Resolución de la Agencia Española de Protección de Datos PS-00400-2022 de 09 de diciembre de 2022

Cuestión

Expediente N.º: EXP202100353

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : D. A.A.A. (en adelante, la parte reclamante), en fecha 18 de junio de 2021,

interpuso...

Contestacion

1/13

? Expediente N.º: EXP202100353

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: D. A.A.A. (en adelante, la parte reclamante), en fecha 18 de junio de 2021,

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra FABRICACIÓN Y MONTAJES LEO, S.L. con NIF

B88214200 (en adelante, la parte reclamada). Los motivos en que basa la reclamación

son los siguientes:

El reclamante manifiesta que datos personales y económicos suyos, relacionados con

documentación que la Tesorería General de la Seguridad Social envió a la entidad

reclamada, han sido cedidos indebidamente a un tercero, que lo ha puesto en su

conocimiento.

Junto a la reclamación aporta:

- Copia de la notificación y mandamiento a la entidad pagadora para el embargo de los

créditos y derechos de un deudor a la seguridad social. El destinatario de esta

notificación es la parte reclamada y en ella figura, entre otra información, el nombre,

apellidos, domicilio e importe de la deuda del reclamante.

- Captura de pantalla de una conversación de WhatsApp en la que el reclamante

indica que el tercero le envió los documentos que el tercero recibió de la

administradora de LEO. En esta conversación, el tercero indica que la

documentación la recibió desde el número de teléfono ***TELÉFONO.1 (falta un

dígito a este número de teléfono porque el último dígito no se puede identificar

debido a la calidad de la imagen aportada; el reclamante indica que este número de

teléfono es el ***TELÉFONO.2).

- Capturas de pantalla de una conversación de WhatsApp que el reclamante indica

que es la conversación entre el tercero y B.B.B. (que el reclamante indica que es la

parte reclamada) en la que le enviaron al tercero la documentación sobre el

reclamante. En esta conversación se observa que le enviaron, el 14 de mayo, al

tercero un documento cuya cabecera aparenta (la calidad de la imagen aportada no

permite identificar claramente que sea el mismo documento, aunque sí se aprecia

que aparece el nombre del reclamante) ser la misma que la de la copia de la

notificación y mandamiento a la entidad pagadora para el embargo de los créditos y

derechos de un deudor a la seguridad social que ha aportado el reclamante en esta

reclamación.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/13

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para

que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), mediante notificación electrónica, fue recibido en

fecha 14 de julio de 2021, como consta en el certificado que obra en el expediente.

No se ha recibido respuesta a este escrito de traslado.

TERCERO: En fecha 18 de octubre de 2021, de conformidad con el artículo 65 de la

LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

El día 27 de abril de 2022, se realiza una consulta en el ?Servicio de verificación de

integridad de documentos? de la sede electrónica de la seguridad social

(https://sede.seg-social.gob.es/), obteniendo el siguiente resultado:

1. Se verifica la existencia del siguiente documento, presentado en la reclamación:

notificación y mandamiento a la entidad pagadora para el embargo de los créditos y

derechos de un deudor a la seguridad social de fecha ?08/03/2021? dirigido a la

parte reclamada y en el que aparecen los datos del reclamante.

Contestación a requerimiento de información, con registro de entrada

O00007128e2100046158, presenta en nombre de XFERA MÓVILES, SAU, que era el

operador del número ***TELÉFONO.2, con entrada en la AEPD el 10 de noviembre de

2021, en la que se aporta, entre otra, la siguiente información:

2. El titular del número de teléfono ***TELÉFONO.2 a fecha del 17 de mayo de 2021

era la parte reclamada.

Contestación a requerimiento de información, con registro de entrada

O00007128e2100049604, presenta en nombre del reclamante, con entrada en la

AEPD el 2 de diciembre de 2021, en la que se aporta, entre otra, la siguiente

información:

3. Identifica al tercero que le aportó las conversaciones de WhatsApp como C.C.C. con

DNI ***NIF.1 y número de teléfono ***TELÉFONO.3.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/13

4. Copia de la cara frontal del DNI de C.C.C..

5. Capturas de pantalla de las conversaciones de WhatsApp que ya había aportado en

su reclamación con una mejor resolución en la que se aprecia que el documento

enviado por B.B.B. al tercero en la conversación de WhatsApp es la misma

notificación y mandamiento a la entidad pagadora para el embargo de los créditos y

derechos de un deudor a la seguridad social que el reclamante aportó en su

reclamación, en la que aparecían los datos del reclamante y que tenía como

destinataria a la parte reclamada.

6. Declaración de que el contacto B.B.B. se corresponde con D.D.D., administradora

de la parte reclamada.

