Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00413-2021 de 16 de marzo de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 55 min
Órgano: Agencia Española de Protección de Datos
Fecha: 16/03/2023
Num. Resolución: PS-00413-2021
Cuestión
1 / 21Expediente N.º: PS/00413/2021
- RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: La GUARDIA CIVIL- PUESTO P. DE TOTANA remite, en fecha
18/06/2020,...
Contestacion
1/21
? Expediente N.º: PS/00413/2021
- RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: La GUARDIA CIVIL- PUESTO P. DE TOTANA remite, en fecha
18/06/2020, Acta-Denuncia-Inspección y Petición de procedimiento por infracción de la
normativa sobre protección de datos señalando que el 22/04/2020 se personan en las
dependencias del cuerpo D. A.A.A. (en adelante parte reclamante) junto con un
tercero, repartidor de la empresa General Logistics Systems Spain, S.A. (en lo
sucesivo GLS) Los motivos en que basa la reclamación son los siguientes: que el
empleado de la empresa pretendía hacerle entrega de un teléfono móvil remitido por la
mercantil ORANGE ESPAGNE S.A.U.(en lo sucesivo el reclamado), y que la empresa
mencionada para hacer entrega de los paquetes a sus destinatarios, está imponiendo
como condición necesaria realizar una fotografía del anverso y reverso de su DNI. El
empleado de la empresa la toma con su terminal móvil en el momento de la entrega.
Posteriormente, la imagen obtenida es cedida a la empresa que remitió el paquete.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), con número de referencia E/05859/2020, se dio traslado de
dicha reclamación al reclamado y a otras entidades con las que se relacionaba la
entrega del paquete, para que procediesen a su análisis e informase a esta Agencia
en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos
previstos en la normativa de protección de datos.
GLS, cuyo repartidor iba a entregar el teléfono móvil, alega lo siguiente:
A pesar de no contar con los datos fundamentales para identificar los envíos, creen
haber identificado el servicio de entrega denunciado, el cual pasan a explicar. Se
denomina IdentService, y tiene su origen en el requerimiento de sus clientes para que
se fotografíen los documentos de identidad de los destinatarios, aportando así una
mayor seguridad de que el paquete ha sido efectivamente entregado al destinatario y
no a cualquier persona que pudiera vivir en el mismo domicilio que este.
El procedimiento se implementó en septiembre de 2018 para cumplir con las
exigencias de su cliente ICP. Además del correspondiente contrato de encargado, se
firma una adenda especial en la que GLS asume la función de mandatario bajo las
órdenes del mandante para la recogida de las fotografías de los documentos de
identidad. Se aporta el contrato como la adenda, firmados con ICP.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/21
Los clientes que deciden exigir esta fotografía lo graban en el sistema que les
proporciona GLS en forma de atributo especial asociado a la entrega del envío que
deseen. La información necesaria viaja al dispositivo del repartidor que realiza el
reparto (nombre completo del destinatario y DNI. En el momento de la entrega, si
nombre o DNI no coinciden con lo indicado, la entrega no se puede realizar. Si
coinciden, la aplicación de reparto permite hacer una foto al anverso y reverso del
DNI, para que se pueda entregar. Los datos recogidos son transmitidos por canal
cifrado al sistema de GLS (no se guardan en el dispositivo de entrega del repartidor,
con lo que él no puede consultar las imágenes) y se quedan guardadas en un servidor
interno propiedad de GLS, separadas del resto de imágenes (firmas y fotos de sello).
Solo un técnico para el mantenimiento tiene acceso a dicho servidor. A través del
módulo de ERP del sistema informático, los clientes pueden acceder a las fotografías
del envío que han marcado para realizar de esta firma, a través de un enlace (no
pueden consultar fotografías de DNIs de forma indiscriminada). Las imágenes son
almacenadas y tratadas para consulta de clientes o responder a posibles
reclamaciones sobre incidencias en el envío, durante 1 año (a efectos de
reclamaciones extrajudiciales) y 4 años (por considerarse documento mercantil - art.
66 LGT 58/2003). Las fotografías además no pueden ser vistas por el repartidor desde
su dispositivo.
Disponen también de otro servicio, "Servicio de validación DNI Online" (consumido
únicamente por este cliente, ICP), en el que en tiempo real se transmite al sistema de
ICP los datos de nombre completo, DNI e imágenes del anverso y reverso del DNI, y
esperan una respuesta de éste. Si el sistema retorna un KO (respuesta negativa), se
impide la entrega; permitiéndose en caso contrario (respuesta positiva o falta de
respuesta).
En el procedimiento establecido para la entrega del paquete se dispone que se ha de
solicitar al interesado que les permita fotografiar el DNI, al ser un requisito obligatorio
impuesto por el cliente para la entrega. El destinatario es libre de hacerlo, pero es
informado de las consecuencias que tiene no poder efectuar la verificación de la
identidad. La base de legitimación no es el consentimiento sino la ejecución del
contrato con su cliente. Será éste, el proveedor del producto, el que informe al
destinatario del procedimiento y solicite su consentimiento, de ser esta la base
legitimadora utilizada?.
TERCERO: Con fecha 04/11/2020, la Directora de la AEPD acuerda la admisión a
trámite de la reclamación.
CUARTO: A la vista de los hechos denunciados en la reclamación y de los
documentos aportados por el reclamante, la Subdirección General de Inspección de
Datos procedió a la realización de actuaciones previas de investigación para el
esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación
otorgados a las autoridades de control en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/21
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en lo sucesivo LOPDGDD).
Con fecha 02/09/2020 se recibe en esta Agencia, escrito de alegaciones manifestando
los siguientes aspectos relevantes:
- La reclamada realiza envíos por sí misma o bien a través de empresas subcontratadas.
- La reclamada tiene una modalidad de entrega denominado Identservice (DNI + foto)
que tiene su origen en el requerimiento del cliente ICP para aportar una mayor seguridad
de que el paquete ha sido entregado al destinatario.
- Si un cliente solicita el servicio Identservice, una vez que el envío llega a la empresa
colaboradora encargada de su entrega en el destino, el repartidor solicita al destinatario
el nombre completo y el DNI y si estos coinciden con los datos obrantes en el terminal
del repartidor, realiza una foto de ambas caras del DNI. En caso de que los datos
nombre completo o DNI no coincidan con los que figuran en el terminal del repartidor,
la entrega y la foto no se realiza. Añaden que los datos recogidos son transmitidos de
forma cifrada a sus sistemas no guardándose los datos del destinatario ni las fotos recién
tomadas en el terminal del repartidor, por lo que este no puede consultarlas. Estos
datos se almacenan en un servidor específico para esta función propiedad de la
compañía reclamada y al que solo una persona tiene acceso para labores de mantenimiento.
