Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00445-2020 de 19 de noviembre de 2021
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 19/11/2021
Num. Resolución: PS-00445-2020
Cuestión
Sector:1 / 12
Expediente Nº: PS/00445/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 07/07/2020 tuvo entrada en la Agencia Española de Protección
de Datos una...
Contestacion
1/12
? Expediente Nº: PS/00445/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 07/07/2020 tuvo entrada en la Agencia Española de Protección
de Datos una reclamación dirigida contra ESFERA CAPITAL AGENCIA DE
VALORES, S.A. (en XXXXXXXX), con CIF A04791943 (en adelante, ESFERA
CAPITAL o la reclamada). Los motivos en que se basa la reclamación son los
siguientes:
?1. Al tratarse de una empresa de servicios de inversión, regulada por la legislación del
Mercado de Valores, debería disponer de un Delegado de Protección de Datos. Esta figura ya
no existe en la Entidad.
2. No se ha llevado a cabo una Evaluación de impacto relativa a la protección de datos.
3. No se dispone de un Código de Conducta conforme a lo dispuesto en el artículo 40 del
Reglamento (UE) 2016/679.
4. [?]? (En este punto el reclamante realiza una denuncia acerca de la presunta
comunicación indebida de sus datos personales a terceros).
ESFERA CAPITAL A.V. forma parte de un Grupo Empresarial, formado asimismo por ESFERA
CAPITAL GESTION SGIIC S.A.U. y VISUAL CHART GROUP S.L.?.
Con su reclamación, únicamente aporta correos electrónicos para documentar la
comunicación indebida de datos a que ser refiere en el punto 4 de su reclamación.
El reclamante, en escritos diferentes, ha formulado reclamación contra las otras
entidades del Grupo empresarial, antes mencionadas, solicitando que se mantenga la
confidencialidad de las reclamaciones ?por miedo a represalias de la empresa?.
SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se
trasladó a la reclamada el día 12/08/2020, de conformidad con lo establecido en el
artículo 65.4 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). En este
trámite de traslado se solicitó a la reclamada que aportase, entre otra, la información y/
o documentación siguiente:
?- Si se ha designado DPD y se ha comunicado a la Agencia española de protección
de datos.
- Copia de la Evaluación de impacto realizada o, en su caso, los motivos por los que
no se ha realizado?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/12
El día 07/09/2020 tuvo entrada en la Agencia de Protección de Datos un escrito de
respuesta, presentado por LIBERA DIGITAL CONSULTORÍA TECNOLÓGICA, S.L.
(en lo sucesivo LIBERA DIGITAL) en representación de la entidad reclamada.
En este escrito se manifiesta que la reclamada está en proceso de cierre y sin
actividad desde mayo de 2020, si bien, a pesar de ello, han decidido prescindir de la
persona que se ocupaba de la gestión de datos personales y externalizar la función,
que ha sido encomendada a LIBERA DIGITAL con el encargo de evaluar la aplicación
de la normativa y la seguridad de los datos.
Sobre la carencia de delegado de protección de datos indica que la empresa, por sus
características no se identifica con ninguno de los casos regulados en el artículo 34 de
la LOPDGDD. Se trata, según indica, de una pequeña empresa que ha creado un
programa de control de finanzas con información de carácter general y a pequeña
escala. Y termina señalando que, si resulta necesario, registrará un DPD.
Para mejorar la gestión de los datos personales, se comprobará cada dos meses por
la entidad externa, se ha elaborado un informe sobre el cumplimiento de la normativa y
se han tomado medidas para mejoras las deficiencias, así como la seguridad de los
datos.
Finalmente, señala que, como muestra de su compromiso, acompaña un informe
sobre la estructura técnica de la empresa, una evaluación de impacto y un informe
sobre los tratamientos de datos que realiza. Se concluye que no existen riesgos en los
recursos utilizados.
En la documentación aportada se identifica a LIBERA DIGITAL como DPD de la
entidad reclamada.
Adjunta la siguiente documentación:
1. Protocolo de actuación para el ejercicio de los derechos del interesado (artículos 15
a 22 del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos, en
adelante RGPD); y modelo de solicitud de ejercicio de derechos.