El día 25 de octubre de 2021, se envió una notificación electrónica a la parte

reclamada, que fue recogida ese mismo día, en la que se trasladaba la reclamación y

se requería información sobre las causas de esta reclamación y las medidas

adoptadas al respecto, obteniéndose el siguiente resultado:

7. En la fecha en que se firma este informe, no se ha recibido contestación a este

requerimiento de información.

QUINTO: En fecha 8 de agosto de 2022, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,

por las presuntas infracciones de los artículos 5.1.f) del RGPD y 32 del RGPD,

tipificadas en los artículos 83.5 y 83.4 del RGPD, respectivamente.

El acuerdo de inicio fue enviado, conforme a las normas establecidas en la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP), mediante notificación electrónica,

siendo recibido en fecha 12 de agosto de 2022, como consta en el certificado que obra

en el expediente.

SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en

la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado

para la formulación de alegaciones, se ha constatado que no se ha recibido alegación

alguna por la parte reclamada.

El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada

en el acuerdo de apertura del procedimiento- establece que si no se efectúan

alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando

éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,

podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de

inicio del expediente sancionador determinaba los hechos en los que se concretaba la

imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría

imponerse. Por ello, tomando en consideración que la parte reclamada no ha

formulado alegaciones al acuerdo de inicio del expediente y en atención a lo

establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es

considerado en el presente caso propuesta de resolución.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/13

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS

PRIMERO: Consta que en fecha 18 de junio de 2021, la parte reclamante interpuso

reclamación ante la Agencia Española de Protección de Datos, toda vez que datos

personales y económicos suyos, relacionados con documentación que la Tesorería

General de la Seguridad Social envió a la entidad reclamada, han sido cedidos

indebidamente a un tercero.

SEGUNDO: Consta la existencia del documento: notificación y mandamiento a la

entidad pagadora para el embargo de los créditos y derechos de un deudor a la

seguridad social de fecha 08/03/2021, dirigido a la parte reclamada y en el que

aparecen los datos del reclamante.

TERCERO: Constan capturas de pantalla de las conversaciones de WhatsApp, en las

que se aprecia que el documento enviado por B.B.B. al tercero en la conversación de

WhatsApp es la misma notificación y mandamiento a la entidad pagadora para el

embargo de los créditos y derechos de un deudor a la seguridad social que el

reclamante aportó en su reclamación, en la que aparecen los datos del reclamante y

que tenía como destinataria a la parte reclamada.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Cuestiones previas

En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD, consta

la realización de un tratamiento de datos personales, toda vez que FABRICACIÓN Y

MONTAJES LEO, S.L.es una empresa del sector de la construcción que, para el

desarrollo de su actividad, realiza tratamientos de datos personales de sus clientes y

empleados.

Realiza esta actividad en su condición de responsable del tratamiento, dado que es

quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/13

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto con otros, determine los fines y

medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina

los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos

para su nombramiento podrá establecerlos el Derecho de la Unión o de los

Estados miembros.

El artículo 4 apartado 12 del RGPD define, de un modo amplio, las ?violaciones de seguridad

de los datos personales? (en adelante brecha de seguridad) como ?todas

aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración

accidental o ilícita de datos personales transmitidos, conservados o tratados de

otra forma, o la comunicación o acceso no autorizados a dichos datos.?

En el presente caso, consta una brecha de seguridad de datos personales en las

circunstancias arriba indicadas, categorizada como una brecha de confidencialidad,

toda vez que la parte reclamada ha revelado información y datos de carácter personal

sin base jurídica legitimadora, al remitir a un tercero a través de la aplicación de

mensajería WhatsApp, una notificación de la Tesorería General de la Seguridad

Social, de fecha 8 de marzo de 2021, en la que aparecían datos de identidad, domicilio

y deudas del reclamante.

Según el GT29 se produce una ?Violación de la confidencialidad? cuando se produce

una revelación no autorizada o accidental de los datos personales, o el acceso a los

mismos.

Hay que señalar que la identificación de una brecha de seguridad no implica la imposición

de una sanción de forma directa por esta Agencia, ya que es necesario analizar la

diligencia de responsables y encargados y las medidas de seguridad aplicadas.

Dentro de los principios del tratamiento previstos en el artículo 5 del RGPD, la

integridad y confidencialidad de los datos personales se garantiza en el apartado 1.f)

del artículo 5 del RGPD. Por su parte, la seguridad de los datos personales viene

regulada en los artículos 32, 33 y 34 del RGPD, que reglamentan la seguridad del

tratamiento, la notificación de una violación de la seguridad de los datos personales a

la autoridad de control, así como la comunicación al interesado, respectivamente.

III

Artículo 5.1.f) del RGPD

Establece el artículo 5.1.f) del RGPD lo siguiente:

?Artículo 5 Principios relativos al tratamiento:

1. Los datos personales serán:

(?)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»).?

