogido, ?(...)? y la cantidad a recibir, ?(...)?.
CUARTO: La reclamada ha aportado, en respuesta a las pruebas solicitadas, los
formularios en los que se documentaron los envíos de dinero que la reclamante
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/37
efectuó el 30 de agosto de 2019 (i) y los dos envíos a los que se vincularon sus datos
personales y que ella no ordenó realizados el 2 de agosto de 2019, (ii) y (iii).
Los tres documentos llevan en su encabezado, a la derecha, el anagrama de Money
Gram y, a la izquierda, las indicaciones ?Envío/ Send?, ?Agente: LOCUTORIO
***LOCUTORIO.1-#L7934? y el respectivo número de ?Albarán?.
(i) Formulario que documenta el envío de dinero realizado por la parte reclamante
desde el Locutorio ***LOCUTORIO.1, a través de Money Gram, el 30 de agosto de
2019 a las 13.09.51 que lleva el número de albarán ***ALBARÁN.1 y el número de
referencia XXXXXXXX.
En el epígrafe ?Datos de liquidación envío?, se indica como destino Bogotá (Colombia)
y un importe a enviar de XXX,XX euros.
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen el nombre y dos
apellidos de la reclamante; A.A.A.; su domicilio, calle ***DIRECCIÓN.2, C.P. de
Madrid, el número de móvil ***TELÉFONO.1, la nacionalidad, española y el número
de DNI ***NIF.1.
En la columna derecha, bajo la rúbrica ?Profesión del ordenante? consta ?EMPLEADA
DE HOGAR?, la ?Fecha de nacimiento? ?15-07-1979? y el ?Teléfono? número
***TELÉFONO.1.
En el epígrafe ?Pagar a?, se incluye el nombre y dos apellidos del destinatario -E.E.E.-
y un número de móvil, ***TELÉFONO.2.
El documento está firmado por la reclamante con el siguiente texto: ?XXXXXXXXX?. A
simple vista esa firma es idéntica a las firmas de la reclamante que constan en la
documentación que obra en el expediente: Esto es, en la denuncia que formuló en la
Comisaría de Policía, en la ?Hoja de reclamación? que presentó ante la OMIC y en el
documento anexo a ese formulario que se remitió a la AEPD el 16 de octubre de 2019.
(ii)Formulario que documenta el envío de dinero efectuado por un tercero desde el
Locutorio ***LOCUTORIO.1, a través de Money Gram, el 2 de septiembre de 2019 a
las ?19.52:40?. El número de albarán que lo identifica es el XXXXXXX y en la columna
derecha del documento consta la referencia ***MENSAJE.2.
En el epígrafe ?Datos de liquidación envío?, se indica como destino Bogotá (Colombia)
y un importe a enviar de XXX,XX euros.
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen todos los datos
personales de la reclamante que se recogían en el formulario de su envío de dinero
realizado el 30 de agosto: su nombre y dos apellidos, su domicilio (calle, número y
código postal), el número de móvil, la nacionalidad y su número de DNI.
En la columna derecha, bajo la rúbrica ?Profesión del ordenante?, ?Fecha de
nacimiento? y ?Teléfono?, se han incluido los tres datos de la reclamante que aparecen
en el formulario relativo al envío de dinero que realizó el 30 de agosto.
En el epígrafe ?Pagar a?, consta como destinatario D.D.D. y el número de móvil
***TELÉFONO.3.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/37
El documento lleva una firma en la que figura escrito ?A.A.A.?. Esta firma es, a simple
vista, total y absolutamente distinta de la de la reclamante, con la que no presenta
ninguna coincidencia.
(iii) Formulario que documenta el envío de dinero efectuado por un tercero desde el
Locutorio ***LOCUTORIO.1, a través de Money Gram, el 2 de septiembre de 2019 a
las ?19.04.14?. El número de albarán que lo identifica es el ***ALBARÁN.2 y en la
columna derecha del documento figura el número de referencia ***MENSAJE.1.
En el epígrafe ?Datos de liquidación envío?, consta como destino Bogotá (Colombia) y
un importe a enviar de XXX,XX euros.
En el epígrafe ?Datos de la persona que hace el envío?, se incluyen los datos
personales de la reclamante que constan en el formulario de su envío realizado el 30
de agosto: su nombre y dos apellidos, su domicilio (calle, número y código postal), el
número de móvil, la nacionalidad y su número de DNI.
En la columna derecha, bajo la rúbrica ?Profesión del ordenante?, ?Fecha de
nacimiento? y ?Teléfono?, constan esos tres datos de la reclamante que aparecen
también en el formulario del envío de dinero que efectuó el 30 de agosto.
En el epígrafe ?Pagar a?, figura como destinatario C.C.C. y el número de móvil
***TELÉFONO.4.
Debajo existe una firma en la que puede leerse ?A.A.A.?. La firma es, a simple vista,
total y absolutamente distinta de la de la reclamante, con la que no presenta ninguna
coincidencia y de la que existen varios ejemplos en el expediente administrativo.
QUINTO: Obra en el expediente la copia de la denuncia que la reclamante interpuso el
17 de septiembre de 2019 en la Comisaría de Policía (Atestado ***ATESTADO.1) Los
dos folios de la denuncia están firmados por la reclamante.
La denuncia identifica a la compareciente a través de su DNI: se recoge en ella su
nombre, apellidos, NIF, domicilio, fecha de nacimiento y teléfono. Estos datos son los
mismos que los que figuran en la ?Hoja de reclamación? que la reclamante presentó
ante la OMIC.
La reclamante manifiesta en la denuncia policial que el 30 de agosto de 2019 ?realizó
un envío de 500 euros a su cuñado F.F.F. en efectivo a través de Money Gran, en
local UNITED ANIF, S.L., sito en calle ***DIRECCIÓN.1, haciendo entrega de su
documentación personal, la cual estuvo en posesión de los trabajadores de este
locutorio y recibiendo un resguardo de dicha transacción.?
?Que en el día arriba indicado [ 2 de septiembre de 2019] recibió en su correo
electrónico dos correos electrónicos por parte de Money Gran, pudiendo observar
cómo se habían realizado dos envíos de dinero a dos personas que no conocía [...]?
?Que la dicente no había realizado estos envíos de dinero, por lo contactó con
MoneyGram, los cuales le respondieron que se trataba de un error a la hora de
introducir el correo electrónico, por lo que la dicente les solicitó que como se trataba
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/37
de un error y ya que ella no los había realizado fueran borrados de su cuenta de
cliente.?
