Resolución de la Agencia Española de Protección de Datos PS-00462-2019 de 31 de agosto de 2021

Cuestión

1 / 26

Procedimiento Nº: PS/00462/2019

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes:

ANTECEDENTES

PRIMERO : A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo

IMI), regulado...

Contestacion

1/26

? Procedimiento Nº: PS/00462/2019

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes:

ANTECEDENTES

PRIMERO: A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo

IMI), regulado por el Reglamento (UE) nº:1024/2012, del Parlamento Europeo y del

Consejo, de 25 de octubre de 2012, (Reglamento IMI), cuyo objetivo es favorecer la

cooperación administrativa transfronteriza, la asistencia mutua entre los Estados

miembros y el intercambio de información, se recibió en esta Agencia Española de

Protección de Datos (AEPD), el día 11/09/18, una reclamación formulada por un

interesado ante el Comisario de Protección de Datos y Libertad de Información de

Berlín- Hamburgo, (en adelante, SA Berlín).

El traslado de esta reclamación a la AEPD se realiza de conformidad con lo

establecido en el artículo 56 del Reglamento (UE) 2016/679, del Parlamento Europeo y

del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas

en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de

estos Datos (RGPD); teniendo en cuenta su carácter transfronterizo, esta Agencia es

competente para actuar como autoridad de control principal.

La citada reclamación se formula contra la página web ***URL.1 por falta de política de

privacidad y política de cookies. Además, el reclamante denuncia también que ?la

entidad se niega a emitir una factura a menos que aporte un número de identificación

fiscal?.

En la carta se afirmaba lo siguiente:

«Señoras y señores

Por la presente deseo presentar una queja ante la siguiente empresa:

***URL.1.

Falta de información de protección de datos o advertencias de cookies.

Además, la empresa se niega a emitir una factura después de mi compra a

menos que les dé un número de identificación fiscal.

Sospecho que las facturas se emiten solo bajo demanda y que la empresa está

tratando de evadir impuestos.

Con nuestros mejores deseos'

El reclamante no aporta ninguna documentación adicional ni pruebas de los hechos

denunciados.

La autoridad de control de Berlín identifica como responsable a la entidad

FURNISHICON S.L.U. con sede social en España, y señala que del proveedor

FURNISHCONCEPT S.L.U. dependen también las páginas webs ***URL.2 y

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/26

***URL.3 .

Los tratamientos de datos que se llevan a cabo afectan a interesados en varios

Estados miembros. Según las informaciones incorporadas al Sistema IMI, de

conformidad con lo establecido en el artículo 56 del RGPD, se han declarado

interesadas en el presente procedimiento las autoridades de control de Renania del

Norte-Westfalia, Renania-Palatinado, Baja Sajonia, Sarre, Mecklenburgo-Pomerania

Occidental, Francia, Noruega e Italia.

SEGUNDO: A la vista de los hechos expuestos, la Subdirección General de Inspección

de Datos procedió a realizar actuaciones para su esclarecimiento en el expediente

E/1458/2019, al amparo de los poderes de investigación otorgados a las autoridades

de control en el artículo 57.1 del RGPD. Así, con fecha 04/08/19, se accedió a las

páginas web que pertenecen a FURNISHYOURSPACE, S.L. (CIF: B67094375), en las

que figura la política de privacidad accesible desde varios enlaces. También se

comprueba que las webs denunciadas tienen la opción de recopilar datos personales

para abrir una cuenta y realizar compras on-line. El informe de actuaciones previas de

inspección se emite el 09/04/2019.

Sobre la Política de Privacidad, se comprueba los siguientes hechos:

- A la política de privacidad de la página web en castellano, ***URL.2 , se accede

desde los links: ?Términos y Condiciones?; ?Política de Privacidad y Cookies? e ?Información

Legal?, situados en la parte inferior de la página.

- A la política de privacidad de la página web en alemán, ***URL.1 , se accede

desde los links: ?Geschäftsbedingungen?; ?Datenschutzerklärung?; ?Versandinformationen?

?Widerrufsrecht? y ?Reklamation?, situados en la parte inferior de la página.