En relación con este principio, el Considerando 39 del referido RGPD señala que:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/13

?[?]Los datos personales deben tratarse de un modo que garantice una seguridad y

confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso

o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento?.

La documentación obrante en el expediente ofrece indicios evidentes de que el

reclamado vulneró el artículo 5.1 f) del RGPD, principios relativos al tratamiento.

De las actuaciones previas de investigación se verifica la existencia del documento:

notificación y mandamiento a la entidad pagadora para el embargo de los créditos y

derechos de un deudor a la seguridad social de fecha 08/03/2021 dirigido a la parte

reclamada y en el que aparecen los datos del reclamante.

Asimismo, en las capturas de pantalla de las conversaciones de WhatsApp, se aprecia

que el documento enviado por B.B.B. al tercero en la conversación de WhatsApp es la

misma notificación y mandamiento a la entidad pagadora para el embargo de los

créditos y derechos de un deudor a la seguridad social que el reclamante aportó en su

reclamación, en la que aparecían los datos del reclamante y que tenía como

destinataria a la parte reclamada.

Los hechos conocidos constituyen, por parte del reclamado, en su condición de

responsable del reseñado tratamiento de datos personales, una vulneración del

principio de confidencialidad, al difundir esa información a un tercero sin constar que

hubiera obtenido el consentimiento de la parte reclamante para ese especifico

tratamiento, ni existiera ninguna otra base de legitimación.

En consecuencia, se considera que los hechos acreditados son constitutivos de

infracción, imputable a la parte reclamada, por vulneración del artículo 5.1.f) del

RGPD.

IV

Tipificación de la infracción del artículo 5.1.f) del RGPD

La citada infracción del artículo 5.1.f) del RGPD supone la comisión de las infracciones

tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales

para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5, 6, 7 y 9; (?)?

A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/13

A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy

graves? de la LOPDGDD indica:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se

consideran muy graves y prescribirán a los tres años las infracciones que supongan

una vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679. (?)?

V

Artículo 32 del RGPD

Establece el artículo 32 del RGPD, seguridad del tratamiento, lo siguiente:

?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la

naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de

probabilidad y gravedad variables para los derechos y libertades de las personas

físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,

que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y

resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos

personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia

de las medidas técnicas y organizativas para garantizar la seguridad del

tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en

cuenta los riesgos que presente el tratamiento de datos, en particular como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un

mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento

para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del

presente artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que

cualquier persona que actúe bajo la autoridad del responsable o del encargado y

tenga acceso a datos personales solo pueda tratar dichos datos siguiendo

instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de

la Unión o de los Estados miembros?.

El Considerando 74 del RGPD establece:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/13

?Debe quedar establecida la responsabilidad del responsable del tratamiento por

cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En

particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces

y ha de poder demostrar la conformidad de las actividades de tratamiento con el

presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener

en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el

riesgo para los derechos y libertades de las personas físicas.?

Como quiera que el uso de WhatsApp es habitual para la comunicación y el envío de

documentos o imágenes de documentos, debe tenerse en cuenta a quien se envían

los mensajes cuando en dichos mensajes se incluyan datos personales, dado que si

estos datos no son de quien envía el mensaje o del destinatario de estos, debe existir

una justificación para enviar a terceras personas los datos personales por WhatsApp.

Los hechos puestos de manifiesto suponen la falta de medidas técnicas y

organizativas al posibilitar la exhibición de datos de carácter personal de la reclamante

con la consiguiente falta de diligencia por el responsable, permitiendo el acceso no

autorizado por terceros ajenos.

Hay que señalar que el RGPD en el citado precepto no establece un listado de las

medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto

de tratamiento, sino que establece que el responsable y el encargado del tratamiento

aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve

el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la

naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad

y gravedad para los derechos y libertades de las personas interesadas.

Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al

riesgo detectado, señalando que la determinación de las medidas técnicas y

organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la

capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la

capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso

de verificación (que no auditoría), evaluación y valoración de la eficacia de las

medidas.

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán

particularmente en cuenta los riesgos que presente el tratamiento de datos, como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios

físicos, materiales o inmateriales.

En este mismo sentido el considerando 83 del RGPD señala que:

?(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo

dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar

los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el

cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la

confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/13

con respecto a los riesgos y la naturaleza de los datos personales que deban

protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben

tener en cuenta los riesgos que se derivan del tratamiento de los datos personales,

como la destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios

físicos, materiales o inmateriales?.

La responsabilidad del reclamado viene determinada por la falta de medidas de

seguridad, ya que es responsable de tomar decisiones destinadas a implementar de

manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un

nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos,

restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente

físico o técnico.

Por tanto, los hechos acreditados son constitutivos de una infracción, imputable a la

parte reclamada, por vulneración del artículo 32 RGPD.