?Que estos envíos de dinero no han sido borrados de su cuenta de cliente, por lo que
piensa que alguna persona desconocida, pudo usar su cuenta de forma fraudulenta,
para realizar los envíos de dinero, desconociendo los motivos por los que realizaría
esta acción.
?Que adjunta resguardo de envío realizado por ella a su cuñado el día 28/08/2019,
correo electrónicos con número de referencia de envíos fraudulentos así como
historial de transacciones de su perfil.? (El subrayado es nuestro)
SEXTO: La reclamante formuló diversas reclamaciones ante Money Gram a raíz de
recibir los correos electrónicos que le informaban de dos envíos de dinero
supuestamente realizados por ella el 2 de septiembre. A tal efecto ha aportado:
-La copia del correo electrónico que recibió el 3 de septiembre de 2019 desde
***EMAIL.4., identificado con la referencia ?Money Gram Case XXXXXXX?. En el
mensaje le comunican que el cliente proporcionó una dirección electrónica inválida o el
agente equivocó la dirección electrónica al introducirla en el sistema, lo que provocó
que la reclamante recibiera un aviso relativo a la transacción.
-Dos capturas de pantalla obtenidas de un terminal móvil que, según declara, versan
sobre las reclamaciones que dirigió a Money Gram para solicitar que cancelara las
remesas números ***INCIDENCIA.1 y ***INCIDENCIA.2. En una imagen se lee:
?¡Gracias! Te responderemos lo antes posible. Núm de seguimiento de asistencia
***EMAIL.3?.
En la otra imagen, después del anagrama de la compañía, se lee: ?Money Gram. Perfil
cerrado Después de una revisión minuciosa?.
SÉPTIMO: Obra en el expediente, aportada por la reclamante en fase de prueba, una
captura de pantalla de un terminal móvil con la información del sistema de MoneyGram
relativa a su ?Historial de Transacciones?. En la imagen aparece esta información:
-En primer lugar, la indicación ?2 de sept. 2019?, ?Completo?. Debajo, ?Núm de
Refere...? ?(?)?. Y debajo, ?XXX,XX EUR? ?Recibo de dinero?.
-El segundo registro dice: ?2 de sept.? Completo?. Debajo, ?Núm de Refere...?
?C.C.C.?. Debajo, ?XXX,XX EUR? ?Recibo de dinero?.
-El tercer registro lleva esta información: ?30 ago. 2019?, ?Completo?. Debajo, ?Núm de
Refere...? ?F.F.F. ?. Y debajo, ?XXX,XX EUR? ?Recibo de dinero?.
-Del último registro que consta en la captura de pantalla aportada se puede visualizar
esta información: ?15 dic. 2018?, ?Completo?. Debajo, ?Núm de Refere...? ?(?)?. Y
debajo, ?XXX,XX EUR? ?Recibo de dinero?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/37
OCTAVO: La reclamante presentó el 16 de octubre de 2019 una reclamación ante la
OMIC del Ayuntamiento de Madrid dirigida contra UNITED ANIF, S.L., en calidad de
titular del Locutorio ***LOCUTORIO.1 (el reclamado erróneo), a quien responsabilizó
de haber utilizado sus datos personales para vincularlos a dos envíos de dinero
efectuados el 2 de agosto de 2019 que ella no ordenó. Obra en el expediente la ?Hoja
de Reclamación?, que la OMIC remitió a la AEPD en fecha 16 de octubre de 2019.
Está debidamente cumplimentada y firmada por la reclamante y en el apartado
destinado a ?Firma y sello del reclamado? lleva estampado el sello de UNITED ANIF,
S.L.
En fecha 5 de enero de 2021 la OMIC remite a la AEPD la comunicación que recibió
de la reclamante en diciembre de 2020 en la que rectificaba los datos identificativos
del titular del Locutorio ***LOCUTORIO.1 en la fecha en la que acontecieron los
hechos e informaba de que en esa fecha la titular era B.B.B. con NIF ***NIF.1.
NOVENO: Respecto a la actividad empresarial de la reclamante, obra en el
expediente, aportada por la parte reclamada, la ?Declaración Censal Simplificada de
alta, modificación y baja en el censo de empresas, profesionales y retenedores?
(modelo 037) presentada ante la Agencia Estatal de Administración Tributaria (AEAT),
en la que consta que la fecha de alta censal y fecha en la que la reclamante inició su
actividad fue el 11 de julio de 2019.
Obra también en el expediente el contrato de arrendamiento en el que es parte
arrendataria la reclamada, suscrito el 1 de julio de 2019, siendo el objeto del
arrendamiento el local de negocio ubicado en calle ***DIRECCIÓN.1 de Madrid.
DÉCIMO: La reclamada, en su respuesta a las pruebas solicitadas, ha declarado que
el proceso que sigue en la gestión de los envíos de dinero realizados desde su
locutorio es el siguiente:
2. Preguntamos a qué país quieren enviar dinero
3. Si es un cliente habitual Preguntamos con que compañía quiere enviar, tenemos
varias compañías
4. Si el cliente a elegido moneygram comprobamos si su datos que están en la ficha
de moneygram son correctos.
5. Preguntamos a quien quiere enviar el dinero y en caso de que es un nuevo
beneficiario Preguntamos nombre completo de beneficiario, número de teléfono
6. Si es pago a cuenta número completo de cuenta del destinatarios, nombre
completo, número de teléfono, número de documentos y nombre del banco y la
relación con el beneficiario.
7. Procedemos hacer el envío y mandamos escaneado el documento del cliente a la
compañía a la espera que lo autoriza y una vez que está autorizado Procedemos
hacer el envío.>> (El subrayado es nuestro)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/37
UNDÉCIMO: En la política de privacidad global de Money Gram, incorporada al
procedimiento mediante diligencia de la instructora de 18 de julio de 2022, se recogen,
entre otras, estas previsiones:
NUESTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
[...].
Nos comprometemos a cumplir con las leyes de protección de datos y a garantizar
que la información personal sea: ? Utilizada de forma legal, justa y transparente;
?Recopilada sólo para fines válidos que le hemos explicado claramente y no utilizada
de forma indebida; ? Relevante para los fines que le hemos comunicado y limitados
sólo a esos fines ? Precisa y actualizada; ? Guardada sólo mientras sea necesario para
los fines que le hemos indicado; y ? Guardada de forma segura.
[...]
PROPÓSITOS DEL PROCESAMIENTO DE DATOS PERSONALES [...]