- A la política de privacidad de la página web en francés, ***URL.3 se accede

desde los links: ?Termes et conditions?; ?Politique de Pretection de Données?; ?Droit de

rétractation? y ?Mentions légales?, situados en la parte inferior de la página.

La información que contiene la página que informa sobre la ?Política de Privacidad?,

tanto en la página web española, como en la página web alemana y como en la página

web francesa, es la misma en cualquiera de los tres idiomas. A continuación, se

trascribe la información en idioma castellano:

- IDENTIFICACIÓN.

De acuerdo con la obligación de información en virtud del artículo 10 de la Ley

34/2002, de 11 de julio, de los Servicios de la Sociedad de la Información y de Comercio

Electrónico, la información del operador que figura a continuación corresponde a la

página de inicio serca.es

Nombre de la empresa: FURNISHYOURSPACE SL

Ubicación: ***DIRECCIÓN.1

Teléfono: ***TELÉFONO.1

Correo electrónico: ***EMAIL.1

CIF: B67094375

- POLÍTICA DE PROTECCIÓN DE DATOS

De conformidad con el REGLAMENTO (UE) 2016/679 del Parlamento Europeo y del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/26

Consejo, de 27 de abril de 2016, sobre la protección de las personas con respecto al

tratamiento de datos personales y la libre circulación de esos datos y sus reglamentos

de aplicación, le informamos que la información que proporcionó, Los datos para el

procesamiento de pedidos, así como para la información solicitada sobre nuestros productos

y servicios, se utilizan para responder y procesar sus comentarios y sugerencias.

Recopilamos su información cuando se registra en nuestro sitio web o realiza un pedido

de nuestros productos o servicios. Si participa voluntariamente en encuestas de

clientes, proporciona comentarios y participa en licitaciones, se recopila información

sobre el cliente.

La información de uso del sitio web se almacena mediante cookies.

Almacenamos su dirección IP para diagnosticar problemas en nuestro servidor y administrar

el sitio web. Una dirección IP es un número asignado a su computadora cuando

utiliza Internet. Esto también se usa para reconocerlo durante una visita específica al

sitio web.

Para que la compra se lleve a cabo, se puede solicitar la siguiente información: nombre

y apellidos, dirección, correo electrónico, fecha de nacimiento, número de teléfono

y método de pago.

Después de completar los formularios de contacto del sitio web o enviar correos electrónicos

o cualquier otra solicitud para pasar información a Iconmöbel, el interesado da

su consentimiento expreso para el tratamiento de datos personales y para el envío de

mensajes publicitarios.

Sus datos serán tratados de forma confidencial por Iconmöbel y se utilizarán únicamente

para los fines mencionados anteriormente. Estos no serán divulgados a terceros

sin el previo consentimiento expreso del cliente. La excepción es el transportista,

que acepta el pedido. En este caso, solo lo recibirá el transportista que necesita, para

que él pueda procesar la logística de envío de los pedidos realizados. Dichos datos

solo son necesarios para el tratamiento (nombre, dirección de entrega y número de teléfono

para contactar). Los muebles de icono, a su vez, obligan a las empresas a cumplir

con lo requerido por el Reglamento de la UE 2016/679.

Iconmöbel se compromete a mantener el secreto profesional y tomar todas las medidas

técnicas y organizativas necesarias para garantizar la información de acuerdo con

los requisitos del Reglamento mencionado anteriormente.

Sus datos personales serán almacenados en nuestro registro de clientes durante dos

años. Sin embargo, puede revocar el acceso a los datos para su rectificación o eliminación

en cualquier momento, así como la revocación del tratamiento de los datos o

su transferibilidad.

El comprador autoriza el contacto por teléfono o correo electrónico sobre los datos del

cliente que ha proporcionado a Iconmöbel como una fuente de información sobre la orden

ejecutada por él.

El usuario es el único responsable de la exactitud y exactitud de la información proporcionada.

En el caso de la provisión de información falsa o de terceros sin su permiso

expreso, Iconmöbel se reserva el derecho de destruir la información de inmediato para

proteger el derecho del propietario real.