Además, las imágenes deben tomarse con la aplicación de la reclamada que
se encarga de enviarlas al servidor mencionado sin almacenarlas en el terminal del repartidor
, no admitiendo esta aplicación que se puedan tomar con la cámara del móvil y
pasarlas a la aplicación para su trasmisión. Hay que resaltar que en el caso de que el
cliente sea ICP, la fotografía del DNI se envía a través de los servidores de la reclamada
a los sistemas de ICP.
- No obstante, los datos pueden ser accedidos desde el sistema ERP (Planificador de
Recursos Empresariales que permite el intercambio de datos entre diferentes áreas)
de la reclamada. Tienen acceso a estos datos el responsable del envío, el responsable
de la entrega, y el cliente responsable del envío. Las imágenes son tratadas únicamente
por sus clientes o para responder a posibles reclamaciones de incidencias de
envío y solo a aquellos datos que correspondan al envío de cada cliente.
- Los datos se conservan durante un año a efectos de reclamaciones extrajudiciales y
a efectos de prueba de entrega, durante cuatro años por considerarse documento mercantil.
- Indican que su responsabilidad es la de encargado del tratamiento, siendo el responsable
de éste, el cliente que solicitó este tipo de verificación en la entrega. Por lo tanto,
la base de legitimación no es el consentimiento del remitente, sino la ejecución del
contrato con su cliente, siendo éste el que informe de este tratamiento y recabe el consentimiento
del destinatario para el tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/21
Y adjuntan los siguientes documentos:
- Contrato de servicio con ICP en el que la entidad reclamada figura como encargado
de tratamiento, siendo el responsable de este tratamiento, ICP.
- Adenda contrato de servicio con ICP (DNI + foto) en el que la reclamada figura
como mandatario.
- Cartel descriptivo de los tres tipos de identificación del remitente
Solicitados por esta Agencia, los contratos con los clientes correspondientes a los envíos
remitidos a los reclamantes, con fecha de 28/10/2020 se reciben en esta Agencia
tres escritos, manifestando:
1.- Respecto al envío realizado al reclamante de un producto de ORANGE a través
de la entidad ICP, ésta había solicitado la modalidad de validación con foto de DNI.
Aportan documento de expedición nº ***EXPEDIENTE.1. En él se observa el requerimiento
de este tipo de validación solicitado por ICP.
Con fecha 04/11/2020, en el procedimiento E/05859/2020 la Agencia Española de
Protección de Datos acordó llevar a cabo las presentes actuaciones de investigación
en relación con las reclamaciones presentadas por los reclamantes.
- Respecto a la reclamación presentada por el reclamante (a través de la Guardia Civil
) se solicita al reclamado la base de legitimación para la obtención de una fotografía
del DNI, el consentimiento del destinatario y la información facilitada a este sobre
el tratamiento.
Con fecha de 19/02/2021 se recibe en esta Agencia, escrito de contestación manifestando
:
- Que entienden que la base de legitimación reside en la necesidad de ejecutar el
contrato del que tanto el reclamante como reclamado forman parte.
- Que con anterioridad a la entrega del producto remitido por el reclamado con validación
mediante toma fotográfica del DNI del reclamante, el reclamado remitió un correo
electrónico al reclamante informándole de que por motivos de seguridad el documento
identificativo con el que contrató el producto podría ser digitalizado en el momento
de la entrega. Asimismo, las condiciones de las entregas de los pedidos que
realiza el reclamado a sus clientes se encuentran detallas en la página web oficial, a
través del siguiente enlace:
https://ayuda.orange.es/particulares/movil/mi-movil/mi-pedido/1101-donde-recojo-mipedido-y-que-documentacion-necesito
?
utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido
Y adjuntan los siguientes documentos:
- Contrato suscrito por el reclamante y reclamado con fecha de 18/01/2020 y ?Anexo
de Privacidad? con fecha de 30/12/2018 firmados por el reclamante
- Contenido del correo electrónico remitido al reclamante.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/21
Se ha comprobado que en el enlace web que facilitan consta el requerimiento de que
el documento identificativo con el que se procedió a contratar el producto será digitalizado
en el momento de la entrega.
QUINTO: Con fecha 17/09/2021, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción
del 5.1.c), tipificada en el artículo 83.5.a) del RGPD.
SEXTO: Notificado el acuerdo de inicio, el reclamado en fecha 23/09/2021 solicito
ampliación del plazo para presentar alegaciones; plazo que le fue concedido mediante
escrito del instructor de 24/09/2021.
El reclamado mediante escrito de 11/10/2021 presento escrito de alegaciones manifestando
en síntesis lo siguiente: que se realiza un tratamiento de la imagen del DNI
lícito, en tanto éste persigue un interés legítimo; que previamente la AEPD ha venido
sancionando al reclamado por la ausencia de dicho tratamiento, al considerarlo una
falta de diligencia en el cumplimiento de las obligaciones derivadas de la normativa
de protección de datos; que la Audiencia Nacional, en sus Sentencias de 8 de marzo
de 2018 y 5 de mayo de 2021, la que indica que el responsable del tratamiento debe
conservar prueba documental del cumplimiento de sus obligaciones en protección de
datos, como es la verificación de la identidad del interesado al que se le entrega un
producto contratado a distancia; que el reclamado se ve ante una clara contradicción
e incertidumbre jurídica; que subsidiariamente, en el caso de que no se tenga en
cuenta las fundamentaciones que sostiene el reclamado, se solicita que se tenga en
cuenta las circunstancias atenuantes y, consecuentemente, culmine el procedimiento
mediante un apercibimiento y, en última instancia, si considera que procede la imposición
de una sanción, modere o module su propuesta recogida en el Acuerdo de Inicio
de Procedimiento. .
SEPTIMO: Con fecha 20/12/2021 se inició un período de práctica de pruebas, acordándose
las siguientes
Dar por reproducidos a efectos probatorios la reclamación interpuesta por el reclamante
y su documentación, los documentos obtenidos y generados por los
Servicios de Inspección que forman parte del expediente E/05859/2020.
Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio
presentadas por el reclamado.
Solicitar tanto al reclamado como a la empresa Información Control y Planificación
que aporten copia del contrato de colaboración suscrito entre ambos, para
la prestación de servicios.
En fecha 29/12/2021 el reclamado dio respuesta a la prueba practicada cuyo
contenido obra en el expediente.
OCTAVO: En fecha 07/04/2022, fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia Española de Protección de Datos se sancionara al
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/21
reclamado por infracción del artículo del 5.1.c), tipificada en el artículo 83.5.a) del
RGPD, del citado Reglamento una multa de 100.000 ? (cien mil euros). Se acompaña
Anexo con los documentos integrantes del expediente administrativo.
La entidad reclamada, tras pedir ampliación de plazo para presentar alegaciones a la
propuesta, presenta, en fecha 05/05/2022, escrito de alegaciones en el que reitera las
ya planteadas anteriormente. Indica que se hace referencia a otras reclamaciones que
no tienen relación con los hechos objeto de este procedimiento.
Señalan que no es exacto el relato de los hechos recogido en el Antecedente Primero
de la Propuesta de Resolución: la foto del DNI no es tomada con la cámara del terminal
de entrega, sino con una aplicación concreta dentro del terminal, que no permite
acceder a la imagen y que no la almacena en el dispositivo.
En el momento en el que se realiza la fotografía, se verifica que el nombre y el DNI
que se contiene en el terminal de entrega se corresponde con el DNI y nombre identificados
por la aplicación. La aplicación únicamente permite realizar la fotografía si los
datos se corresponden, de manera que, si figuran datos diferentes a los que se facilitaron
en el momento de contratación del producto por el interesado, no se toma la fotografía.
El fin último es garantizar que el terminal es entregado a la persona que lo ha
contratado. Es decir, tras la identificación del contratante, realizada en el momento de
la contratación a distancia, se realiza la identificación del receptor del terminal, que ha
de ser la misma persona.
Únicamente en el caso de que los datos sí se correspondan, la aplicación de reparto
permite hacer una foto al anverso y reverso del DNI. Los datos recogidos son transmitidos
por canal cifrado al sistema de GLS y se quedan guardadas en un servidor interno
, separadas del resto de imágenes. Sólo un técnico para el mantenimiento tiene
acceso a dicho servidor. A través del módulo de ERP del sistema informático, Orange
puede acceder (únicamente) a la fotografía del envío, a través de un enlace, a los meros
efectos de poder verificar que el trámite se ha realizado de forma correcta.
La finalidad del tratamiento de las imágenes del DNI del interesado no es otra que
acreditar, posteriormente y en caso de que sea necesario, haber desplegado la diligencia
exigible al verificar la identidad de la persona a la que se le entrega el producto
contratado.
El tratamiento de datos ahora cuestionado en el presente procedimiento sancionador
fue implementado por Orange como una medida de seguridad de refuerzo ante los casos
de intentos de fraude y suplantaciones de identidad que se estaban produciendo
en el año 2020 en relación con la recepción de entregas a domicilio.
Ahora, se pretende sancionar a esta parte por desplegar un nivel de diligencia excesivo
en la identificación de sus clientes, pese a no constar precepto legal, resolución ni
jurisprudencia que respalde tal acusación, ni así tampoco regule cómo debe identificar
un responsable del tratamiento a sus clientes en contextos como los analizados.
La AEPD considera que hay indicios evidentes de que se ha vulnerado el artículo 5 del
RGPD al imponer como condición en la entrega realizar una fotografía del anverso y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/21
reverso del DNI. Quisiera esta parte recordar que es precisamente ese artículo 5 del
RGPD el que indica, en su apartado 2: ?El responsable del tratamiento será responsable
del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad
proactiva»)?.
De no contar Orange con prueba acreditativa de que ha llevado a cabo la entrega a la
persona contratante, ¿qué podría hacer en el caso de que ésta alegase no haber recibido
el producto? ¿Y en el caso de que el producto, un terminal móvil, contase con datos
de carácter personal, por ejemplo, por ser un terminal proveniente del servicio de
reparación o técnico? ¿Consideraría la Agencia que en dicho caso también resultaría
excesivo tomar una imagen del DNI? ¿Y si el paquete de entrega contuviese una tarjeta
SIM? Señalar en este punto, que los repartidores y empresas de mensajería desconocen
el contenido de los paquetes.
HECHOS PROBADOS
PRIMERO. El 18/06/2020 tiene entrada en la AEPD, Acta-Denuncia-Inspección y Petición
de procedimiento por infracción de la normativa sobre protección de datos remitido
por el reclamado señalando que el 22/04/2020 se personaron en las dependencias
del cuerpo D. A.A.A. junto con un tercero, repartidor de la empresa General
Logistics Systems Spain, S.A. (en lo sucesivo GLS) manifestando que el empleado
de la empresa pretendía hacerle entrega de un teléfono móvil remitido por el reclamado
y que la empresa mencionada, para hacer entrega de los paquetes a sus destinatarios
, está imponiendo como condición necesaria realizar una fotografía del anverso
y reverso de su DNI que el empleado de la empresa la toma con su terminal
móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a
la empresa que remitió el paquete.
SEGUNDO. El reclamado en escrito de 19/02/2021 ha manifestado que ?la legitimación
de esta mercantil para el tratamiento de los datos personales del Sr. A.A.A. reside
en la necesidad de ejecutar el contrato del que tanto el abonado como Orange
forman parte, y que fue suscrito con fecha 20/01/2020, en atención a lo dispuesto en
el artículo 6.1.b) del RGPD?
TERCERO. Consta aportado Contrato Clientes Particulares comunicaciones móviles
suscrito entre el reclamante y el reclamado en fecha 20/01/2020.
CUARTO. Consta aportado correo electrónico de en el que se informaba al reclamante
de que, en el momento de la recogida del pedido, debía tener disponible su
documento nacional de identidad en vigor con el cual contrató los servicios con la citada
mercantil. Asimismo, se informaba que, por motivos de seguridad, dicha documentación
podría ser requerida por el repartidor que entregara el pedido en su domicilio.