Utilizamos los datos personales que nos proporciona o que recopilamos sobre usted
para los siguientes fines, según lo permitido por la legislación:
? Para la ejecución de un contrato con usted, para enviarle mensajes de transacciones
y otros mensajes administrativos cuando solicite servicios de envío de dinero; [...]
? Para cumplir con una obligación legal o reglamentaria, [...]
[...]
NUESTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN [...]
Utilizamos las medidas organizativas, técnicas y administrativas apropiadas para
mantener la seguridad de su información personal y para protegerla contra la
destrucción, pérdida, alteración, divulgación no autorizada o acceso a la información
personal bajo nuestro control.
[...]
Además, tomamos medidas preventivas para restringir el acceso a la información
personal solo a aquellos que la necesitan, como nuestros empleados, proveedores de
servicios, agentes, socios y otros terceros/asesores externos, según corresponda.
Todos los que tienen acceso o están relacionados con el procesamiento de
información personal están obligados por contrato a respetar la confidencialidad de su
información personal, implementar los estándares de seguridad apropiados y cumplir
con los estándares y políticas de privacidad de datos aplicables.
[...]>> (El subrayado es nuestro)
DUODÉCIMO: Los formularios de Money Gram en los que se documentan los envíos
de efectivo gestionados por el Locutorio ***LOCUTORIO.1 que se han descrito en el
Hecho Probado cuarto incluyen al final esta leyenda:
?Condiciones Generales?: ?Esta transacción está sujeta a los términos y condiciones
generales provistos en los establecimientos de los agentes y en ***EMAIL.2o/term .
[...] Al continuar con esta transacción:
. Reconoce las advertencias de fraude indicadas anteriormente
. Confirma que es el único beneficiario de los fondos y que no está enviando dinero en
nombre de un tercero
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/37
.[...]? (El subrayado es nuestro)
FUNDAMENTOS DE DERECHO
I
Competencia de la AEPD
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
El artículo 63.2 de la LOPDGDD determina que ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Responsable del tratamiento de datos en el que se concreta la conducta contraria al
El artículo 4 del RGPD, ?Definiciones?, dispone que ?A efectos del presente
Reglamento se entenderá por:
[...]
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento;?
El artículo 28 del RGPD, ?Encargado del tratamiento?, estipula:
?1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del
tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes
para aplicar medidas técnicas y organizativas apropiados, de manera que el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/37
tratamiento sea conforme con los requisitos del presente Reglamento y garantice la
protección de los derechos del interesado.
2.[...]
3.El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado
respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en
particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un
tercer país o una organización internacional, salvo que esté obligado a ello en virtud
del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en
tal caso, el encargado informará al responsable de esa exigencia legal previa al
tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés
público; b)garantizará que las personas autorizadas para tratar datos personales se
hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación
de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de
medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este
pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto
el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones
establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento
y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una
vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias
existentes a menos que se requiera la conservación de los datos personales en virtud
del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar
el cumplimiento de las obligaciones establecidas en el presente artículo, así como
para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por
parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de
los Estados miembros.
4.[...]
5.La adhesión del encargado del tratamiento a un código de conducta aprobado a
tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/37
42 podrá utilizarse como elemento para demostrar la existencia de las garantías
suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6.Sin perjuicio de que el responsable y el encargado del tratamiento celebren un
contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4
del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive
cuando formen parte de una certificación concedida al responsable o encargado de
conformidad con los artículos 42 y 43.
7.La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se
refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de
examen a que se refiere el artículo 93, apartado 2.
8.Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos
a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el
mecanismo de coherencia a que se refiere el artículo 63.
9.El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por
escrito, inclusive en formato electrónico.
10.Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del
tratamiento infringe el presente Reglamento al determinar los fines y medios del
tratamiento, será considerado responsable del tratamiento con respecto a dicho
tratamiento.?
El Locutorio ***LOCUTORIO.1 era agente autorizado de Money Gram cuando
acontecieron los hechos objeto de la presente reclamación, extremo que queda
acreditado a la luz de la documentación que obra en el expediente. A tal efecto pueden
citarse los formularios de los envíos de efectivo gestionados por el locutorio en fechas
30 de agosto de 2019 y 2 de septiembre de 2019 que llevan el anagrama de
MoneyGram y en los que el agente se identifica como ?LOCUTORIO
***LOCUTORIO.1-#L7934?. También confirma la condición de agente de MoneyGram
del referido locutorio que en el ?Historial de envíos? de la reclamante que obra en los
sistemas de Money Gram, del que existe una captura de pantalla en el expediente
aportada por la reclamante, se reflejen los envíos de efectivo gestionados por el
Locutorio ***LOCUTORIO.1 el 30 de agosto y 2 de septiembre de 2019. O que los
envíos de dinero gestionados a través del mencionado locutorio hubieran sido
efectivamente entregados a sus destinarios y hubieran generado la remisión, a quien
constaba como la persona ordenante de tales envíos, de un correo electrónico enviado
por Moneygram Payment Systems, Inc. en el que informaba de la entrega del dinero a
los destinatarios.
A su vez, en la fecha de 2 de septiembre de 2019 en la que los datos personales de la
reclamante se vincularon a dos envíos de dinero que ella no ordenó gestionados
desde el locutorio precitado, la titular del negocio era la reclamada, B.B.B., con NIF
***NIF.1.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/37
Esta circunstancia ha quedado acreditada en el expediente administrativo toda vez
que la reclamada, en respuesta a las pruebas solicitadas, ha aportado la Declaración
Censal Simplificada de alta, modificación y baja en el Censo de empresas,
profesionales y retenedores ante la AEAT en la que como fecha de alta censal e inicio
de actividad el figura 11 de julio de 2019. De manera que el alta e inicio de la actividad
de la reclamada en el negocio conocido como Locutorio ***LOCUTORIO.1 se produjo
algo más de un mes antes de que acontecieran los hechos. Obra también en el
expediente el contrato de arrendamiento suscrito por la reclamada el 1 de julio de 2019
en calidad de arrendataria del local de negocio sito en la calle ***DIRECCIÓN.1, en el
que está ubicado el Locutorio ***LOCUTORIO.1.
En atención a la documentación mencionada, y por más que la Hoja de Reclamación,
ejemplar para la Administración, que la reclamante presentó ante la OMIC del
Ayuntamiento de Madrid llevara en el espacio destinado a ?Firma y sello del
reclamado? el sello de UNITED ANIF, S.L., lo cierto es que en la fecha de los hechos
el titular del locutorio desde el que se gestionaron los envíos de efectivo no era esa
mercantil sino, como la reclamante comunicó a la OMIC y ese organismo informó a la
AEPD el 5 de enero de 2021, B.B.B..