Con respecto a los datos, puede iniciar sesión en su cuenta por correo electrónico

para ejercer sus derechos. La solicitud debe ir acompañada de un documento de identificación

para que podamos estar seguros de que usted es el propietario. Entonces

tus derechos:

- Derecho a acceder a su información personal y a saber si estamos tratando o no su

información personal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/26

- Derecho a solicitar la corrección de información incorrecta o su eliminación si, entre

otras cosas, ya no es necesario para su propósito original.

- Derecho a solicitar restringir el tratamiento de sus datos. En este caso, estos solo se

almacenan para el ejercicio o defensa de reclamaciones.

- Derecho a objetar el tratamiento de sus datos en determinadas circunstancias y en

relación con su situación personal.

- Derecho de transferencia de sus datos.

- Derecho a revocar el consentimiento, sin el cual la revocación afecta la legalidad del

tratamiento de datos anterior que ha sido aprobado.

- Derecho a presentar una reclamación ante una autoridad de control. Si cree que se

han violado sus derechos durante el tratamiento de datos, tiene derecho a presentar

una queja ante la Agencia Española de Protección de Datos.

TERCERO: Con fecha 07/06/2019, la AEPD emite un proyecto de decisión donde

propone un archivo del procedimiento, al considerar que, en base a las actuaciones de

inspección practicadas, la política de privacidad en cuestión se adecuaba a lo

dispuesto en el RGPD, por lo que estimo que no se había vulnerado el artículo 13 del

RGPD.

CUARTO: El día 02/07/2019, la autoridad de control de Berlín remite un escrito en el

que afirmaba que el proyecto de decisión estaba incompleto. En síntesis, señala que la

política de privacidad no informa acerca de la base jurídica del tratamiento; que no se

proporciona información acerca de la incrustación de cookies de terceros al usar la

web y el usuario únicamente dispone de la opción de aceptarlas (incluso parece que

son instaladas con carácter previo a su aceptación) derivando la deshabilitación al

navegador; y finalmente, que el proyecto de decisión no hace referencia a la

reclamación efectuada de que el comprador hubiera solicitado el número de

identificación fiscal para emitir una factura.

QUINTO: El día 17/10/2019, la AEPD emite un primer proyecto de decisión revisado

en el que se señalan los apartados de la política de privacidad que hacen referencia a

la base jurídica del tratamiento, se proporciona determinada información acerca del

contenido que debe figurar en las facturas simplificadas, y se informa de que, respecto

al tema de cookies, se requerirá información al reclamado y podrá ser sancionado, en

su caso, de acuerdo con la normativa española.

En base a lo anterior, la AEPD consideró que no se había vulnerado el artículo 13 del

RGPD y propuso el archivo de las actuaciones.

SEXTO: Con fecha 01/11/19, la autoridad de control de Berlín formula objeciones al

proyecto de decisión revisado por los siguientes motivos:

? Existencia de diversas infracciones relacionadas con la información que se

debe proporcionar al interesado debido a que, de acuerdo con la política

de privacidad de la web ***URL.1 vigente el 29/10/2019:

o No se menciona la base jurídica del tratamiento. Esto supone una

infracción del artículo 13.1.c) del RGPD.

o La información sobre cookies es errónea e incompleta. Esto supondría

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/26

una infracción del artículo 13.1.a), c), e). f y 2.a) del RGPD (si los datos

se han obtenido del interesado) o del 14.1.a), c), e), f) y 2.a) del RGPD

(si los datos no se han obtenido del interesado).

o Una lista de terceros carga contenido en la página web, lo que supone

una comunicación de la dirección IP a esos terceros. Varios de estos

terceros usarían los datos para propósitos de marketing. Algunos de

estos terceros parecen estar radicados fuera del Espacio Económico

Europeo. No obstante, la política de privacidad no menciona a estos

terceros como posibles destinatarios de la comunicación de datos, sino

que señala que únicamente comunica datos a la empresa de transporte.

Tampoco informa de que se va a producir una transferencia

internacional de datos ni de la base jurídica para dicha transferencia.