QUINTO. El reclamado hace constar que en su página web, mediante el enlace
https://ayuda.orange.es/particulares/movil/mi-movil/mi-pedido/1101-donde-recojo-mipedido-y-que-documentacionnecesito
?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/21
utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido, figuran también
las condiciones para la entrega de los pedidos que realiza el reclamado a sus clientes
: ¿Dónde recojo mi pedido y qué documentación necesito? ¿Dónde puedo recoger
mi pedido?
SEXTO. Consta aportado documento denominado ?Anexo de Privacidad?, a través
del cual se solicita consentimiento expreso para efectuar tratamientos de datos personales
que se excluyen de la finalidad de ejecución del contrato suscrito y se informa
de las finalidades del tratamiento de los datos personales, así como de las categorías
de datos tratados, en cumplimiento del artículo 13 del RGPD. El documento se
encuentra firmado por el reclamante.
SEPTIMO. El reclamado e ICP celebraron en Pozuelo de Alarcón (Madrid) contrato
de prestación de servicios cuyo objeto es la prestación de servicios de depósito mercantil
(almacenaje de material propio de su negocio, comercial, promocional, técnico
y de red), servicios logísticos (manipulación, ensamblaje de la Mercancía, carga y
descarga de la misma, transporte de mercancía fraccionado y su distribución, así
como el soporte informático de las operaciones realizadas) todo ello de acuerdo con
el alcance, precios y términos acordados.
En virtud del presente contrato, ICP, tiene la condición de Encargado de Tratamiento;
contiene asimismo cláusula de protección de datos, estableciendo que el encargado
llevará a cabo el tratamiento de datos personales necesario para la correcta prestación
de los servicios objeto del contrato. Los tipos de datos personales que tratará en
virtud de este contrato son datos identificativos (nombre y apellidos, NIF/DNI).
OCTAVO. Consta aportado Acuerdo de confidencialidad y acceso a datos personales
por cuenta de terceros para los proveedores de servicios celebrado en Madrid el
14/01/2018 entre ICP, responsable del tratamiento, y GLS, encargado del tratamiento
, cuyo objeto es el tratamiento de datos personales necesario para la prestación del
servicio de mensajería (almacenamiento y custodia de datos).
NOVENO. Consta aportado Anexo, la contratación del servicio IdentService (DNI +
foto) para clientes de esta última, servicio complementario al del transporte consistente
en la Identificación del Titular de la recepción de los envíos de mercancía requerido
por la empresa remitente. En sus cláusulas se señala lo siguiente:
PRIMERO. El objeto del presente Anexo es la manifestación del requerimiento de la
prestación del servicio de entrega denominado IdentService (DNI + foto) cuyo concepto
se expresa a continuación.
SEGUNDO. El IdentService (DNI + foto) consiste en que, una vez gestionado el encargo
de la prestación de servicio de la entrega de paquetería, en el momento en
que se procede a realizar la entrega al destinatario final; el repartidor o mensajero
solicita a éste su DNI para realizar el cotejo y coincidencia de la identidad entre el sujeto
al que se le va a realizar la entrega del paquete y el sujeto indicado por el Cliente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/21
de GLS a quien se le debe realizar, debiendo acreditarse de forma fehaciente dicha
identidad a la empresa que remite el paquete.
TERCERO. El DNI que el destinatario debe mostrar debe ser el documento original,
sin que sea válida una fotocopia del mismo, salvo en los casos en los que se acredite
la denuncia original ante la Policía donde conste la sustracción o pérdida del mismo.
CUARTO. El mensajero o repartidor, en el momento de la entrega de la mercancía
realizará una fotografía del DNI, con la finalidad de aportarla junto con el POD (Prueba
de Entrega) al Cliente y dejar acreditado que existe una correcta correlación entre
identidad del destinatario y la persona indicada por el Cliente del sujeto a realizar la
entrega, debiendo remitir ambos documentos al Cliente que requiere dicho servicio.
QUINTO. El Cliente, manifiesta con la firma del presente Anexo I, su conformidad
respecto de la solicitud de que el repartidor o mensajero realice la Foto del DNI al
destinatario del paquete, el cual, en caso de negarse a la exhibición del mismo, no le
será entregada la mercancía.
SEXTO. El Cliente, que requiere el servicio IdentService (DNI + foto) a GLS o su Red
Agencial, asume la responsabilidad de cuantas reclamaciones puedan plantear los
destinatarios al respecto o en cuanto se deriven del presente requerimiento, al actuar
GLS como un mero mandatario del Cliente, siendo éste quien requiere y exige dicha
acción de cotejo de identidad.
El Cliente, se hace responsable del tratamiento que le da a la fotografía del DNI del
destinatario y eximiendo a GLS de la responsabilidad que pueda derivarse de la
práctica del servicio solicitado IdentService (DNI + foto), comprometiéndose este último
a la adecuación de sus protocolos a lo establecido por el Reglamento General de
Protección de datos 2016/679 de 27 de abril de 2016 y demás normativa vigente en
la materia.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad
de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con
carácter subsidiario, por las normas generales sobre los procedimientos administrativos.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/21
II
Los hechos denunciados se concretan en que la empresa reclamada, al hacer
entrega de los paquetes a sus destinatarios a través de las empresas de mensajería,
impone como condición necesaria para la recepción la realización de una fotografía al
anverso y al reverso de su DNI. El empleado de la empresa la toma con su terminal
móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a la
empresa que remitió el paquete.
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar
de las medidas mencionadas en el presente apartado, según las circunstancias
de cada caso particular;
(?)?
El artículo 5, Principios relativos al tratamiento, del RGPD establece que:
?1. Los datos personales serán:
(?)
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»);
(?)
III
1. La documentación obrante en el expediente ofrece indicios evidentes de que
el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento, al imponer
como condición en la entrega del producto realizar una fotografía del anverso y
reverso del DNI; fotografía que es obtenida a través de la aplicación incluida en el terminal
móvil del repartidor de la empresa que realiza la entrega y cuya imagen es posteriormente
cedida y consultada por la empresa remitente del paquete.
El artículo 5 del RGPD se refiere a los principios generales para el tratamiento
de datos. En su apartado c) se hace referencia al principio de minimización de datos,
indicando que los datos han de ser ?adecuados, pertinentes y limitados a lo necesario
en relación con los fines para los que son tratados?.