La Política de Privacidad Global de MoneyGram, actualizada a fecha 1 de abril de
2022, a la que se accede desde su página web, informa de que, respecto a los
tratamientos de datos que se efectúen en el ámbito de la Unión Europea en relación
con la información personal que se proporcione a sus agentes, el responsable del
tratamiento es MoneyGram International SPRL, ?una entidad belga con domicilio social
en Rue Joseph Stevens BE-1000 Bruselas, Bélgica. En estos casos, MoneyGram
International SRL será el "controlador de datos" de su información personal recopilada
en la UE.?
Reproducimos a continuación un fragmento de la mencionada Política de Privacidad
Global de Money Gram, de la que una copia se incluye en el expediente incorporada
mediante diligencia durante la fase de prueba:
ofrece innovadores servicios de transferencia de dinero y de pago a millones de
consumidores en todo el mundo. Estamos comprometidos a salvaguardar la
privacidad de su información personal. Este Aviso de privacidad describe
nuestras prácticas y políticas de privacidad de datos cuando se relaciona con
nosotros, incluida la forma en que recopilamos, usamos y compartimos su
información personal de acuerdo con las leyes y estándares de conducta ética
aplicables. Si nuestras prácticas y políticas cambian, actualizaremos este Aviso
de privacidad.
¿QUIENES SOMOS? Un "controlador de datos" determina cómo y por qué una
organización utilizará los datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/37
Este Aviso de privacidad se aplica a MoneyGram Payment Systems, Inc., una
subsidiaria de propiedad absoluta de MoneyGram International, Inc. y sus
afiliadas y subsidiarias en todo el mundo (colectivamente, "MoneyGram",
"MoneyGram Group", "nos",? " nuestro", " nosotros"). La mayor parte de nuestros
servicios de transferencia de dinero y actividades comerciales se llevan a cabo
bajo MoneyGram Payment Systems, Inc., una entidad de EE. UU. Ubicada en
1550 Utica Avenue South, Suite # 100, Minneapolis, MN 55416, EE. UU.
(?MPSI?). Por lo general, MPSI será el "controlador de datos" en relación con
cualquier información personal que se nos proporcione en cualquier parte del
mundo, ya sea en persona en las ubicaciones de nuestros agentes, o por correo
electrónico, teléfono o mediante nuestro sitio web o aplicación móvil, a menos
que tengamos otra entidad local con licencia de MoneyGram. Esto significa que
MPSI es responsable de decidir cómo conservará y utilizará la información
personal sobre usted. Sin embargo, dependiendo de su ubicación y de cómo
interactúe con nosotros, una entidad diferente de MoneyGram puede ser el
"controlador de datos". Por ejemplo, si utiliza nuestros servicios de transferencia
de dinero en la Unión Europea ("UE"), estará interactuando con MoneyGram
International SRL, una entidad belga con domicilio social en Rue Joseph
Stevens BE-1000 Bruselas, Bélgica. En estos casos, MoneyGram International
SRL será el "controlador de datos" de su información personal recopilada en la
UE.
[...]
ALCANCE DE ESTE AVISO DE PRIVACIDAD [...]. Este Aviso de privacidad se
aplica cuando interactúa con MoneyGram en cualquier parte del mundo. Por
ejemplo, este Aviso de privacidad se aplica cuando usted:
? Utiliza cualquiera de los servicios de MoneyGram, ya sea directamente o a
través de nuestros agentes, aplicaciones móviles o sitios web;
[...]
NUESTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
[...].
Nos comprometemos a cumplir con las leyes de protección de datos y a
garantizar que la información personal sea: ? Utilizada de forma legal, justa y
transparente;
?Recopilada sólo para fines válidos que le hemos explicado claramente y no
utilizada de forma indebida; ? Relevante para los fines que le hemos comunicado
y limitados sólo a esos fines ? Precisa y actualizada; ? Guardada sólo mientras
sea necesario para los fines que le hemos indicado; y ? Guardada de forma
segura.
[...]
CÓMO RECOPILAMOS LA INFORMACIÓN PERSONAL [...]
Podemos recopilar información personal de diversas formas, que incluyen:
? Directamente de usted: [...].
? Indirectamente de usted: [...]
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/37
? Otras fuentes: por ejemplo, [...] información de nuestros socios o agentes,
dependiendo de nuestra relación con ellos para los fines enumerados en este
Aviso de Privacidad y en todo momento de acuerdo con las leyes.
[...]
PROPÓSITOS DEL PROCESAMIENTO DE DATOS PERSONALES [...]
Utilizamos los datos personales que nos proporciona o que recopilamos sobre
usted para los siguientes fines, según lo permitido por la legislación:
? Para la ejecución de un contrato con usted, para enviarle mensajes de
transacciones y otros mensajes administrativos cuando solicite servicios de
envío de dinero; [...]
? Para cumplir con una obligación legal o reglamentaria, [...]
? Para comercializar nuestros servicios, como para enviarle comunicaciones de
marketing en relación con nuestros servicios, [...]
? Para perseguir nuestro interés legítimo de acuerdo con las leyes,
[...]
NUESTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN [...]
Utilizamos las medidas organizativas, técnicas y administrativas apropiadas para
mantener la seguridad de su información personal y para protegerla contra la
destrucción, pérdida, alteración, divulgación no autorizada o acceso a la
información personal bajo nuestro control.
Empleamos las técnicas y medidas de seguridad adecuadas para proteger
nuestros sistemas y servicios. Por ejemplo, cuando proporciona su información
personal confidencial, como la información de una cuenta bancaria o un número
de seguro social, la información se encripta y se protege en nuestros sistemas.
