Resolución de la Agencia Española de Protección de Datos PS-00445-2020 de 19 de noviembre de 2021

Cuestión

1 / 12

Expediente Nº: PS/00445/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 07/07/2020 tuvo entrada en la Agencia Española de Protección

de Datos una...

Contestacion

1/12

? Expediente Nº: PS/00445/2020

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 07/07/2020 tuvo entrada en la Agencia Española de Protección

de Datos una reclamación dirigida contra ESFERA CAPITAL AGENCIA DE

VALORES, S.A. (en XXXXXXXX), con CIF A04791943 (en adelante, ESFERA

CAPITAL o la reclamada). Los motivos en que se basa la reclamación son los

siguientes:

?1. Al tratarse de una empresa de servicios de inversión, regulada por la legislación del

Mercado de Valores, debería disponer de un Delegado de Protección de Datos. Esta figura ya

no existe en la Entidad.

2. No se ha llevado a cabo una Evaluación de impacto relativa a la protección de datos.

3. No se dispone de un Código de Conducta conforme a lo dispuesto en el artículo 40 del

Reglamento (UE) 2016/679.

4. [?]? (En este punto el reclamante realiza una denuncia acerca de la presunta

comunicación indebida de sus datos personales a terceros).

ESFERA CAPITAL A.V. forma parte de un Grupo Empresarial, formado asimismo por ESFERA

CAPITAL GESTION SGIIC S.A.U. y VISUAL CHART GROUP S.L.?.

Con su reclamación, únicamente aporta correos electrónicos para documentar la

comunicación indebida de datos a que ser refiere en el punto 4 de su reclamación.

El reclamante, en escritos diferentes, ha formulado reclamación contra las otras

entidades del Grupo empresarial, antes mencionadas, solicitando que se mantenga la

confidencialidad de las reclamaciones ?por miedo a represalias de la empresa?.

SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se

trasladó a la reclamada el día 12/08/2020, de conformidad con lo establecido en el

artículo 65.4 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos

Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). En este

trámite de traslado se solicitó a la reclamada que aportase, entre otra, la información y/

o documentación siguiente:

?- Si se ha designado DPD y se ha comunicado a la Agencia española de protección

de datos.

- Copia de la Evaluación de impacto realizada o, en su caso, los motivos por los que

no se ha realizado?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/12

El día 07/09/2020 tuvo entrada en la Agencia de Protección de Datos un escrito de

respuesta, presentado por LIBERA DIGITAL CONSULTORÍA TECNOLÓGICA, S.L.

(en lo sucesivo LIBERA DIGITAL) en representación de la entidad reclamada.

En este escrito se manifiesta que la reclamada está en proceso de cierre y sin

actividad desde mayo de 2020, si bien, a pesar de ello, han decidido prescindir de la

persona que se ocupaba de la gestión de datos personales y externalizar la función,

que ha sido encomendada a LIBERA DIGITAL con el encargo de evaluar la aplicación

de la normativa y la seguridad de los datos.

Sobre la carencia de delegado de protección de datos indica que la empresa, por sus

características no se identifica con ninguno de los casos regulados en el artículo 34 de

la LOPDGDD. Se trata, según indica, de una pequeña empresa que ha creado un

programa de control de finanzas con información de carácter general y a pequeña

escala. Y termina señalando que, si resulta necesario, registrará un DPD.

Para mejorar la gestión de los datos personales, se comprobará cada dos meses por

la entidad externa, se ha elaborado un informe sobre el cumplimiento de la normativa y

se han tomado medidas para mejoras las deficiencias, así como la seguridad de los

datos.

Finalmente, señala que, como muestra de su compromiso, acompaña un informe

sobre la estructura técnica de la empresa, una evaluación de impacto y un informe

sobre los tratamientos de datos que realiza. Se concluye que no existen riesgos en los

recursos utilizados.

En la documentación aportada se identifica a LIBERA DIGITAL como DPD de la

entidad reclamada.

Adjunta la siguiente documentación:

1. Protocolo de actuación para el ejercicio de los derechos del interesado (artículos 15

a 22 del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos, en

adelante RGPD); y modelo de solicitud de ejercicio de derechos.