De la norma podemos deducir que solo se pueden recabar los datos personales
adecuados que se vayan a tratar, es decir, los que sean estrictamente necesarios
para el tratamiento; que solo podrán ser recogidos cuando vayan a ser tratados y que
solo podrán ser utilizados para la finalidad para la que fueron recogidos, pero no con
ningún otro objetivo.
En este mismo sentido el Considerando 39 señala que:
(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las per-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/21
sonas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando
o tratando de otra manera datos personales que les conciernen, así como la
medida en que dichos datos son o serán tratados. El principio de transparencia exige
que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente
accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho
principio se refiere en particular a la información de los interesados sobre la identidad
del responsable del tratamiento y los fines del mismo y a la información añadida para
garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas
y a su derecho a obtener confirmación y comunicación de los datos personales
que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener
conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al
tratamiento de datos personales así como del modo de hacer valer sus derechos en
relación con el tratamiento. En particular, los fines específicos del tratamiento de los
datos personales deben ser explícitos y legítimos, y deben determinarse en el momento
de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados
a lo necesario para los fines para los que sean tratados. Ello requiere, en particular,
garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales
solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente
por otros medios. Para garantizar que los datos personales no se conservan
más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para
su supresión o revisión periódica. Deben tomarse todas las medidas razonables para
garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los
datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad
adecuadas de los datos personales, inclusive para impedir el acceso o uso no
autorizados de dichos datos y del equipo utilizado en el tratamiento (el subrayado es
de la AEPD).
Examinada la documentación, se desprende que existen otros procedimientos
de entrega de productos a través del cual puede verificarse la identidad de su destinatario
, comprobando que es la persona a la que va dirigido, sin que sea necesario fotografiar
su DNI por medio de la aplicación contenida en el móvil del repartidor de la empresa
distribuidora y acreditar su entrega al responsable. El tratamiento de las imágenes
del DNI resulta excesivo para la finalidad de verificar y determinar que el destinatario
a quien se entrega la mercancía es la misma persona que aquella que celebró el
contrato.
El artículo 5.1.c) consagra el principio de minimización de datos y supone que
el tratamiento de los datos personales debe ser ajustado y proporcional a la finalidad a
la que se dirige, determinando claramente los fines para los que se recogen y tratan
los datos, debiendo restringirse el tratamiento de aquellos que sean excesivos o bien
procederse a la supresión de los mismos.
Asimismo, la pertinencia en el tratamiento de los datos debe producirse tanto
en el ámbito de la recogida como en el posterior tratamiento que se realice de los mismos.
Respecto a si el procedimiento adoptado por el reclamado resulta necesario
para satisfacer dicha necesidad o si es esencial para responder a dicha necesidad,
hay que señalar que la finalidad del mismo, como reiteradamente ha sostenido el reclamado
obedece a que aporta una mayor seguridad de que el producto es efectivamente
entregado a su destinatario, que es el mismo que suscribió el contrato, haciendo
prueba de que la entrega se realiza a la persona que realmente contrató; aunque a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/21
ello hay que añadir la lucha contra el fraude en este tipo de productos y su aspecto
económico pues no hay que olvidar que estas entregas en la denominada venta a distancia
ha tenido y tiene una relación directa con actividades fraudulentas, lo que exige
una diligencia razonable por parte de este tipo de empresas en el momento de la contratación
implantando medidas adecuadas, verificando a través de la documentación
pertinente la identidad de quien facilita los datos, para evitar estos comportamientos.
En este sentido se pronuncia el Considerando 47 cuando señala que ?El tratamiento
de datos de carácter personal estrictamente necesario para la prevención del
fraude constituye también un interés legítimo del responsable del tratamiento de que
se trate?.
No obstante, el procedimiento empleado por parte del reclamado es relevante a
la hora de valorar la injerencia en el derecho fundamental de protección de datos y la
necesidad de lograr la finalidad perseguida. Hay que señalar que el RGPD limita el uso
o tratamiento de los datos por la necesidad y no por el exceso de los mismos; es decir,
los datos personales deberán ser los adecuados, los necesarios, pertinentes y limitados
a la necesidad para la que fueron recabados.
Ya con anterioridad la jurisprudencia Tribunal Constitucional ha establecido
que, si el objetivo puede alcanzarse sin realizar un tratamiento de datos, los mismos
no deberían ser tratados.
Por otro lado, dicha limitación a lo necesario debe ser evaluada tanto desde un
punto de vista cuantitativo (volumen de datos tratados) como cualitativo (categoría de
datos tratados). En ese mismo sentido lo señala el Considerando 39 cuando señala
que ??Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo
de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento
no pudiera lograrse razonablemente por otros medios??
2. Alega la reclamada que los datos que se recabaron en el momento de la
contratación del producto fueron el DNI y el nombre del interesado, que son los mismos
datos que posteriormente son objeto de verificación en el momento de la entrega,
que son los necesarios para cumplir la finalidad perseguida.
Sin embargo tal alegación no puede ser aceptada, ya que el acceso a la imagen
del DNI, fotografiando tanto del reverso como del anverso del mismo, y su tratamiento
para la finalidad de la entrega de un producto a través del terminal móvil del repartidor
de la empresa distribuidora, se considera excesivo y no limitado a lo necesario
en relación con los fines para los que son tratados.
Hay que señalar que el DNI contiene no solo el nombre y apellidos, su número
y la fotografía del destinatario sino que incorpora otros muchos datos: firma, domicilio,
lugar y fecha de nacimiento, clave de acceso a la información contenida en el mismo,
fecha de expedición, fecha de validez, código alfanumérico, equipo expedidor y oficina
, etc., datos completamente adicionales que no son ni adecuados ni pertinentes ni
limitados para la finalidad de la entrega de la mercancía y que para acreditar que la
persona que recoge el producto es el titular que facilitó los datos en el momento de la
contratación se habrán de utilizar otros medios que resulten menos lesivos y agresivos
para la privacidad de las personas.
Lo anterior, con independencia de que la imagen del DNI, como manifiesta el
reclamado no puede ser conservada por el repartidor y sea transmitida a través de canal
cifrado al sistema de la empresa logística quedando guardada en su servidor interno
, donde sólo un técnico de la misma destinado a su mantenimiento tiene acceso a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/21
dicho servidor y a través del módulo de consulta ERP del sistema informático, el reclamado
puede acceder a la fotografía recogida.