Además, tomamos medidas preventivas para restringir el acceso a la
información personal solo a aquellos que la necesitan, como nuestros
empleados, proveedores de servicios, agentes, socios y otros terceros/asesores
externos, según corresponda. Todos los que tienen acceso o están relacionados
con el procesamiento de información personal están obligados por contrato a
respetar la confidencialidad de su información personal, implementar los
estándares de seguridad apropiados y cumplir con los estándares y políticas de
privacidad de datos aplicables. Aunque nuestros estándares de seguridad de la
información se ajustan a los estándares de la industria y los requisitos de
seguridad y privacidad de los datos, no hacemos ningún reclamo de garantía en
cuanto a la seguridad o
impenetrabilidad de los sistemas de MoneyGram en circunstancias
extraordinarias/excepcionales o futuros ataques sofisticados. [...]>> (El
subrayado es nuestro)
A propósito de los hechos que son objeto del expediente sancionador que nos ocupa,
al amparo del artículo 28.10 del RGPD, se estima que la reclamada, titular del
Locutorio ***LOCUTORIO.1, agente autorizado de Money Gram, es responsable del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/37
tratamiento de los datos personales de la reclamante al haber gestionado, desde el
establecimiento del que es titular, el envío de dos remesas de efectivo vinculadas a los
datos personales de la reclamante en fecha 2 de agosto de 2019, envíos que la
reclamante no contrató. El precepto mencionado dispone que ?si un encargado de
tratamiento?, condición que en principio tendría la parte reclamada, ?infringe el
presente Reglamento al determinar los fines y medios del tratamiento, será
considerado responsable del tratamiento con respecto a dicho tratamiento.?
III
Infracción del principio de licitud
1.El RGPD se ocupa en su artículo 5 de los principios que presiden el tratamiento de
los datos personales, precepto que dispone:
?1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente con el interesado (transparencia>>)?.
El artículo 6 del RGPD bajo la rúbrica ?Licitud del tratamiento? concreta en su apartado
1 los supuestos en los que el tratamiento de datos personales es considerado lícito:
?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física.
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
El RGPD exige que el tratamiento de datos personales sea lícito (artículo 5.1.a), para
lo cual deberá estar fundado en alguna de las bases jurídicas que relaciona en su
artículo 6.1. A la luz de las manifestaciones de la reclamante resulta evidente que el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/37
tratamiento de sus datos personales efectuado por la reclamada no puede ampararse
en ninguno de los motivos de licitud que detalla el artículo 6.1. RGPD.
El considerando 39 del RGPD dice a propósito del principio de licitud que ?Todo
tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe
quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando
de otra manera datos personales que les conciernen, así como la medida en que
dichos datos son o serán tratados. [...]?
2.En el supuesto de hecho examinado el tratamiento que la reclamada hizo de los
datos de la reclamante únicamente podría estar amparado en la circunstancia del
artículo 6.1.b) RGPD ?la contratación de la prestación de un servicio de envío de
efectivo a un tercer país a través de la empresa Money Gram- lo cual exigiría que la
reclamante hubiera sido parte en ambos contratos de envío de efectivo.
En relación con la base jurídica del artículo 6.1.b) RGPD, el considerando 44 precisa
que ?El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato
o de la intención de concluir un contrato.?
La documentación incorporada al expediente acredita que la reclamada trató los datos
personales de la reclamante vinculándolos a dos envíos de efectivo gestionados desde
su locutorio el 2 de agosto de 2019. Obran en el expediente, aportados por la
reclamada en fase de prueba, los formularios en los que ambos envíos se
documentaron, identificados con los números de albarán y referencia,
respectivamente, XXXXXXXX y ***MENSAJE.2, el envío gestionado a las 19:04:14,
por importe de XXX,XX ? dirigido a C.C.C., y con los números ***ALBARÁN.2 y
***MENSAJE.1 el envío gestionado a las 19.52:40, por importe de XXX,XX ? dirigido a
D.D.D..
En ambos documentos aparece como ordenante de los envíos una persona
identificada con el nombre, dos apellidos, NIF, domicilio (calle, número y C.P.),
nacionalidad y número de móvil de la parte reclamante. Asimismo, en ambos
formularios se recoge como profesión, fecha de nacimiento y número de teléfono de la
persona que hace los envíos los datos de la reclamante.
Ahora bien, estos formularios relativos a los envíos de fecha 2 de septiembre de 2019
incluyen la firma de la persona que realmente ordenó la operación, por más que
hubiera facilitado como propios los datos personales de la reclamante. Esa firma es
total y absolutamente distinta de la firma de la reclamante, de tal modo que a simple
vista y sin ningún esfuerzo ni conocimiento especializado se comprueba su total
disparidad ya que no es posible encontrar entre ambas ninguna similitud.
Sin perjuicio de volver sobre esta cuestión, y al margen de la disparidad absoluta de la
caligrafía de la firma de quien ordenó el 2 de septiembre los envíos de dinero y la de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/37
firma de la reclamante, cabe destacar ahora las siguientes características de la que
aparece en los formularios que documentan los dos envíos de dinero del 2 de agosto
de 2019: El texto escrito dice ?A.A.A.?; el nombre y el apellido no aparecen escritos en
la misma línea, sino que el apellido figura debajo del nombre. Además, la rúbrica
engloba a ambos formando una especie de círculo.
Resulta igualmente acreditado en el expediente que la reclamante, tres días antes de
que se realizaran los envíos de dinero vinculados a sus datos, el 30 de agosto de
2019, ordenó un envío de efectivo por Money Gram a través del Locutorio
***LOCUTORIO.1. Envío que iba dirigido a E.E.E., por un importe de 495,50 euros y,
al igual que los envíos que se efectuaron con sus datos y a los que ella es ajena,
dirigido a Bogotá (Colombia).
Obra en el expediente el formulario de ese envío de efectivo, que se encuentra firmado
por la reclamante. En el formulario se incluyen los siguientes datos personales de la
reclamante: En el epígrafe denominado ?Datos de la persona que hace el envío?,
consta su nombre y dos apellidos ? A.A.A.-; su domicilio en calle ***DIRECCIÓN.2,
C.P. de Madrid; el número de móvil ***TELÉFONO.1; la nacionalidad española y el
número de DNI ***NIF.1. En la columna derecha del formulario, bajo la rúbrica
?Profesión del ordenante? consta ?EMPLEADA DE HOGAR?, la ?Fecha de nacimiento?
?15-07-1979? y el ?Teléfono? número ***TELÉFONO.1.
Debajo existe una firma en la que puede leerse ?XXXXXXXXX?. Esta firma es idéntica
a otras firmas de la reclamante que constan en diversos documentos que forman parte
del expediente administrativo. En particular, están firmados por la reclamante la
denuncia que interpuso en la Comisaría de Policía (una firma en cada folio), la ?Hoja
de reclamación? que presentó ante la OMIC y el documento anexo a la Hoja de
Reclamación, documentos que la OMIC remitió a la AEPD el 16 de octubre de 2019.