2. Documento denominado ?Análisis de riesgos? (por duplicado).

3. Documento denominado ?Informe de cumplimiento normativo?.

4. Documento denominado ?Estructura técnica y organizativa de la empresa?.

5. Documento denominado ?Tratamiento de datos básicos?.

TERCERO: La reclamación fue admitida a trámite mediante acuerdo de la Directora de

la Agencia Española de Protección de Datos de fecha 03/11/2020.

CUARTO: Con fecha 08/06/2021, se publica en el Boletín Oficial del Estado la

Resolución de la Comisión Nacional del Mercado de Valores de 14/05/2021, por la que

se dispone la publicación de la revocación y simultáneamente la baja del Registro

Administrativo de la citada Comisión a ESFERA CAPITAL, como consecuencia de la

solicitud de renuncia voluntaria a la autorización presentada por los administradores

concursales nombrados mediante auto judicial, en el seno del procedimiento de

concurso ordinario

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/12

QUINTO: Con fecha 01/07/2021, por la Subdirección General de Inspección de Datos

se accede a la información relativa a la reclamada que consta en el RMC. Se

comprueba que la entidad fue constituida en 2014 y se encuentra actualmente ?en

XXXXXXXX?. Como objeto social se indica:

?La Sociedad tendrá como objeto social exclusivo el desarrollo de las actividades

permitidas a las Agencias de Valores como empresas de servicios de inversión por el

artículo 143 de la Ley 4/2015?.

SEXTO: Con fecha 02/08/2021, por la Subdirección General de Inspección de Datos

se accede al Registro de Delegados de Protección de Datos de la AEPD y se

comprueba que, a dicha fecha no figura ningún DPD designada por la entidad

reclamada.

SÉPTIMO: Con fecha 16/08/2021, la Directora de la Agencia Española de Protección

de Datos acordó iniciar procedimiento sancionador a la entidad reclamada, con arreglo

a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,

LPACAP), por la presunta infracción del artículo 37.1 del RGPD en relación con el

artículo 34.1 de la LOPDGDD, tipificada en el artículo 83.4 del RGPD y el artículo 71

de la LOPDGDD; señalando en dicho acuerdo que la sanción que pudiera

corresponder sería de apercibimiento, sin perjuicio de lo que resulte de la instrucción.

En el mismo acuerdo de apertura del procedimiento se advertía a la entidad reclamada

que si no efectuara alegaciones en el plazo estipulado, dicho acuerdo podría ser

considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de la

LPACAP.

La notificación del acuerdo de apertura remitida a ESFERA CAPITAL por la Secretaría

General de la AEPD, a través del Servicio de Notificaciones Electrónicas y Dirección

Electrónica Habilitada, resultó expirada.

OCTAVO: Con fecha 23/09/2021, se recibió en esta Agencia escrito de la entidad

reclamada en el que manifiesta que no pudo acceder a la notificación electrónica del

acuerdo de apertura del procedimiento por un problema con el certificado. Solicitó que

dicho acuerdo se incorporase nuevamente al ?Buzón Ciudadano?.

En respuesta a este escrito, en la misma fecha del 23/09/2021, la Secretaría General

de la AEPD informó a la reclamada que el mencionado acuerdo se encontraba

accesible desde el Punto de Acceso General (www.060.es) y desde el portal web de la

propia AEPD y se insertaba el enlace correspondiente, con detalle de los datos que

deberían introducirse para obtener el documento.

No consta en esta Agencia ningún escrito de alegaciones presentado por la reclamada

en relación con el presente procedimiento.

NOVENO: Con fecha 22/10/2021, por el instructor del procedimiento se formuló

propuesta de resolución en el sentido de que por la Directora de la Agencia Española

de Protección de Datos se dirija apercibimiento contra la entidad reclamada, por la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/12

infracción del artículo 37.1 del RGPD en relación con el artículo 34.1 de la LOPDGDD,

tipificada en el artículo 83.4 del RGPD y el artículo 71 de la LOPDGDD, y calificada

como grave a efectos de prescripción en el artículo 73, letra v), de la LOPDGDD.

DÉCIMO: Notificada la citada propuesta de resolución, con fecha 08/11/2021 se recibe

escrito del Administrador Concursal de la entidad reclamada en el que informa que

esta entidad acordó, con fecha 30/03/2019, el nombramiento de un DPD, que fue

debidamente comunicado a esta Agencia.