Por lo tanto, el tratamiento no se corresponde ni con lo indicado en el Considerando
39, ni en el artículo 5.1.c) que señalan que los datos deben ser ?adecuados,
pertinentes y limitados a lo necesario? para la finalidad perseguida.
Esa diligencia que predica el reclamado ha de ser desplegada en el momento
de la contratación adoptando las cautelas y garantías que fueran necesarias para identificar
de manera univoca al contratante.
Por tanto, si la contratación se hace correctamente no puede haber dificultad
alguna para aportar la prueba de que el destinatario del producto es realmente el que
celebró el contrato y a quien se hace la entrega del producto.
3. Alega la reclamada que la AEPD pretende calificar como constitutivo de infracción
un tratamiento cuya ausencia ha sido previamente sancionada por la AEPD.
Sin embargo, tal manifestación ni es aceptable ni es admisible; el reclamado
debe exigir en el momento de la contratación del producto, la identificación del usuario,
como por otra parte así ha sido establecido por las sentencias y en el procedimiento
sancionador a las que alude en su escrito.
Desde luego, nada tiene que ver con el asunto que no ocupa la referencia al
Considerando 64 del RGPD a que hace referencia el reclamado, como aquellos otros
subsiguientes referidos al derecho de acceso del interesado regulado en el artículo 15
del texto legal.
Es en el momento de la celebración del contrato donde el tratamiento del documento
identificativo del interesado se estima necesario para que el reclamado pueda
acreditar que aquella persona con la que contrata es quien realmente dice ser y, por lo
tanto, lo que acreditaría un nivel de diligencia adecuado.
Y este momento no hay que confundirlo con el de la entrega del producto a su
destinatario trasladando aquella diligencia exigible para acreditar que la personalidad
del contratante era la quien decía ser mediante la aportación de la documentación
oportuna a un momento posterior, el de la entrega del producto a su destinatario.
Así lo ha indicado la propia AEPD, en su resolución de 23/06/2020, en el PS/
00452/2019, donde el afectado reclama el tratamiento de sus datos en la contratación
de líneas telefónicas sin ninguna causa que legitime su tratamiento (artículo 6.1 del
RGPD), al señalar: ?La reclamada no ha aportado documento o elemento probatorio
alguno que evidencie que la entidad, ante tal situación, hubiera desplegado la diligencia
mínima exigible para verificar que efectivamente su interlocutora era la que afirmaba
ostentar?.
Y que posteriormente la Audiencia Nacional, en Sentencia de 05/05/2021, Rec.
437/2020 establecía que: ?En cuanto a la contratación presencial de la línea XXXXXXXXX
cabe reiterar, que si bien se aporta un contrato, el denunciante no ha reconocido
como suya la firma obrante al mismo, haciendo constar la Y que falta de coincidencia
con la que figura en su DNI, considerando la Sala que la diligencia exigible obligaba
a contrastar a través de la documentación pertinente, la identidad de quien facilitaba
los datos, mediante la exhibición original del documento identificativo y anexando
una copia del mismo a la declaración de voluntad que quiere hacer valer, como así lo
ha venido reiterando en supuestos similares?; indicando en el párrafo subsiguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/21
Por tanto, a la vista de las circunstancias expuestas, no cabe apreciar que la
operadora recurrente desplegase la diligencia debida para comprobar la identidad de
la persona que asociaba en sus registros a las líneas telefónicas controvertidas, por lo
que concurre el elemento subjetivo de la culpabilidad. Por otro lado, en cuanto al hecho
de que nos encontramos ante el fraude de un tercero, como dijimos en la SAN de
3 de octubre de 2013 (Rec. 54/2012) -: " Precisamente por eso, es necesario asegurarse
que la persona que contrata es quien realmente dice ser y deben adoptarse las
medidas de prevención adecuadas para verificar la identidad de una persona cuyos
datos personales van a ser objeto de tratamiento...".
Y, en idéntico sentido, en su Sentencia de 08/03/2018, Rec 926/2016: ?Considera
por ello esta Sala, al igual que entiende la Administración, que la diligencia mínimamente
exigible obligaba a TME a contrastar, a través de la documentación pertinente
, la identidad de quien facilitaba los datos, mediante la exhibición del original del documento
identificativo y anexando una copia del mismo a la declaración de voluntad
que quiere hacer valer?.
La propia AEPD también se ha pronunciado, así mismo, en su resolución, de
23/06/2020, en el PS/00452/2019, donde el afectado reclama el tratamiento de sus datos
en la contratación de líneas telefónicas sin ninguna causa que legitime su tratamiento
(artículo 6.1 del RGPD): ?La reclamada no ha aportado documento o elemento
probatorio alguno que evidencie que la entidad, ante tal situación, hubiera desplegado
la diligencia mínima exigible para verificar que efectivamente su interlocutora era la
que afirmaba ostentar?.
Sin embargo, los casos aludidos no guardan relación de semejanza alguna con
el que examinamos por mucho que la reclamada tenga interés en proponerlo, pues se
trata de contrataciones fraudulentas, por infracción del principio de legitimación (artículo
6.1 del RGPD) en el primer caso y del principio de consentimiento (artículo 6.1 de la
LOPD) en el segundo y que bien debe conocer la reclamada puesto en el procedimiento
sancionador fue sancionada por la AEPD y fue parte recurrente en el contencioso
que dio lugar a la primera de las sentencias, desestimatoria del recurso interpuesto y
sancionada con 80.000 euros.
Por tanto, el tratamiento de la imagen del DNI en el momento de entrega de un
producto contratado a distancia no solo no se considera licito sino que se considera
inadecuado no pertinente ni limitado a lo necesario en relación con los fines para los
que son tratados, pues no hay que olvidar que el DNI contiene datos que exceden y
nada tiene que ver con la finalidad perseguida.
La AEPD en el actual caso no solo no está en contradicción con las resoluciones
dictadas, sino es conforme y acorde con la interpretación que ha venido haciendo
la propia Audiencia Nacional en sus sentencias.
Es por ello que la alegación de la reclamada reiterando que la AEPD le sancionaba
por su falta de diligencia al no conservar prueba de la verificación de identidad
del interesado y en la apertura del actual procedimiento en el que se culpabiliza por
todo lo contrario, conservar prueba de la verificación de identidad del interesado, no es
cierta ni puede ser aceptada al no tratase de resoluciones administrativas contradictorias
entre si ni afectar a la seguridad jurídica, ni generar incertidumbre e indefensión.