Como se ha adelantado, existe una discrepancia total y absoluta entre las firmas que
figuran en los formularios de los envíos efectuados a nombre de la reclamante en
fecha 2 de septiembre de 2019 y la que se incluye en el formulario del envío que la
reclamante sí realizó en fecha 30 de agosto de 2019. Firma, esta última, que, como se
ha advertido, es a simple vista la misma que se incorpora a otros documentos que la
reclamante firmó de los que existen ejemplos en el expediente administrativo.
Basta una mirada a ambas firmas -la de la reclamante y la de los formularios de envíos
efectuados el 2 de agosto de 2019- para percibir estas características diferenciadoras:
El grafismo entre una y otra es radicalmente distinto; el texto también lo es: la
reclamante siempre escribe XXXXXXXXX en tanto que la persona que hizo los envíos
de fecha 2 de septiembre de 2019 escribe ?A.A.A.?. Adviértase que ?A.A.A.? es el
segundo apellido de la reclamante y que en ninguna de las firmas de la reclamante de
la que tenemos ejemplos en el expediente se incluye apellido alguno. Además de esto,
la persona que ordenó los envíos de dinero el 2 de agosto de 2019 escribió el nombre
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/37
y el apellido en diferentes alturas de modo que el apellido aparece debajo del nombre.
También la rúbrica es radicalmente distinta entre ambas firmas: mientras que la
reclamada tiene forma elíptica la del tercero que ordenó los envíos el 2 de agosto de
2019 es un círculo en el que engloba el nombre y el apellido escritos uno encima del
otro.
La reclamante ha negado reiteradamente que ella hubiera intervenido en ninguna de
las operaciones de envío de remesas de efectivo que la reclamada gestionó
vinculadas a sus datos personales el 2 de septiembre de 2019, exactamente los
mismos datos que ella le había proporcionado tres días antes, el 30 de agosto, cuando
contrató el servicio de envío de dinero. Sobre este particular, se recuerda que la
reclamante se dirigió a Money Gram International, SRL y presentó una reclamación,
como muy tarde, el día siguiente a la recepción de los mensajes electrónicos de
MoneyGram Payment Systems, Inc., ya que la respuesta a su reclamación se envió el
3 de agosto de 2019. Se trata de un correo electrónico remitido desde ***EMAIL.4
relativo al asunto identificado con la referencia ?Money Gram Case 9079320? (Hecho
Probado sexto)
La reclamante continuó haciendo gestiones ante Money Gram para que desvinculara
sus datos personales de los envíos de dinero que ella no realizó. A tal efecto, ha
remitido a la AEPD una captura de pantalla obtenida de los sistemas de Money Gram
con su ?Historial de Transacciones? en la que aparecen como envíos efectuados por
ella, además del que sí ordenó, de fecha 30 de agosto, los dos envíos a los que es
ajena, de fecha 2 de septiembre (Hecho Probado séptimo). Ha aportado también dos
capturas de pantalla con la respuesta de Money Gram en la que le comunican que,
después de una revisión minuciosa, se ha procedido a cerrar su perfil. Respuesta que,
según ha declarado la reclamante, se refiere a la reclamación que presentó solicitando
que cancelara las remesas número ***INCIDENCIA.1 y ***INCIDENCIA.2.
Además, la reclamante presentó una denuncia en la Policía por estos hechos el 17 de
septiembre de 2019, cuyo contenido se detalla en el Hecho Probado quinto.
3. Los formularios de Money Gram en los que se documentaron los envíos
gestionados por el Locutorio ***LOCUTORIO.1 incluyen esta leyenda: ?Condiciones
Generales?: ?Esta transacción está sujeta a los términos y condiciones generales
provistos en los establecimientos de los agentes y en ***EMAIL.2o/term . [...]? (Hecho
probado duodécimo)
Si bien es cierto que no se dispone del acuerdo de encargo de tratamiento que Money
Gram debió haber suscrito con la reclamada, titular del Locutorio ***LOCUTORIO.1
que es agente autorizado de esa entidad, la Política Global de Money Gram publicada
en su página web -de la que se transcribe un fragmento en el Fundamento Jurídico II y
de la que se ha incorporado una copia al procedimiento (Hecho Probado undécimo)-
además de precisar que la información que trata se recopila, entre otras fuentes, ?de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/37
nuestros socios o agentes, dependiendo de nuestra relación con ellos para los fines
enumerados en este Aviso de Privacidad y en todo momento de acuerdo con las
leyes? y mencionar entre los ?Propósitos del procesamiento de datos personales? ?[...]
la ejecución de un contrato con usted, para enviarle mensajes de transacciones y
otros mensajes administrativos cuando solicite servicios de envío de dinero; [...]?,
estipula bajo la rúbrica ?Nuestros estándares de seguridad de la información?:
?Todos los que tienen acceso o están relacionados con el procesamiento de
información personal están obligados por contrato a respetar la confidencialidad de su
información personal, implementar los estándares de seguridad apropiados y cumplir
con los estándares y políticas de privacidad de datos aplicables. Aunque nuestros
estándares de seguridad de la información se ajustan a los estándares de la industria
y los requisitos de seguridad y privacidad de los datos, no hacemos ningún reclamo de
garantía en cuanto a la seguridad o impenetrabilidad de los sistemas de MoneyGram
en circunstancias extraordinarias/excepcionales o futuros ataques sofisticados. [...]? (El
subrayado es nuestro)
Respecto a los ?términos y condiciones generales provistos en los establecimientos de
los agentes?, la reclamada respondió a la petición que se le hizo en fase de prueba
para que explicara el procedimiento que tenía implantado para la gestión de los envíos
de dinero que realiza desde su locutorio:
?1. Pedimos el documento del cliente
2. Preguntamos a qué país quieren enviar dinero
3. Si es un cliente habitual Preguntamos con que compañía quiere enviar, tenemos
varias compañías
4. Si el cliente a elegido moneygram comprobamos si su datos que están en la ficha
de moneygram son correctos.
5. Preguntamos a quien quiere enviar el dinero y en caso de que es un nuevo
beneficiario Preguntamos nombre completo de beneficiario, número de teléfono
6. Si es pago a cuenta número completo de cuenta del destinatarios, nombre
completo, número de teléfono, número de documentos y nombre del banco y la
relación con el beneficiario.
7. Procedemos hacer el envío y mandamos escaneado el documento del cliente a la
compañía a la espera que lo autoriza y una vez que está autorizado Procedemos
hacer el envío .? (El subrayado es nuestro)
Pese a las medidas que la reclamada dice haber adoptado con ocasión de la
contratación de los envíos de dinero - como la petición de documentación al cliente-, lo
cierto es que esa petición no parece haberse cumplido respecto a los envíos
realizados el 2 de agosto.