Con sus alegaciones, aporta copia del justificante de recepción expedido por el

Registro General de Protección de Datos, de fecha 12/04/2019. Mediante este escrito,

esta Agencia comunica a la entidad reclamada la inclusión en la lista prevista en el

artículo 34.4 de la LOPDGDD de la información correspondiente al DPD designado por

la misma.

DECIMOPRIMERO: Por la Subdirección General de Inspección de Datos se recabaron

los antecedentes correspondientes al registro del DPD nombrado por la entidad

reclamada, comprobándose que consta el alta de fecha 12/04/2019 y que, previa

solicitud de dicha entidad, causó baja en fecha 03/06/2020.

De las actuaciones practicadas en el presente procedimiento y de la documentación

obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO: La sociedad ESFERA CAPITAL se constituyó en 2014 con el siguiente

objeto social: ?La Sociedad tendrá como objeto social exclusivo el desarrollo de las

actividades permitidas a las Agencias de Valores como empresas de servicios de

inversión por el artículo 143 de la Ley 4/2015?.

SEGUNDO: esfera capital ha manifestado ante esta Agencia que está en proceso de

cierre y sin actividad desde mayo de 2020. Según la información que consta en el

RMC, esta entidad se encuentra actualmente ?en XXXXXXXX?.

TERCERO: Con fecha 14/05/2021, ESFERA CAPITAL ha causado baja como agencia

de valores en el Registro de la Comisión Nacional del Mercado de Valores, por

renuncia voluntaria a la autorización presentada por los administradores concursales

de la sociedad, que se encuentra ?en XXXXXXXX?.

CUARTO: ESFERA CAPITAL notificó a esta Agencia Española de Protección de

Datos la designación de un DPD, que fue registrado en la lista correspondiente en

fecha 12/04/2019, habiendo causado baja en dicho registro en fecha 03/06/2020, a

solicitud de la citada entidad.

FUNDAMENTOS DE DERECHO

I

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/12

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora

de la Agencia Española de Protección de Datos es competente para iniciar y para

resolver este procedimiento.

El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la

Agencia Española de Protección de Datos se regirán por lo dispuesto en el

Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos?.

II

El artículo 64.2.f) de la LPACAP establece que el acuerdo de iniciación de un

procedimiento sancionador se notificará al interesado haciendo constar en dicha

notificación que, de no efectuar alegaciones sobre el contenido, éste podrá ser

considerado propuesta de resolución cuando contenga un pronunciamiento preciso

acerca de la responsabilidad imputada.

?f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los

plazos para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en

el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser considerado

propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la

responsabilidad imputada?.

En este caso, el acuerdo de inicio del procedimiento sancionador hacía referencia a

este artículo, advirtiendo a la entidad reclamada sobre las consecuencias de no

efectuar alegaciones. Dicho Acuerdo contiene un pronunciamiento preciso sobre la

responsabilidad de la entidad reclamada: se concreta la conducta infractora, el tipo

sancionador en el que era subsumible, las circunstancias de la responsabilidad

descritas y la sanción que a juicio de la AEPD procede imponer, sin perjuicio de lo que

resulte de la instrucción.

Así, en consideración a lo expuesto y de conformidad con lo establecido en el artículo

64.2.f) de la LPACAP, el acuerdo de inicio del presente procedimiento fue considerado

Propuesta de Resolución, por cuanto dicho acuerdo de inicio fue notificado a la

reclamada y ésta no ha presentó escrito de alegaciones.

III

En el presente caso, la reclamación formulada cuestiona la actuación de la entidad

reclamada en relación con las cuatro cuestiones siguientes:

. La falta de designación de un delegado de protección de datos.

. No haber llevado a cabo una evaluación de impacto.

. No disponer de un código de conducta.

. Una presunta comunicación a terceros de datos personales relativos al reclamante.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/12

Es preciso destacar al respecto que el reclamante únicamente aportó documentación

en relación con el asunto mencionado en el punto 4 anterior.

Siendo así, debe rechazarse la reclamación en relación con el hecho de que la

reclamada no disponga de una evaluación de impacto relativa a la protección de datos,

por cuanto no cabe admitir reclamaciones genéricas que no aporten indicio alguno de

infracción.