Por tanto, se habría producido una infracción del artículo 13.1.a), c), e),

f) y 2.a) del RGPD (si los datos se han obtenido del interesado) o del

artículo 14.1.a), c), e), f) y 2.a) del RGPD (si los datos no se han

obtenido del interesado). Además, se habría producido una infracción

del artículo 26.2 y posiblemente del artículo 44.

o La política de privacidad es confusa y el lenguaje presenta errores

gramaticales y usa términos que no pertenecen a la lengua alemana

común. Esto supone una infracción del artículo 12.1 del RGPD en

relación con los artículos 13 y 14.

o La política de privacidad no menciona el derecho a oponerse al

tratamiento conforme al artículo 21.2 del RGPD (lo que supone una

vulneración del artículo 21.4) y solo hace referencia a la AEPD como

autoridad ante la que presentar una reclamación (infracción del artículo

13.2.d).

? La única forma de rechazar la instalación de cookies es a través de la

configuración del navegador. Por tanto, el consentimiento obtenido para

aceptar las cookies y el contenido de terceros es inválido, ya que no se ha

prestado libremente. Asimismo, el consentimiento recabado no cubre la

comunicación de datos a los terceros que cargan contenido en la web ni a

su uso para sus propios propósitos. Todo esto lleva a una infracción del

artículo 6 del RGPD.

? La autoridad de control de Berlín no está de acuerdo con que sea exigible

el número de identificación fiscal para la emisión de una factura

simplificada. Además, la información acerca de los requisitos para la

emisión de una factura solo aparece recogida de manera incongruente en

el apartado Términos y Condiciones de la política de privacidad. Esto

supondría una infracción del artículo 6 del RGPD.

OCTAVO: El día 03/06/2020, la AEPD adopta, de acuerdo con la Ley Orgánica 3/2018,

de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digi-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/26

tales (en adelante, LOPDGDD o Ley Orgánica), un proyecto de acuerdo de inicio de

procedimiento sancionador por presunta vulneración del artículo 13 del RGPD.

NOVENO: El 26/06/2020, la AEPD emite un segundo proyecto de decisión revisado en

el que se comparte una síntesis del proyecto de acuerdo de inicio con el siguiente

contenido:

Resumen de la denuncia

La autoridad española recibió una reclamación contra Furnishicom,S.L.U., ya que en

el sitio web ***URL.1, propiedad de Furnishicom,S.L.U., en sus vistas en diferentes

idiomas, no incluye la información necesaria.

Competencia

Artículo 56, apartado 1, artículo 58 apartados 2 y 4 y artículo 60 del RGPD, y de

acuerdo con el artículo 48, apartado 1, y el artículo 64 de la Ley Orgánica 3/2018, de 5

de diciembre, de Protección de Datos de Carácter Personal, la Directora de la autoridad

española tendrá competencia para:

ADOPCIÓN DE LA PRESENTE DECISIÓN REVISADA

Investigación de la autoridad de control española

En el sitio web se ha verificado que se recogen datos personales. En el sitio web español

se incluyen las Políticas de Privacidad, con otros contenidos como Términos y

Condiciones de uso, en una página desde la que se accede desde diferentes enlaces:

Tres en la sección de INFORMACIÓN y otros desde el banner de cookies.

Algo similar sucede en la página alemana, aunque en este caso se accede desde cinco

enlaces:

Condiciones

Política de privacidad

Información de envío

Retirada

Queja

Y de la página en francés desde otros cinco.

En relación con la información facilitada a los usuarios, se facilita información sobre:

? la identidad y los datos de contacto de la persona responsable

? Las finalidades del tratamiento al que están previstos los datos personales y la base

jurídica del tratamiento

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/26

? Los destinatarios o categorías de destinatarios de los datos personales

? el período durante el cual los datos personales estarán disponibles

? la existencia del derecho a solicitar el acceso al responsable del tratamiento de los

datos personales relativos al interesado, su rectificación, supresión, limitación de su

tratamiento, oposición, así como el derecho a la portabilidad de los datos. Y el derecho

a presentar una reclamación ante una autoridad de control.