La documentación que consta en el expediente ofrece evidencias claras de que la
persona que ordenó los envíos controvertidos no fue la reclamante. Así lo demuestra
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/37
la firma y rúbrica que figura en los formularios de estos envíos del 2 de agosto,
totalmente distinta a simple vista de la firma de la reclamante que consta en el
documento relativo al envío efectuado por ella el 30 de agosto, o con otros
documentos firmados por la reclamante que obran en el expediente. Cabe añadir,
también, que resulta llamativo que los hechos objeto de la reclamación hubieran
ocurrido tres días después de que la reclamante contratara a través del Locutorio
***LOCUTORIO.1 el servicio de envíos a través de Money Gram. Es igualmente
llamativo desde el punto de vista de la obligación que incumbe a la reclamada de
?implementar los estándares de seguridad apropiados y cumplir con los estándares y
políticas de privacidad de datos aplicables? que en el protocolo que sigue para la
gestión de las transferencias de efectivo incluya un escaneo del formulario del cliente
que, posteriormente, la reclamada envía a la compañía.
En definitiva, la reclamada gestionó dos envíos de efectivo en fecha 2 de agosto de
2019 asociados a los datos de la reclamante, quien no ordenó ni intervino en esa
operación, por lo que el tratamiento de sus datos personales no puede fundarse en el
motivo de licitud del apartado b) del artículo 6.1 del RGPD. Tampoco concurren
ninguna otra base jurídica del tratamiento de las contempladas en dicho precepto.
Como ha quedado acreditado a tenor de la disparidad de las firmas de quien contrató
los envíos gestionados el 2 de septiembre y la firma de la reclamante, con ocasión de
esos dos envíos la reclamada no observó ninguna diligencia para garantizar el respeto
del principio de licitud, cuyo cumplimiento exige verificar la identidad de la persona que
facilita como propios determinados datos personales.
IV
Tipo sancionador
La conducta de la que se responsabiliza a la reclamada, concretada en haber tratado
los datos personales de la reclamante asociándolos a dos contratos de envío de
remesas de efectivo en los que ella no intervino y, como consecuencia, comunicando
sus datos a Moneygram Payment Systems, Inc., al menos su dirección electrónica,
constituye una infracción del principio de licitud del tratamiento.
El tratamiento de los datos personales de la reclamante efectuado por la reclamada no
puede ampararse en ninguna de las bases jurídicas previstas en el artículo 6.1 del
RGPD, vulnerando con ello esta disposición que se encuentra tipificada en el artículo
83.5.a) RGPD, precepto que establece:
?Condiciones generales para la imposición de multas administrativas?,
?[...]
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4% como máximo del volumen de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/37
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5,6,7 y 9.?
La LOPDGDD, a efectos de determinar el plazo de prescripción de la infracción,
califica esta vulneración del RGPD en su artículo 72 de infracción muy grave. El
precepto dispone:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) [...]
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)2016/679.?
V
Sanción de multa administrativa: criterios para la determinación de su cuantía
El artículo 58 del RGPD, ?Poderes?, prevé en su apartado 2 que cada autoridad de
control dispondrá de los poderes correctivos que detalla en los apartados a) a j). Entre
ellos, el apartado i) contempla la imposición de una ?multa administrativa con arreglo
al artículo 83, además o en lugar de las medidas mencionadas en el presente
apartado, según las circunstancias de cada caso particular;?.
En el supuesto examinado se estima procedente que, conforme al artículo 58.2 del
RGPD, se proponga la imposición a la reclamada de la medida correctiva de multa
administrativa.
Con objeto de determinar el importe de la multa con la que se propone sancionar a la
reclamada como responsable de una infracción del artículo 6.1. del RGPD, se han de
aplicar las disposiciones de los artículos 83.1 y 83.2 del RGPD.
El artículo 83 del RGPD, en su apartado 1, exige a las autoridades de control que las
multas administrativas que impongan por infracciones tipificadas en los apartados 4,5
y 6 del precepto, sean, ?en cada caso individual?, ?efectivas, proporcionadas y
disuasorias.?
Por su parte, el artículo 83.2 RGPD dispone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/37
?Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,
?Sanciones y medidas correctivas?, dispone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/37
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
De acuerdo con los preceptos transcritos, se aprecia respecto a la conducta infractora
que es objeto de valoración la concurrencia de los siguientes factores que entrañan
una agravación de la responsabilidad del sujeto infractor:
- Artículo 83.2.a) RGPD: ?la naturaleza, gravedad y duración de la infracción, teniendo
en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se
trate, así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido.?
En el supuesto examinado inciden diversos elementos que evidencian la gravedad de
esa conducta teniendo en cuenta su ?alcance?: (i) Han sido dos las operaciones de
envío de efectivo en las que la reclamada trató los datos personales de la reclamante
sin legitimación. Operaciones realizadas el 2 de septiembre de 2019 e identificados
con las referencias ***MENSAJE.1 y ***MENSAJE.2. (ii) El tratamiento ilícito de los
datos personales de la reclamante no consistió únicamente en vincular los datos
personales de la reclamante a los dos envíos mencionados, sino que como
consecuencia se comunicaron los datos de la reclamante a un tercero, Moneygram
Payment Systems, Inc.; al menos su dirección electrónica, pues de no ser así la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/37
reclamante no habría recibido los mensajes de esa compañía en los que le informaba
de los envíos efectuados.
Respecto ?al nivel de daños y perjuicios? sufridos por la reclamante, no se dispone de
información sobre las consecuencias concretas derivadas del tratamiento ilícito, si bien
las estipulaciones incluidas en la Condiciones Generales de los formularios de Money
Gram en los que se documentaron los envíos dejan entrever un perjuicio potencial
para quien realice un envío de efectivo que no forma parte de su patrimonio o que
haga envíos de dinero en nombre de un tercero. Nos remitimos al Hecho Probado
duodécimo en el que se transcribe la estipulación del referido condicionado que dice
que al continuar con la transacción el remitente confirma que es el único beneficiario
de los fondos y que no está enviando dinero en nombre de un tercero.
-La intencionalidad o negligencia en la infracción, circunstancia recogida en el artículo
83.2.b) RGPD.