En cuanto a la disposición de un código de conducta, debe precisarse que el artículo

40 del RGPD no configura esta cuestión como una obligación de los responsables y

encargados del tratamiento, ni el incumplimiento de lo dispuesto en este artículo se

tipifica como infracción en el artículo 83 del RGPD.

En relación con la última cuestión señalada, sobre la presunta comunicación indebida

de los datos personales a que hace referencia el reclamante en su escrito, no resulta

posible valorar la existencia o no de esa posible comunicación ilícita de los datos,

habida cuenta de la confidencialidad solicitada por el reclamante respecto de su

reclamación. La imposibilidad de comunicar al reclamado la identidad de la persona y

de los hechos alegados impediría al responsable presentar las alegaciones y utilizar

los medios de defensa que considere oportunos. El derecho a la presunción de

inocencia, reconocido en el artículo 24 de la Constitución Española, debe regir sin

excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición

de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas

manifestaciones está condicionado al juego de la prueba y a un procedimiento

contradictorio en el que puedan defenderse las propias posiciones.

En consecuencia, procede analizar únicamente la cuestión relativa a la obligación de

la reclamada de designar un delegado de protección de datos.

IV

El artículo 37 del RGPD, cuya rúbrica lleva por título ?Designación del delegado de

protección de datos? dispone que:

?1. El responsable y el encargado del tratamiento designarán un delegado de protección de

datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que

actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de

tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación

habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a

gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales

relativos a condenas e infracciones penales a que se refiere el artículo 10.

2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre

que sea fácilmente accesible desde cada establecimiento.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/12

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo

público, se podrá designar un único delegado de protección de datos para varias de estas

autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del

tratamiento o las asociaciones y otros organismos que representen a categorías de

responsables o encargados podrán designar un delegado de protección de datos o deberán

designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de

protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que

representen a responsables o encargados.

5. El delegado de protección de datos será designado atendiendo a sus cualidades

profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en

materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en

el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del

encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de

servicios.

7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado

de protección de datos y los comunicarán a la autoridad de control?.

Y, en virtud de la habilitación que confiere el apartado 4 del precepto anterior, el

artículo 34 de la LOPDGDD determina, en relación con la designación de un delegado

de protección de datos, lo siguiente:

?1. Los responsables y encargados del tratamiento deberán designar un delegado de

protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE)

2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

[?]

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de

Valores.

[?]

2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán

designar de manera voluntaria un delegado de protección de datos, que quedará sometido al

régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la

Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de

protección de datos, las designaciones, nombramientos y ceses de los delegados de

protección de datos tanto en los supuestos en que se encuentren obligadas a su designación

como en el caso en que sea voluntaria.

4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección

de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de

delegados de protección de datos que será accesible por medios electrónicos.

5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del

tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre

otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/12

tratados o de los riesgos para los derechos o libertades de los interesados?.

Los citados preceptos establecen la obligación de los responsables y encargados del

tratamiento, en determinados supuestos, de designar la figura del delegado de

protección de datos. En los supuestos que atañen a un grupo empresarial, se permite

la posibilidad de nombrar un único delegado de protección de datos, siempre que sea

accesible desde cada establecimiento. Esta figura deberá reunir los requisitos que se

determinan en el propio artículo 37.5 del RGPD y 35 de la LOPDGDD, ostentará la

posición que se recoge en el artículo 38 del RGPD y 36 de la LOPDGDD y

desempeñará las funciones establecidas en el artículo 39 del RGPD.

Los supuestos obligatorios serán aquellos enumerados en el artículo 37.1.a), b) y c) y

cuando así lo exija el Derecho de la Unión o de los Estados Miembros. En este

sentido, la LOPDGDD ha establecido, en su artículo 34, un listado de entidades que,

actuando como responsables o encargados, estarán obligadas a designar un delegado

de protección de datos.

Por lo que se refiere al caso concreto objeto de este procedimiento, según consta en

los datos obrantes en el Registro Mercantil, el objeto social de la mercantil reclamada

era el desarrollo de las actividades permitidas a las Agencias de Valores, como

empresas de servicios de inversión, por el artículo 143 del Texto Refundido del

Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

El precepto mencionado dispone lo siguiente:

?Son empresas de servicios de inversión las siguientes:

a) Las sociedades de valores.

b) Las agencias de valores.

c) Las sociedades gestoras de carteras.

d) Las empresas de asesoramiento financiero?.