2. Documento denominado ?Análisis de riesgos? (por duplicado).
3. Documento denominado ?Informe de cumplimiento normativo?.
4. Documento denominado ?Estructura técnica y organizativa de la empresa?.
5. Documento denominado ?Tratamiento de datos básicos?.
TERCERO: La reclamación fue admitida a trámite mediante acuerdo de la Directora de
la Agencia Española de Protección de Datos de fecha 03/11/2020.
CUARTO: Con fecha 08/06/2021, se publica en el Boletín Oficial del Estado la
Resolución de la Comisión Nacional del Mercado de Valores de 14/05/2021, por la que
se dispone la publicación de la revocación y simultáneamente la baja del Registro
Administrativo de la citada Comisión a ESFERA CAPITAL, como consecuencia de la
solicitud de renuncia voluntaria a la autorización presentada por los administradores
concursales nombrados mediante auto judicial, en el seno del procedimiento de
concurso ordinario
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/12
QUINTO: Con fecha 01/07/2021, por la Subdirección General de Inspección de Datos
se accede a la información relativa a la reclamada que consta en el RMC. Se
comprueba que la entidad fue constituida en 2014 y se encuentra actualmente ?en
XXXXXXXX?. Como objeto social se indica:
?La Sociedad tendrá como objeto social exclusivo el desarrollo de las actividades
permitidas a las Agencias de Valores como empresas de servicios de inversión por el
artículo 143 de la Ley 4/2015?.
SEXTO: Con fecha 02/08/2021, por la Subdirección General de Inspección de Datos
se accede al Registro de Delegados de Protección de Datos de la AEPD y se
comprueba que, a dicha fecha no figura ningún DPD designada por la entidad
reclamada.
SÉPTIMO: Con fecha 16/08/2021, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador a la entidad reclamada, con arreglo
a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,
LPACAP), por la presunta infracción del artículo 37.1 del RGPD en relación con el
artículo 34.1 de la LOPDGDD, tipificada en el artículo 83.4 del RGPD y el artículo 71
de la LOPDGDD; señalando en dicho acuerdo que la sanción que pudiera
corresponder sería de apercibimiento, sin perjuicio de lo que resulte de la instrucción.
En el mismo acuerdo de apertura del procedimiento se advertía a la entidad reclamada
que si no efectuara alegaciones en el plazo estipulado, dicho acuerdo podría ser
considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de la
LPACAP.
La notificación del acuerdo de apertura remitida a ESFERA CAPITAL por la Secretaría
General de la AEPD, a través del Servicio de Notificaciones Electrónicas y Dirección
Electrónica Habilitada, resultó expirada.
OCTAVO: Con fecha 23/09/2021, se recibió en esta Agencia escrito de la entidad
reclamada en el que manifiesta que no pudo acceder a la notificación electrónica del
acuerdo de apertura del procedimiento por un problema con el certificado. Solicitó que
dicho acuerdo se incorporase nuevamente al ?Buzón Ciudadano?.
En respuesta a este escrito, en la misma fecha del 23/09/2021, la Secretaría General
de la AEPD informó a la reclamada que el mencionado acuerdo se encontraba
accesible desde el Punto de Acceso General (www.060.es) y desde el portal web de la
propia AEPD y se insertaba el enlace correspondiente, con detalle de los datos que
deberían introducirse para obtener el documento.
No consta en esta Agencia ningún escrito de alegaciones presentado por la reclamada
en relación con el presente procedimiento.
NOVENO: Con fecha 22/10/2021, por el instructor del procedimiento se formuló
propuesta de resolución en el sentido de que por la Directora de la Agencia Española
de Protección de Datos se dirija apercibimiento contra la entidad reclamada, por la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/12
infracción del artículo 37.1 del RGPD en relación con el artículo 34.1 de la LOPDGDD,
tipificada en el artículo 83.4 del RGPD y el artículo 71 de la LOPDGDD, y calificada
como grave a efectos de prescripción en el artículo 73, letra v), de la LOPDGDD.