VI

Tipificación de la infracción del artículo 32 del RGPD

La citada infracción del artículo 32 del RGPD supone la comisión de las infracciones

tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales

para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8,

11, 25 a 39, 42 y 43; (?)?

A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?

de la LOPDGDD indica:

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se

consideran graves y prescribirán a los dos años las infracciones que supongan una

vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

f) La falta de adopción de aquellas medidas técnicas y organizativas que

resulten apropiadas para garantizar un nivel de seguridad adecuado al

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/13

riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del

Reglamento (UE) 2016/679.?

VII

Responsabilidad

Establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en

el Capítulo III relativo a los ?Principios de la Potestad sancionadora?, en el artículo 28

la bajo la rúbrica ?Responsabilidad?, lo siguiente:

?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa

las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de

obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los

patrimonios independientes o autónomos, que resulten responsables de los mismos a

título de dolo o culpa.?

La falta de diligencia a la hora de implementar las medidas apropiadas de seguridad

con la consecuencia del quebranto del principio de confidencialidad constituye el

elemento de la culpabilidad.

VIII

Sanción

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza

, alcance o propósito de la operación de tratamiento de que se trate, así como el número

de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar

los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida

cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los

artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular

si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida

; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordena-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/13

das previamente contra el responsable o el encargado de que se trate en relación con

el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación

aprobados con arreglo al artículo 42,

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente

, a través de la infracción.?

Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD

dispone:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento

(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación

establecidos en el apartado 2 del citado artículo.

2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

Sanción por las infracciones de los artículos 5.1.f) y 32 del RGPD.

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción por

la infracción del artículo 5.1 f), procede graduar la multa teniendo en cuenta:

Artículo 83.2.g) RGPD: las categorías de los datos de carácter personal afectados por

la infracción. Debe tenerse en cuenta que en este caso se trata de una notificación y

mandamiento a la entidad pagadora para el embargo de los créditos y derechos de un

deudor a la seguridad social, con lo que esto puede afectar a la imagen del reclamante.

De hecho, tal y como consta en los mensajes de WhatsApp aportados al expediente

, el envío de la documentación se efectúa en el contexto de una conversación en que

la reclamada emite juicios presuntamente ofensivos contra el reclamante.

Artículo 76.2 b) LOPDGDD:? La vinculación de la actividad del infractor con la

realización de tratamientos de datos personales?. La entidad reclamada es una

pequeña empresa no habituada al tratamiento de datos personales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/13

Considerando los factores expuestos, la valoración que alcanza la cuantía de la multa

es de 5.000 ? por infracción del artículo 5.1 f) del RGPD, respecto a la vulneración del

principio de confidencialidad y de 3.000 ? por infracción del artículo 32 del citado

RGPD, respecto a la seguridad del tratamiento de los datos personales.

IX

Medidas

Asimismo, procede imponer la medida correctiva descrita en el artículo 58.2.d) del

RGPD y ordenar a la parte reclamada que, en el plazo de un mes, establezca las

medidas de seguridad adecuadas para que se adecúen los tratamientos a las

exigencias contempladas en los artículos 5.1 f) y 32 del RGPD, impidiendo que se

produzcan situaciones similares en el futuro.

En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y

los hechos que han dado lugar a la vulneración de la normativa de protección de

datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio

de que el tipo de procedimientos, mecanismos o instrumentos concretos para

implementarlas corresponda a la parte sancionada, pues es el responsable del

tratamiento quien conoce plenamente su organización y ha de decidir, en base a la

responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la

LOPDGDD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la

Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a FABRICACIÓN Y MONTAJES LEO, S.L., con NIF

B88214200, por una infracción del artículo 5.1.f) del RGPD, tipificada conforme a lo

dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de

prescripción en el artículo 72.1 a) de la LOPDGDD, una multa de 5.000 ?.

SEGUNDO: IMPONER a FABRICACIÓN Y MONTAJES LEO, S.L., con NIF

B88214200, por una infracción del artículo 32 del RGPD, tipificada conforme a lo

dispuesto en el artículo 83.4 del RGPD, calificada como grave a efectos de

prescripción en el artículo 73 f) de la LOPDGDD, una multa de 3.000 ?.

TERCERO: REQUERIR a FABRICACIÓN Y MONTAJES LEO, S.L. con NIF

B88214200, que implante, en el plazo de un mes, las medidas correctoras necesarias

para adecuar su actuación a la normativa de protección de datos personales, que

impidan que en el futuro se repitan hechos similares, así como que informe a esta

Agencia, en el mismo plazo, sobre las medidas adoptadas.

CUARTO: NOTIFICAR la presente resolución a FABRICACIÓN Y MONTAJES LEO,

S.L.

QUINTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/13

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia

Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso

contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-181022

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es