Se incluirá un proyecto de decisión revisado en el sistema de intercambio de procedimientos

transfronterizos para los trabajos preparatorios, donde se incluirán las infracciones

del artículo 13 del RGPD, la no inclusión de una base legal para el tratamiento,

las diferencias en la cobertura de la política de privacidad, la información sobre el derecho

de oposición, la falta de información sobre la posibilidad de presentar reclamaciones

ante otras autoridades de control, y la solicitud de un DNI para facturas simplificadas.

En cuanto a las cookies, se está penalizando de acuerdo con nuestra legislación nacional.

Autoridades de supervisión interesadas

Se informará de este proyecto de decisión a las siguientes autoridades de supervisión:

? Pomerania Mecklemburgo-Occidental

? Francia

? Italia

? Baja Sajonia

? Rin-Westfalia del norte

? Noruega

? Renania-Palatinado

? Sarre

? Berlín

Norma supuestamente infringida

- Transparencia e información (artículo 13)

Proyecto de decisión sobre las medidas que han de adoptarse

Respecto a la "Política de Privacidad" del sitio web ***URL.2;***URL.1 y ***URL.3 y

en aplicación de lo dispuesto en el artículo 13 del RGPD, se han detectado las siguientes

anomalías:

? Se proporciona información sobre los fines del tratamiento de los datos personales,

pero no sobre la base legal del tratamiento (artículo 6.1 del RGPD).

? Según la Autoridad Alemana de Protección de Datos, la Política de Privacidad del

sitio web ***URL.1 contiene una gran cantidad de errores gramaticales y ortográficos.

Usa términos que no corresponden a los términos utilizados en el idioma alemán coti-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/26

diano y, por lo tanto, son totalmente inteligibles".

? En la Política de Privacidad, solo permite el derecho de los interesados a oponerse

al tratamiento de datos de acuerdo con el artículo 21.1 del RGPD pero no al tratamiento

de datos personales con fines de marketing directo, al derecho a obtener en cualquier

momento el tratamiento de datos personales.

? En el apartado ?Derecho a presentar una reclamación ante una autoridad de control?

se indica que: ?Si cree que sus derechos han sido vulnerados durante el tratamiento

de los datos, tiene derecho a presentar una reclamación ante la Agencia Española

de Protección de Datos", aunque los usuarios sean ciudadanos o se encuentren

en territorio alemán o francés.

En la sección 'D-INVIOSING' de la sección 'C-ENVÍOS/entregas' de la

Política de Privacidad se establece:"Furure Design generará una factura simplificada

con los pagos aceptados y recibidos siempre y cuando el pedido total no exceda los

3000 EUR de acuerdo con la legislación vigente. No será posible tramitar pedidos superiores

a esta cantidad si no se notifica el DNI o NIF", pero no se especifica que la

comunicación de datos personales (en este caso el NIF o CIF) sea un requisito legal o

contractual, según el artículo 13.2.e).

Estos hechos podrían constituir una infracción, por vulneración del artículo 13 del

RGPD, que establece la información que debe facilitarse al interesado en el momento

de recoger sus datos personales.

Se considera adecuado imponer una sanción de "APERCIBIMIENTO", por la violación

del artículo 13 del RGPD.

En cuanto a las cookies, se está penalizando -de acuerdo con la legislación española-,

los resultados se comunicarán posteriormente a las autoridades de control de los Estados

miembros que se hayan declarado interesados los temas.

Comunicaciones

Como autoridad de control principal, la AEPD presentará este proyecto de decisión a

las demás autoridades de control interesadas para recibir sus opiniones, de conformidad

con el artículo 60, apartado 3, del RGPD.

Asimismo, de acuerdo con el artículo 64, apartado 2, de la Ley Orgánica 3/2018, de 5

de diciembre, de Protección de Datos de Carácter Personal, el presente proyecto de

decisión será comunicado formalmente al responsable o encargado del tratamiento.

La adopción de este proyecto de decisión interrumpirá la prescripción de la infracción.