DÉCIMO: Notificada la citada propuesta de resolución, con fecha 08/11/2021 se recibe
escrito del Administrador Concursal de la entidad reclamada en el que informa que
esta entidad acordó, con fecha 30/03/2019, el nombramiento de un DPD, que fue
debidamente comunicado a esta Agencia.
Con sus alegaciones, aporta copia del justificante de recepción expedido por el
Registro General de Protección de Datos, de fecha 12/04/2019. Mediante este escrito,
esta Agencia comunica a la entidad reclamada la inclusión en la lista prevista en el
artículo 34.4 de la LOPDGDD de la información correspondiente al DPD designado por
la misma.
DECIMOPRIMERO: Por la Subdirección General de Inspección de Datos se recabaron
los antecedentes correspondientes al registro del DPD nombrado por la entidad
reclamada, comprobándose que consta el alta de fecha 12/04/2019 y que, previa
solicitud de dicha entidad, causó baja en fecha 03/06/2020.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: La sociedad ESFERA CAPITAL se constituyó en 2014 con el siguiente
objeto social: ?La Sociedad tendrá como objeto social exclusivo el desarrollo de las
actividades permitidas a las Agencias de Valores como empresas de servicios de
inversión por el artículo 143 de la Ley 4/2015?.
SEGUNDO: esfera capital ha manifestado ante esta Agencia que está en proceso de
cierre y sin actividad desde mayo de 2020. Según la información que consta en el
RMC, esta entidad se encuentra actualmente ?en XXXXXXXX?.
TERCERO: Con fecha 14/05/2021, ESFERA CAPITAL ha causado baja como agencia
de valores en el Registro de la Comisión Nacional del Mercado de Valores, por
renuncia voluntaria a la autorización presentada por los administradores concursales
de la sociedad, que se encuentra ?en XXXXXXXX?.
CUARTO: ESFERA CAPITAL notificó a esta Agencia Española de Protección de
Datos la designación de un DPD, que fue registrado en la lista correspondiente en
fecha 12/04/2019, habiendo causado baja en dicho registro en fecha 03/06/2020, a
solicitud de la citada entidad.
FUNDAMENTOS DE DERECHO
I
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/12
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora
de la Agencia Española de Protección de Datos es competente para iniciar y para
resolver este procedimiento.
El artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos?.
II
El artículo 64.2.f) de la LPACAP establece que el acuerdo de iniciación de un
procedimiento sancionador se notificará al interesado haciendo constar en dicha
notificación que, de no efectuar alegaciones sobre el contenido, éste podrá ser
considerado propuesta de resolución cuando contenga un pronunciamiento preciso
acerca de la responsabilidad imputada.
?f) Indicación del derecho a formular alegaciones y a la audiencia en el procedimiento y de los
plazos para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en
el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser considerado
propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la
responsabilidad imputada?.
En este caso, el acuerdo de inicio del procedimiento sancionador hacía referencia a
este artículo, advirtiendo a la entidad reclamada sobre las consecuencias de no
efectuar alegaciones. Dicho Acuerdo contiene un pronunciamiento preciso sobre la
responsabilidad de la entidad reclamada: se concreta la conducta infractora, el tipo
sancionador en el que era subsumible, las circunstancias de la responsabilidad
descritas y la sanción que a juicio de la AEPD procede imponer, sin perjuicio de lo que
resulte de la instrucción.
Así, en consideración a lo expuesto y de conformidad con lo establecido en el artículo
64.2.f) de la LPACAP, el acuerdo de inicio del presente procedimiento fue considerado
Propuesta de Resolución, por cuanto dicho acuerdo de inicio fue notificado a la
reclamada y ésta no ha presentó escrito de alegaciones.
III
En el presente caso, la reclamación formulada cuestiona la actuación de la entidad
reclamada en relación con las cuatro cuestiones siguientes:
. La falta de designación de un delegado de protección de datos.
. No haber llevado a cabo una evaluación de impacto.
. No disponer de un código de conducta.
. Una presunta comunicación a terceros de datos personales relativos al reclamante.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/12
Es preciso destacar al respecto que el reclamante únicamente aportó documentación
en relación con el asunto mencionado en el punto 4 anterior.