A su vez, en la Memoria incluida en las últimas cuentas anuales presentadas por la

empresa, las relativas al ejercicio 2018 (que constan incorporadas a las actuaciones),

se indicaba expresamente que ?La Sociedad se rige por sus Estatutos, por el Real

Decreto 217/2008, de 15 de febrero sobre el Régimen Jurídico de las empresas de

servicios de inversión y demás entidades que prestan servicios de inversión y sus

sucesivas modificaciones, por el Real Decreto 4/2015 de 23 de octubre (Texto

refundido de la Ley de Mercados de Valores) y por las diversas circulares de la

Comisión Nacional de Mercado de Valores que la desarrollan?.

Respecto a la actividad desempeñada, la propia Memoria señala:

?La Sociedad tiene como objeto social exclusivo el desarrollo de las actividades permitidas a

las Agencias de Valores como empresas de servicios de inversión establecidos por el Real

Decreto 217/2008, de 15 de febrero, sobre el régimen jurídico de las empresas de servicios de

inversión.

Las actividades contempladas en su objeto social podrán ser realizadas por la Sociedad, de

acuerdo con la normativa de aplicación, tanto en el ámbito nacional como en el internacional

(atendiendo a la normativa al respecto), siendo estas las siguientes:

Servicios de Inversión:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/12

- La recepción y transmisión de órdenes de clientes en relación con uno o más instrumentos

financieros.

- Ejecución de dichas órdenes por cuenta de clientes.

- La gestión discrecional e individualizada de carteras de inversión con arreglo a los mandatos

conferidos por los clientes.

- Colocación de instrumentos financieros sin base en un compromiso firme.

- Asesoramiento en materia de inversión.

Servicios auxiliares:

- La custodia y administración por cuenta de clientes de los instrumentos previstos en el RD

217/2008, de 15 de febrero.

- El asesoramiento a empresas sobre estructura de capital, estrategia industrial y cuestiones

afines, así como el asesoramiento y demás servicios en relación con fusiones y adquisiciones

de empresas.

- La elaboración de informes de inversiones y análisis financieros u otras formas de

recomendación general relativa a las operaciones sobre instrumentos financieros.

- Servicios de cambio de divisas relacionados con la prestación de servicios de inversión.

Servicios de inversión/auxiliares sobre instrumentos no contemplados en el artículo 2 del

TRLMV:

- La recepción y transmisión de órdenes por cuenta de terceros en planes de pensiones

(Artículo 4.1. del RDL 1/2002).

- El Asesoramiento sobre inversiones en planes de pensiones (Artículo 4.1. del RDL 1/2002).

- La promoción de planes de pensiones (Artículo 4.1. del RDL 1/2002).

- Gestión discrecional de carteras con planes de pensiones (Artículo 4.1. del RDL 1/2002).

Actividades que suponen prolongación del negocio:

- Actividad de formación: Cursos y sesiones de formación sobre los mercados y productos

financieros, así como las estrategias y herramientas necesarias para desenvolverse en el

mundo de los mercados financieros?.

Por tanto, y a pesar de lo manifestado por el reclamado en su escrito de 07/09/2020,

de contestación al traslado de la reclamación, resulta claro que la mercantil era una

?Agencia de Valores? que ostentaba la condición de empresa de servicio de inversión y

vendría obligada, por tanto, a designar un delegado de protección de datos, puesto

que se incardina en el supuesto incluido en el artículo 34.1.h) de la LOPDGDD antes

transcrito.

Esta designación del delegado de protección de datos y sus datos de contacto deben

publicarse y comunicarse a esta Agencia de Protección de Datos de conformidad con

el artículo 37.7 del RGPD y el artículo 34.3 de la LOPDGDD.

En este caso, a pesar de la plena aplicabilidad del RGPD desde el 25/05/2018 y la

vigencia de la LOPDGDD desde el 07/12/2018, consta que la entidad reclamada no

dio cumplimiento a las obligaciones señaladas anteriormente hasta el 12/04/2019,

fecha en la que fue incluido el DPD designado por la misma en el registro

correspondiente, cuyo nombramiento había sido acordado el día 30/03/2019.