Por tanto, se considera que existe vulneración del principio de minimización de
los datos siendo el reclamado responsable de la infracción del artículo 5.1.c) del
RGPD, infracción tipificada en su artículo 83.5.a).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/21
4. Finalmente invocaba el reclamado la vulneración del principio de proporcionalidad
solicitando una minoración de la cuantía de la sanción reduciendo la misma.
A este respecto hay que reseñar que teniendo en cuenta que se trata de una
infracción calificada como muy grave y que de conformidad con el artículo 83 del
RGPD puede ser sancionada, ?con multas administrativas de 20.000.000? como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía?. ya se aplica una importante minoración de la misma, además de
tener en cuenta las circunstancias y criterios de valoración concurrentes en el mismo.
La STS, Sala 3ª, de 16 de diciembre de 2003 (Rec. 4996/98) ya señalaba que el principio
de proporcionalidad de las sanciones exige que "la discrecionalidad que se otorga
a la Administración para la aplicación de la sanción se desarrolle ponderando en todo
caso las circunstancias concurrentes, al objeto de alcanzar la debida proporcionalidad
entre los hechos imputados y la responsabilidad exigida". Principio de proporcionalidad
que no se ha vulnerado, considerándose proporcionada la sanción propuesta a la entidad
por los hechos probados y una vez ponderadas las circunstancias y criterios que
concurren.
Por lo demás, las circunstancias concretas que se han tenido en cuenta para la
graduación de la cuantía de la sanción se detallan en el Fundamento VII de esta resolución.
V
El reclamado ha alegado su disconformidad con el contenido de los fundamentos
vertidos en la Propuesta del procedimiento ratificándose en lo ya señalado en escritos
anteriores.
Alega que se pretende sancionar por desplegar un nivel de diligencia excesivo
en la identificación de sus clientes al exigirse la copia del DNI, único documento que
de conformidad con Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad
Ciudadana que permite acreditar la identidad y los datos personales de su titular.
Es cierto que el artículo 8.1 de la LOPSC establece que el DNI ?es el único documento
con suficiente valor por sí solo para la acreditación, a todos los efectos, de la
identidad y los datos personales de su titular? y que la comprobación por parte del reclamado
de la identidad del interesado en el momento de la entrega del producto en su
domicilio se considera licito tanto para ejecutar el objeto del contrato como puede ser
la entrega del producto contratado y para prevenir la comisión de fraude. Sin embargo,
lo que se pone en duda es que el método, protocolo, procedimiento o sistema llevado
a cabo para ello no es el adecuado, fotografiar el anverso y reverso del DNI en el momento
de la entrega, por ser excesivo inadecuado e intrusivo en la privacidad de las
personas, a no ser que obedezca a otras razones como puede ser que en la contratación
no se hubieran actuado con una diligencia razonable y no se hubiera solicitado los
documentos correspondientes, ¿Qué necesidad tiene el reclamado de fotografiar dicho
documento si ya se encuentra en su poder?
También ha alegado que el tratamiento de las imágenes del DNI del interesado
no solo se considera necesaria para acreditar que el producto ha sido entregado a la
persona que figura como contratante, sino que este criterio ha sido recogido por la
Agencia no solo en resoluciones puntuales y es, además, descrito por la Agencia en el
?Plan de Inspección de Oficio sobre Contratación a Distancia en Operadores de Telecomunicaciones
y Comercializadores de Energía de la AEPD?, donde la misma identifi-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/21
ca el cumplimiento de la normativa en el sector y plantea mejoras para hacer efectivo
ese deber de diligencia.
En relación con el Plan de Inspección de Oficio sobre Contratación a Distancia
en Operadores de Telecomunicaciones y Comercializadores de Energía de la AEPD?,
establece específicamente en el apartado ?Acreditación de la identidad del Contratante
? que con anterioridad a la contratación y por tanto en una cuestión que no es semejable
a lo que es objeto del presente procedimiento como ya se ha señalado, figura
que ?En las tiendas de algunas operadoras de telefonía se puede entregar el terminal
móvil adquirido a los clientes que hayan contratado por medios telefónicos o telemáticos
, en cuyo caso se solicita la presentación de un documento oficial de identidad
(DNI, NIE, pasaporte) y un documento bancario que acredite que la cuenta sobre la
que se van a realizar cargos es titularidad del contratan-te.
También se realizan entregas utilizando el servicio de Correos que comprueba
el DNI del cliente utilizando un sistema de escaneo para recabar la copia.
Las contrataciones telefónicas suelen ser grabadas y en los casos de portabilidad
, una tercera entidad realiza la verificación por terceros?.
Es cierto que el tratamiento de las imágenes del DNI en la contratación a distancia
de un producto como puede ser un terminal móvil no sólo viene siendo considerado
lícito por la propia Agencia, sino que se considera que dicho tratamiento se corresponde
con la diligencia exigible.
Por tanto, dicho tratamiento es necesario para que el reclamado pueda acreditar
la contratación efectuada y que esta se ha realizado con la diligencia exigible recabando
la documentación justificativa de la misma.
Ahora bien, en el presente caso no nos encontramos ante un caso de tratamiento
ilícito; la cuestión que se dilucida en si los datos recabados en el momento de
la entrega del terminal móvil han sido o no excesivos para la finalidad perseguida,
En el citado Plan ya se señalaba (página 8), en relación con la contratación a
distancia en el apartado Alertas que: ?Algunas empresas del sector han identificado diferentes
circunstancias que pueden ser susceptibles de fraude en la contratación (alta
concentración de pedidos en determinadas zonas, mismas direcciones IP?) y han implantado
procedimientos que permitan alertar de estas anomalías y determinen la probabilidad
de fraude, en cuyo caso, se suelen verificar las contrataciones por especialistas
y se puede requerir documentación complementaria al cliente.
Y en su página 19, en relación con la identidad del contratante que:
?Los contratos telemáticos requieren firma de contrato y copia de documentación
(DNI y bancaria generalmente) aunque se ha detectado que no siempre esta documentación
consta en las compañías.
? Se ha detectado por parte de todas las compañías una creciente inquietud
por garantizar la identidad del contratante y por ello se están estudiando e implantando
diferentes soluciones con objeto de evitar en lo posible la suplantación de identidad
, entre ellas, reconocimiento facial y la firma manuscrita electrónica?.