En el desarrollo de su actividad empresarial la reclamada estaba obligada a adoptar
las medidas necesarias para garantizar el respeto al principio de licitud, lo que le
obligaba a verificar que, quien con ocasión de una solicitud de envío de dinero
facilitaba como propios determinados datos personales era efectivamente su titular. En
el presente supuesto, a la luz de la documentación que obra en el expediente se
evidencia con claridad que la reclamada omitió absolutamente la más mínima
diligencia para verificar la identidad de la persona que ordenó los envíos de efectivo de
fecha 2 de agosto de 2019, indispensable para dar cumplimiento al principio de licitud
del tratamiento previsto en el artículo 5.1.a) del RGPD y regulado en el artículo 6 del
RGPD.
- ?Las categorías de los datos de carácter personal afectados por la infracción;?
artículo 82.g) RGPD. Son numerosísimos los datos personales de la reclamante que
han sido objeto de tratamiento por la reclamada sin base jurídica alguna. Además del
NIF, que identifica inequívocamente a la persona, su nombre y dos apellidos, la fecha
de nacimiento, el domicilio, la nacionalidad, y, especialmente significativos por cuanto
no es habitual incluirlos en los documentos de identidad, su número de teléfono móvil
y su profesión.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/37
- ?La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales?, circunstancia prevista en el artículo 76.2.b) LOPDGDD en conexión
con el artículo 83.2.k) RGPD.
La actividad empresarial de la reclamada relativa a la gestión de envíos de remesas de
dinero presupone tratar, necesariamente, datos personales, tanto de quienes solicitan
el servicio como de los destinatarios de los envíos. Esta característica de su actividad
empresarial repercute en la diligencia que debe desplegar en el cumplimiento de los
principios que presiden el tratamiento de datos de carácter personal.
Como circunstancia que atenúa la responsabilidad exigible se toma en consideración
la prevista en el artículo 83.2.k) RGPD: ?cualquier otro factor (...) atenuante aplicable
a las circunstancias del caso?.
Pese a que se solicitó a la reclamada en fase de prueba que aportara la declaración
de IRPF del ejercicio 2019 a fin de conocer el volumen de ingresos que le reporta su
actividad, no aportó ni ese documento ni ninguna otra información.
La situación económica de la persona física responsable de la vulneración del RGPD
que examinamos debe ser convenientemente valorada para hacer realidad la
exigencia del Reglamento de que las multas administrativas sean, no sólo efectivas y
disuasorias, sino también proporcionadas.
Ante la falta de información sobre esta cuestión, se toma en consideración la única
referencia disponible: la actividad empresarial que desarrolla la parte reclamada,
actividad que desempeña en el establecimiento del que es titular -Locutorio
***LOCUTORIO.1- que permite presumir que no tenía un volumen de negocio elevado.
Se valora, entre otros factores, que los hechos acontecieron cuando había transcurrido
algo más de un mes desde el inicio de su actividad empresarial.
Así pues, a la luz de las consideraciones precedentes, atendidas las circunstancias
concurrentes, tanto adversas -artículo 83.2.a; 83.2.b); 83.2.g) y 83.2.k) en relación con
el artículo 76.2.b) LOPDGDD- como favorables a reclamada -artículo 83.2.k) RGPD-,
se propone imponer a la parte reclamada por la infracción del artículo 6.1 del RGPD de
la que es responsable, una sanción de multa administrativa por importe de 2.000 ?
(dos mil euros).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/37
A la vista de lo expuesto se procede a emitir la siguiente
PROPUESTA DE RESOLUCIÓN
Que por la Directora de la Agencia Española de Protección de Datos se sancione a
B.B.B., con NIF ***NIF.1, por una infracción del artículo 6.1. del RGPD, tipificada en el
artículo 83.5.a) del RGPD, con una multa administrativa de 2.000 ? (dos mil euros)
Asimismo, de conformidad con lo establecido en el artículo 85.2 de la LPACAP, se le
informa de que podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que
supondrá una reducción de un 20% de su importe. Con la aplicación de esta
reducción, la sanción quedaría establecida en 1.600? (mil seiscientos euros) y su pago
implicará la terminación del procedimiento. La efectividad de esta reducción estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de la cantidad especificada
anteriormente, de acuerdo con lo previsto en el artículo 85.2 citado, deberá hacerla
efectiva mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000 abierta a nombre de la Agencia Española de Protección de Datos en la entidad
bancaria CAIXABANK, S.A., indicando en el concepto el número de referencia del
procedimiento que figura en el encabezamiento de este documento y la causa, por
pago voluntario, de reducción del importe de la sanción. Asimismo, deberá enviar el
justificante del ingreso a la Subdirección General de Inspección para proceder a cerrar
el expediente.
En su virtud se le notifica cuanto antecede, y se le pone de manifiesto el procedimiento
a fin de que en el plazo de DIEZ DÍAS pueda alegar lo que estime oportuno en su
defensa y presentar los documentos e informaciones que considere pertinentes, de
acuerdo con el artículo 89.2 de la LPACAP.
926-050522
Paloma Alonso García
INSPECTORA/INSTRUCTORA
ANEXO
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/37
Índice del Expediente PS_00379_2021
16-10-2019 Reclamación de A.A.A. 1
22-11-2019 Traslado reclamación a UNITED ANIF, S.L. 29
23-06-2020 Traslado reclamación 2 a MONEY GRAM SPAIN, S.A. 47
03-08-2020 Contestación requerimiento de MONEY GRAN SPAIN S. 64
04-12-2020 Admisión a trámite a A.A.A. DE 67
05-01-2021 Contestación requerimiento de Ayuntamiento de Mad 70
10-12-2021 A. apertura a B.B.B.80
01-06-2022 Notif. p. pruebas a B.B.B.97
21-06-2022 Notif. p. pruebas 2 a B.B.B.100
21-06-2022 Pruebas a la reclamante a A.A.A. 104
21-06-2022 Petición de pruebas a MONEY GRAM INTERNATIO SRL a 107
29-06-2022 Contestación requerimiento de B.B.B. 112
30-06-2022 Contestación requerimiento de A.A.A. 130
18-07-2022 captura pantalla Money G 151
18-07-2022 captura web Money 158
18-07-2022 Diligencia 2 159
>>
SEGUNDO: En fecha 1 de agosto de 2022, la parte reclamada ha procedido al pago
de la sanción en la cuantía de 1600 euros haciendo uso de la reducción prevista en la
propuesta de resolución transcrita anteriormente.
TERCERO: El pago realizado conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción, en relación con los hechos a los que se refiere la
propuesta de resolución.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/37
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.?
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00379/2021, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a B.B.B..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
968-230522
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es