Siendo así, debe rechazarse la reclamación en relación con el hecho de que la
reclamada no disponga de una evaluación de impacto relativa a la protección de datos,
por cuanto no cabe admitir reclamaciones genéricas que no aporten indicio alguno de
infracción.
En cuanto a la disposición de un código de conducta, debe precisarse que el artículo
40 del RGPD no configura esta cuestión como una obligación de los responsables y
encargados del tratamiento, ni el incumplimiento de lo dispuesto en este artículo se
tipifica como infracción en el artículo 83 del RGPD.
En relación con la última cuestión señalada, sobre la presunta comunicación indebida
de los datos personales a que hace referencia el reclamante en su escrito, no resulta
posible valorar la existencia o no de esa posible comunicación ilícita de los datos,
habida cuenta de la confidencialidad solicitada por el reclamante respecto de su
reclamación. La imposibilidad de comunicar al reclamado la identidad de la persona y
de los hechos alegados impediría al responsable presentar las alegaciones y utilizar
los medios de defensa que considere oportunos. El derecho a la presunción de
inocencia, reconocido en el artículo 24 de la Constitución Española, debe regir sin
excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición
de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas
manifestaciones está condicionado al juego de la prueba y a un procedimiento
contradictorio en el que puedan defenderse las propias posiciones.
En consecuencia, procede analizar únicamente la cuestión relativa a la obligación de
la reclamada de designar un delegado de protección de datos.
IV
El artículo 37 del RGPD, cuya rúbrica lleva por título ?Designación del delegado de
protección de datos? dispone que:
?1. El responsable y el encargado del tratamiento designarán un delegado de protección de
datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación
habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a
gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales
relativos a condenas e infracciones penales a que se refiere el artículo 10.
2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre
que sea fácilmente accesible desde cada establecimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/12
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo
público, se podrá designar un único delegado de protección de datos para varias de estas
autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del
tratamiento o las asociaciones y otros organismos que representen a categorías de
responsables o encargados podrán designar un delegado de protección de datos o deberán
designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de
protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que
representen a responsables o encargados.
5. El delegado de protección de datos será designado atendiendo a sus cualidades
profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en
materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en
el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del
encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de
servicios.
7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado
de protección de datos y los comunicarán a la autoridad de control?.
Y, en virtud de la habilitación que confiere el apartado 4 del precepto anterior, el
artículo 34 de la LOPDGDD determina, en relación con la designación de un delegado
de protección de datos, lo siguiente:
?1. Los responsables y encargados del tratamiento deberán designar un delegado de
protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE)
2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
[?]
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de
Valores.
[?]
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán
designar de manera voluntaria un delegado de protección de datos, que quedará sometido al
régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la
Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de
protección de datos, las designaciones, nombramientos y ceses de los delegados de
protección de datos tanto en los supuestos en que se encuentren obligadas a su designación
como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección
de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de
delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del
tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre
otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/12
tratados o de los riesgos para los derechos o libertades de los interesados?.
Los citados preceptos establecen la obligación de los responsables y encargados del
tratamiento, en determinados supuestos, de designar la figura del delegado de
protección de datos. En los supuestos que atañen a un grupo empresarial, se permite
la posibilidad de nombrar un único delegado de protección de datos, siempre que sea
accesible desde cada establecimiento. Esta figura deberá reunir los requisitos que se
determinan en el propio artículo 37.5 del RGPD y 35 de la LOPDGDD, ostentará la
posición que se recoge en el artículo 38 del RGPD y 36 de la LOPDGDD y
desempeñará las funciones establecidas en el artículo 39 del RGPD.
Los supuestos obligatorios serán aquellos enumerados en el artículo 37.1.a), b) y c) y
cuando así lo exija el Derecho de la Unión o de los Estados Miembros. En este
sentido, la LOPDGDD ha establecido, en su artículo 34, un listado de entidades que,
actuando como responsables o encargados, estarán obligadas a designar un delegado
de protección de datos.