De acuerdo con lo dispuesto en el artículo 64, apartado 4, de la Ley Orgánica de Protección

de Datos y Garantía de los Derechos Digitales, los términos establecidos en

dicho artículo quedarán automáticamente suspendidos cuando deba recabarse información

, consulta, solicitud de asistencia o pronunciamiento preceptivo de una o varias

autoridades de otro Estado miembro conforme con lo dispuesto en el RGPD, por el

tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/26

Española de Protección de Datos.

Una vez analizados los comentarios presentados por las autoridades de control interesadas

, el proyecto de decisión de acuerdo de inicio del procedimiento sancionador se

notificará al responsable o encargado del tratamiento, cumpliendo con todos los requisitos

especificados en el artículo 68 de la mencionada Ley Orgánica.

Por último, de acuerdo con el artículo 112, apartado 1, de la Ley 39/2015, de 1 de octubre

, de Procedimiento Administrativo Común de la Administración Pública, no existe

derecho de recurso contra la presente Decisión. '

DÉCIMO: El 08/07/2020, la autoridad de control de Berlín presenta una serie de objeciones

a este proyecto de decisión revisado (A60RD 133963)

1. Contenido de terceros y corresponsabilidad

?Como se establece en nuestra segunda objeción relevante y motivada para el proyecto

de decisión revisado, hemos encontrado que el sitio web icmobel.de, carga contenida

de los siguientes servidores en una primera carga de la página de inicio:

[...]

Obviamente, la mayoría de ellos son terceros, por lo tanto, Furnishicon revela al menos

los datos personales "dirección IP" a terceros, muchos de ellos ubicados en terceros

países.

Al menos algunos de estos terceros, probablemente la mayoría, utilizan los datos personales

del visitante del sitio web proporcionados por Furnishicon para el seguimiento

y otros fines de marketing. Con respecto a la jurisprudencia del TJCE, al menos muchas

de estas inclusiones de contenido de terceros darán lugar a un control conjunto

entre la empresa que gestiona el sitio web (Furnishicon) y el proveedor externo.

Para su examen, en la sección 6 relativa a las "Condiciones del servicio de Google

Analytics" (https://marketingplatform.google.com/about/analytics/terms/us/ en inglés o

https://marketingplatform.google.com/about/analytics/terms/de/ en alemán), Google se

reserva el derecho de utilizar los datos personales de los usuarios del sitio web para

sus propios fines. Lo mismo se aplica a Yahoo Analytics (Yahoo Web-Analytics, ver

https://policies.yahoo.com/xa/en/yahoo/privacy/topics/analytics/in dex.htm en inglés o

https://policies.yahoo.com/ie/de/yahoo/privacy/topics/webanalytics/index.htm en alemán

). Twitter analytics y Twitter Audience son comparables al servicio Insights de Facek (referencia al TJCE, sentencia de 5 de junio de 2018 ? C-210/16 ? Wirtschaftsakademie Schleswig-Holstein).

Por lo tanto, Furnishicon también ha incumplido la segunda frase del artículo 26

(2) RGPD, y el artículo 44 RGPD (que será investigado por la LSA).

Desde el primer acceso al sitio web, se infringe el principio que debe existir antes del

tratamiento de datos (CEPD, Directrices 05/2020 sobre el consentimiento en virtud del

Reglamento 2016/679, considerando 90), ya que el "consentimiento" no puede legitimar

el tratamiento. Además, la redacción del "consentimiento" recogido posteriormen-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/26

te no cubre el tratamiento actual. Además, como se discutió en detalle en nuestra segunda

objeción relevante y motivada, el "consentimiento" no es válido, ya que no se

da de manera justa y el uso continuado de un sitio web no constituye un consentimientoválido. De hecho, tal consentimiento sería necesario al menos para:

(1) toda divulgación de la dirección IP y otros datos personales a terceros para los que

no se debe garantizar que no utilizarán los datos para sus propios fines y

(2) cualquier uso de técnicas que permitan retrasar la interacción del usuario.