En este sentido recomendaba una serie de medidas:
- Extremar las garantías de identificación del contratante con anterioridad a la
ejecución del contrato,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/21
- La utilización en sistemas con garantías adicionales del estilo de lo definido
en la normativa del PSD2,
-Datos biométricos.
Pues bien, en ninguna de esas recomendaciones se incluye o hacía referencia
al sistema o procedimiento implantado por el reclamado para la entrega de productos
contratados, consistente en fotografiar el DNI utilizando la apps que el repartidor tiene
instalada en su terminal móvil.
No obstante, la propia Agencia ha considerado que se trata de una cuestión
compleja, debiendo atenderse al caso concreto, a las técnicas empleadas en el tratamiento
, la injerencia en el derecho a la protección de datos, debiendo, en tanto en
cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o bien
los órganos jurisdiccionales, adoptarse en caso de duda, la interpretación que sea más
favorable para la protección de los derechos de los afectados.
Por otra parte, si la contratación llevada a cabo por el reclamado de la que se
ha aportado copia del documento firmado por el contratante fue identificando correctamente
(copia del DNI y documento bancario donde figure el número de cuenta), comprobar
que la identidad del destinatario y del contratante coinciden deberia hacerse sin
necesidad de solicitar nuevamente la copia del DNI (fotografía de su anverso y reverso
).
VI
La infracción que se le atribuye a la reclamada se encuentra tipificada en el
artículo 83.5 a) del RGPD, que considera que la infracción de ?los principios básicos
para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos
5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del mencionado artículo
83 del citado Reglamento, ?con multas administrativas de 20.000.000? como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo
del volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía?.
La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen infracciones
los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83
del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica?.
Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones
consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular
, las siguientes:
(?)
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos
en el artículo 5 del Reglamento (UE) 2016/679.
(?)
VII
A fin de establecer la multa administrativa que procede imponer han de obser-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/21
varse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas
y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento
, habida cuenta de las medidas técnicas u organizativas que hayan aplicado
en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento
;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación
con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción?.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su artículo
76, ?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/21
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario
, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos
en los que existan controversias entre aquellos y cualquier interesado.?
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción
de multa a imponer en el presente caso por la infracción tipificada en el artículo
83.5 del RGPD de la que se responsabiliza al reclamado, en una valoración inicial, se
estiman se estiman concurrentes los siguientes factores:
Como circunstancias agravantes:
- La naturaleza, gravedad y duración de la infracción: los hechos considerados
probados afectan gravemente a un principio básico relativo al tratamiento de los datos
de carácter personal, como es el de minimización de datos; se cuestiona la gestión desarrollada
por el reclamado resultado del procedimiento denominado Identservice, una
modalidad de entrega de productos implantado para el tratamiento de los datos y su
adecuación al RGPD, considerándose inadecuados desde el momento de la recogida
de la copia del DNI tanto por el anverso como del reverso en el momento de la entrega
de la paquetería a sus destinatarios. El alcance o propósito de las operaciones de tratamiento
puesto que un procedimiento como el implantado y la importancia de la entidad
no se establece para operar en un ámbito reducido o local (artículo 83.2, a) del
RGPD).
El número de personas potencialmente afectadas pues, aunque se trate de un
único reclamante parece evidente que se han podido ver afectadas un número considerable
de clientes de la entidad puesto que de conformidad con el contrato de prestación
de servicios celebrado se implementó en enero de 2019; tampoco hay que olvidar
que en fecha 18/06/2020 tuvo entrada en la AEPD otra reclamación por idénticos hechos
(artículo 83.2, a) del RGPD).
En este mismo sentido, las condiciones de las entregas de los productos que
realiza el reclamado a sus clientes se encuentran detalladas en su página web oficial,
a través del siguiente enlace: https://ayuda.orange.es/particulares/movil/mi-movil/mipedido
/1101-donde-recojo-mi-pedido-y-que-documentacion-necesito?
utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido
- La actividad de la entidad presuntamente infractora está vinculada con el tratamiento
de datos tanto de clientes como de terceros. En la actividad de la entidad reclamada
es imprescindible el tratamiento de datos de carácter personal de sus clientes
por lo que, dado volumen de negocio de la misma la transcendencia de la conducta
objeto de la presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD en
relación con el artículo 83.2.k).
- La intencionalidad o negligencia en la infracción puesto que el reclamado era
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/21
plenamente consciente del procedimiento implantado para la entrega de productos a
sus destinatarios finales. Conectada también con el grado de diligencia que el responsable
del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones
que le impone la normativa de protección de datos puede citarse la SAN de
17/10/2007. Si bien fue dictada antes de la vigencia del RGPD su pronunciamiento es
perfectamente extrapolable al supuesto que analizamos. La sentencia, después de
aludir a que las entidades en las que el desarrollo de su actividad conlleva un continuo
tratamiento de datos de clientes y terceros han de observar un adecuado nivel de diligencia
, precisaba que ?(...).el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor
no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de
constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor
y el exquisito cuidado por ajustarse a las prevenciones legales al respecto? (artículo
83.2, b) del RGPD).
- El carácter continuado de la infracción pues no hay que olvidar que el procedimiento
de conformidad con el contrato de prestación de servicios celebrado ya lleva
implantado mucho tiempo. La conducta infractora participa de la naturaleza propia de
las denominadas infracciones permanentes, en las que la consumación se proyecta en
el tiempo más allá del hecho inicial y se extiende, vulnerando la normativa de protección
de datos, durante todo el periodo de tiempo en el que el dato es objeto de tratamiento.
Se pronuncian en tal sentido las sentencias de la Audiencia Nacional de
16/09/2008 (rec.488/2006) y del Tribunal Supremo de 17/04/2002 (rec. 466/2000) (artículo
76.2.a) de la LOPDGDD en relación con el artículo 83.2.k).
En el presente caso, valorados los criterios que concurren en el mismo para la
graduación de la sanción, se impone una sanción de 100.000 euros por vulneración
del artículo 5.1.f) del RGPD, de la que el reclamado debe responder.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a ORANGE ESPAGNE, S.A.U., con NIF A82009812, por una
infracción del Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5 del RGPD, una
multa de 100.000 ? (cien mil euros).
SEGUNDO: NOTIFICAR la presente resolución a ORANGE ESPAGNE, S.A.U.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/21
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es