Por lo que se refiere al caso concreto objeto de este procedimiento, según consta en
los datos obrantes en el Registro Mercantil, el objeto social de la mercantil reclamada
era el desarrollo de las actividades permitidas a las Agencias de Valores, como
empresas de servicios de inversión, por el artículo 143 del Texto Refundido del
Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
El precepto mencionado dispone lo siguiente:
?Son empresas de servicios de inversión las siguientes:
a) Las sociedades de valores.
b) Las agencias de valores.
c) Las sociedades gestoras de carteras.
d) Las empresas de asesoramiento financiero?.
A su vez, en la Memoria incluida en las últimas cuentas anuales presentadas por la
empresa, las relativas al ejercicio 2018 (que constan incorporadas a las actuaciones),
se indicaba expresamente que ?La Sociedad se rige por sus Estatutos, por el Real
Decreto 217/2008, de 15 de febrero sobre el Régimen Jurídico de las empresas de
servicios de inversión y demás entidades que prestan servicios de inversión y sus
sucesivas modificaciones, por el Real Decreto 4/2015 de 23 de octubre (Texto
refundido de la Ley de Mercados de Valores) y por las diversas circulares de la
Comisión Nacional de Mercado de Valores que la desarrollan?.
Respecto a la actividad desempeñada, la propia Memoria señala:
?La Sociedad tiene como objeto social exclusivo el desarrollo de las actividades permitidas a
las Agencias de Valores como empresas de servicios de inversión establecidos por el Real
Decreto 217/2008, de 15 de febrero, sobre el régimen jurídico de las empresas de servicios de
inversión.
Las actividades contempladas en su objeto social podrán ser realizadas por la Sociedad, de
acuerdo con la normativa de aplicación, tanto en el ámbito nacional como en el internacional
(atendiendo a la normativa al respecto), siendo estas las siguientes:
Servicios de Inversión:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/12
- La recepción y transmisión de órdenes de clientes en relación con uno o más instrumentos
financieros.
- Ejecución de dichas órdenes por cuenta de clientes.
- La gestión discrecional e individualizada de carteras de inversión con arreglo a los mandatos
conferidos por los clientes.
- Colocación de instrumentos financieros sin base en un compromiso firme.
- Asesoramiento en materia de inversión.
Servicios auxiliares:
- La custodia y administración por cuenta de clientes de los instrumentos previstos en el RD
217/2008, de 15 de febrero.
- El asesoramiento a empresas sobre estructura de capital, estrategia industrial y cuestiones
afines, así como el asesoramiento y demás servicios en relación con fusiones y adquisiciones
de empresas.
- La elaboración de informes de inversiones y análisis financieros u otras formas de
recomendación general relativa a las operaciones sobre instrumentos financieros.
- Servicios de cambio de divisas relacionados con la prestación de servicios de inversión.
Servicios de inversión/auxiliares sobre instrumentos no contemplados en el artículo 2 del
TRLMV:
- La recepción y transmisión de órdenes por cuenta de terceros en planes de pensiones
(Artículo 4.1. del RDL 1/2002).
- El Asesoramiento sobre inversiones en planes de pensiones (Artículo 4.1. del RDL 1/2002).
- La promoción de planes de pensiones (Artículo 4.1. del RDL 1/2002).
- Gestión discrecional de carteras con planes de pensiones (Artículo 4.1. del RDL 1/2002).
Actividades que suponen prolongación del negocio:
- Actividad de formación: Cursos y sesiones de formación sobre los mercados y productos
financieros, así como las estrategias y herramientas necesarias para desenvolverse en el
mundo de los mercados financieros?.
Por tanto, y a pesar de lo manifestado por el reclamado en su escrito de 07/09/2020,
de contestación al traslado de la reclamación, resulta claro que la mercantil era una
?Agencia de Valores? que ostentaba la condición de empresa de servicio de inversión y
vendría obligada, por tanto, a designar un delegado de protección de datos, puesto
que se incardina en el supuesto incluido en el artículo 34.1.h) de la LOPDGDD antes
transcrito.
Esta designación del delegado de protección de datos y sus datos de contacto deben
publicarse y comunicarse a esta Agencia de Protección de Datos de conformidad con
el artículo 37.7 del RGPD y el artículo 34.3 de la LOPDGDD.