En consecuencia, de conformidad con las evidencias expuestas, disponibles en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/12

momento en que tiene lugar la apertura del procedimiento, los citados hechos suponen

una vulneración de lo dispuesto en el artículo 37 del RGPD, en relación con el artículo

34 de la LOPDGDD, que da lugar a la aplicación de los poderes correctivos que el

artículo 58 del citado Reglamento otorga a la Agencia Española de Protección de

datos.

V

Para el caso de que concurra una infracción de los preceptos del RGPD, entre los

poderes correctivos de los que dispone la Agencia Española de Protección de Datos,

como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los

siguientes:

?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a

continuación:

(?)

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las

operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;?

(...)

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se

ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada

manera y dentro de un plazo especificado;

(?)

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las

medidas mencionadas en el presente apartado, según las circunstancias de cada caso

particular;?.

Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)

anterior es compatible con la sanción consistente en multa administrativa.

Sin perjuicio de lo dispuesto en el artículo 83, el citado RGPD dispone la posibilidad de

sancionar con apercibimiento, en relación con lo señalado en el Considerando 148:

?En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una

carga desproporcionada para una persona física, en lugar de sanción mediante multa puede

imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza,

gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para

paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción

anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la

infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la

adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante?.

VI

El incumplimiento de lo establecido en los artículos 37 del RGPD y 34 de la

LOPDGDD, supone la comisión de una infracción tipificada en el apartado 4.a) del

artículo 84 del RGPD, que bajo la rúbrica ?Condiciones generales para la imposición

de multas administrativas? dispone lo siguiente:

?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/12

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una

empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual

global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y

43; [?]?.

A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen

infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del

artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la

presente ley orgánica?.

A efectos del plazo de prescripción, el artículo 73, letra v), de la LOPDGDD indica:

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran

graves y prescribirán a los dos años, las infracciones que supongan una vulneración sustancial

de los artículos mencionados en aquel y, en particular, las siguientes:

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando

sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el

artículo 34 de esta ley orgánica?.

En el presente caso se considera que procede dirigir a la reclamada un apercibimiento,

de acuerdo con lo establecido en el artículo 58.2 b) del RGPD, en relación con lo

señalado en el Considerando 148, antes citados.

Se tiene en cuenta, en especial, que, de acuerdo con lo que figura en la Memoria y en

el Informe de Auditoría que acompaña a las cuentas anuales correspondientes al

ejercicio 2019, la mercantil responsable fue intervenida por la CNMV desde el 20 de

marzo de 2020 y solicitó el concurso voluntario de acreedores, encontrándose

actualmente ?en XXXXXXXX?, según consta en la información disponible en el

Registro Mercantil Central; y se encuentra de baja en el Registro de la Comisión

Nacional del Mercado de Valores, por renuncia voluntaria a la autorización presentada

por los administradores concursales.

Por otra parte, la infracción puede conllevar la imposición al responsable de la

obligación de adoptar medidas para ajustar su actuación a la normativa mencionada

en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD,

según el cual cada autoridad de control podrá ?ordenar al responsable o encargado

del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del

presente Reglamento, cuando proceda, de una determinada manera y dentro de un

plazo especificado [?]?.

No obstante, por la misma razón expuesta, es decir, atendiendo al cese de actividad

de la reclamada, no se estima oportuno en este caso, la aplicación de lo dispuesto en

el citado artículo 58.2 d) del RGPD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/12

PRIMERO: DIRIGIR UN APERCIBIMIENTO a la entidad ESFERA CAPITAL AGENCIA

DE VALORES, S.A. (en XXXXXXXX), con CIF A04791943, por una infracción del

artículo 37.1 del RGPD en relación con el artículo 34.1 de la LOPDGDD, tipificada en

el artículo 83.4 del RGPD y el artículo 71 de la LOPDGDD, y calificada como grave a

efectos de prescripción en el artículo 73, letra v), de la LOPDGDD.

SEGUNDO: NOTIFICAR la presente resolución a la entidad ESFERA CAPITAL

AGENCIA DE VALORES, S.A. (en XXXXXXXX).

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-26102021

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es