En este caso, a pesar de la plena aplicabilidad del RGPD desde el 25/05/2018 y la
vigencia de la LOPDGDD desde el 07/12/2018, consta que la entidad reclamada no
dio cumplimiento a las obligaciones señaladas anteriormente hasta el 12/04/2019,
fecha en la que fue incluido el DPD designado por la misma en el registro
correspondiente, cuyo nombramiento había sido acordado el día 30/03/2019.
En consecuencia, de conformidad con las evidencias expuestas, disponibles en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/12
momento en que tiene lugar la apertura del procedimiento, los citados hechos suponen
una vulneración de lo dispuesto en el artículo 37 del RGPD, en relación con el artículo
34 de la LOPDGDD, que da lugar a la aplicación de los poderes correctivos que el
artículo 58 del citado Reglamento otorga a la Agencia Española de Protección de
datos.
V
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a
continuación:
(?)
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las
operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se
ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada
manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)
anterior es compatible con la sanción consistente en multa administrativa.
Sin perjuicio de lo dispuesto en el artículo 83, el citado RGPD dispone la posibilidad de
sancionar con apercibimiento, en relación con lo señalado en el Considerando 148:
?En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una
carga desproporcionada para una persona física, en lugar de sanción mediante multa puede
imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza,
gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para
paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción
anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la
infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la
adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante?.
VI
El incumplimiento de lo establecido en los artículos 37 del RGPD y 34 de la
LOPDGDD, supone la comisión de una infracción tipificada en el apartado 4.a) del
artículo 84 del RGPD, que bajo la rúbrica ?Condiciones generales para la imposición
de multas administrativas? dispone lo siguiente:
?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/12
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una
empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y
43; [?]?.
A este respecto, la LOPDGDD, en su artículo 71 establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73, letra v), de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran
graves y prescribirán a los dos años, las infracciones que supongan una vulneración sustancial
de los artículos mencionados en aquel y, en particular, las siguientes:
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando
sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el
artículo 34 de esta ley orgánica?.
En el presente caso se considera que procede dirigir a la reclamada un apercibimiento,
de acuerdo con lo establecido en el artículo 58.2 b) del RGPD, en relación con lo
señalado en el Considerando 148, antes citados.
Se tiene en cuenta, en especial, que, de acuerdo con lo que figura en la Memoria y en
el Informe de Auditoría que acompaña a las cuentas anuales correspondientes al
ejercicio 2019, la mercantil responsable fue intervenida por la CNMV desde el 20 de
marzo de 2020 y solicitó el concurso voluntario de acreedores, encontrándose
actualmente ?en XXXXXXXX?, según consta en la información disponible en el
Registro Mercantil Central; y se encuentra de baja en el Registro de la Comisión
Nacional del Mercado de Valores, por renuncia voluntaria a la autorización presentada
por los administradores concursales.
Por otra parte, la infracción puede conllevar la imposición al responsable de la
obligación de adoptar medidas para ajustar su actuación a la normativa mencionada
en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD,
según el cual cada autoridad de control podrá ?ordenar al responsable o encargado
del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado [?]?.
No obstante, por la misma razón expuesta, es decir, atendiendo al cese de actividad
de la reclamada, no se estima oportuno en este caso, la aplicación de lo dispuesto en
el citado artículo 58.2 d) del RGPD.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/12
PRIMERO: DIRIGIR UN APERCIBIMIENTO a la entidad ESFERA CAPITAL AGENCIA
DE VALORES, S.A. (en XXXXXXXX), con CIF A04791943, por una infracción del
artículo 37.1 del RGPD en relación con el artículo 34.1 de la LOPDGDD, tipificada en
el artículo 83.4 del RGPD y el artículo 71 de la LOPDGDD, y calificada como grave a
efectos de prescripción en el artículo 73, letra v), de la LOPDGDD.
SEGUNDO: NOTIFICAR la presente resolución a la entidad ESFERA CAPITAL
AGENCIA DE VALORES, S.A. (en XXXXXXXX).
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-26102021
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
LIBROS Y CURSOS RELACIONADOS
Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
12.75€
6.38€