Esto da lugar a una infracción del artículo 6, apartado 1, y del artículo 5, apartado 1,

letra a), del RGPD. '

2. Idioma y estructura de la política de privacidad

'La primera frase del artículo 12 (1) del RGPD requiere que se proporcione cualquier

información a la que se refieren el artículo 13 y el artículo 14 del RGPD de forma concisa

, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.

Como la AEPD afirma, la Política de privacidad es legible. Contiene una gran cantidad

de errores de gramática y ortografía, utiliza términos que no se corresponden con

los términos utilizados en el RGPD o en la ley Germana o en el idioma alemán cotidianoy

son totalmente inteligibles.

Además, la estructura de la Política de Privacidad es errónea. Por ejemplo, bajo el título

"cookies", también se ocupa de las redes sociales y los derechos de los interesados.

Fuera de la sección de Política de Privacidad, en los términos y condiciones, hay

una sección "Identidad del responsable (contacto)", que contiene las subsecciones

"Política de protección de menores" (que contiene una declaración no válida para todos

los usuarios menos) y "Enlaces a otros sitios web".

Por lo tanto, también se ha infringido la primera frase del artículo 12, apartado 1, del

RGPD».

3. Falta información sobre el derecho a obtener el tratamiento en virtud del

artículo 21 (2) del RGPD.

"Como la AEPD afirma, la Política de privacidad solo permite la modificación del derecho

de los interesados a obtener el tratamiento en virtud del Artículo 21 (1) RGPD (y

esto de una manera difícil). La Política de privacidad no menciona el derecho de los interesados

en virtud del artículo 21 (2) del RGPD y, por lo tanto, y al igual que sucede

con la información sobre el derecho de oposición del artículo 21 (1) del RGPD, es

errónea y engañosa.

Por lo tanto, Furnishicon también infringió el artículo 21 (4) del RGPD, que es

probable que impida a los interesados ejercer sus derechos de tratamiento con

fines de marketing directo"."

4. Obligación de aportar el número de identificación fiscal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/26

«En su segundo proyecto de decisión revisado, la AEPD menciona que Furnishicon

exige el DNI (obviamente como sinónimo del número de identificación fiscal que Furnishicon exige al demandante) incluso para facturas simplificadas sobre las que no

existe una base legal para ello, al igual que lo que indicamos en nuestro segundo objetivo

relevante y motivado.

Por lo tanto, Furnishicon también infringió el artículo 6 (1) y el art. 5 (1) (a) RGPD.'

5. Medidas propuestas

"La AEPD propone emitir un apercibimiento contra Furnishicon. Dado que Furnishicon

no ha cambiado sustancialmente su comportamiento ilegal, una amonestación no es

una medida aceptable.

Sugerimos que la Agencia Española de Protección de Datos ordene la adecuación al

RGPD. La Política de privacidad sobre iconmobel.de se explica de la misma manera

en la que se documenta en nuestro objeción relevante y motivada, que la AEPD, considera

una infracción del artículo 13 del RGPD y que, como se indicó anteriormente,

también infringe otras disposiciones de la RGPD. Aun así, cuando se construye el sitio

web iconmobel.de, aparece el mismo banner de cookies, que solo permite el uso del

sitio web de manera completa cuando el usuario hace clic en 'Acepto' ('Ich

akzeptiere'). El otro botón "Más información" (solo en inglés) enlaza con los términos y

condiciones generales, que también se enfrentan a la Política de Privacidad, pero no

hacen desaparecer el banner de cookies. No hay forma de refutar la configuración de

cookies excepto a través de la configuración del navegador. La redacción del consentimiento

recogido no cubre la interrupción de los datos personales mediante la integración

de contenido de terceros en el sitio web, y no existe otra base legal. Además,

como se discutió en detalle anteriormente, Furnisicon ha infringido muchas más disposiciones

del RGPD y todavía no lo ha solucionado.

Además, la infracción no puede considerarse menor porque la ilegalidad del traslado

de datos personales a terceros, sobre todo en terceros países, la falta de acuerdo e información

de conformidad con el artículo 26 del RGPD y la total falta de utilidad de la

Política de privacidad suponen una amenaza significativa para los derechos de protección

de datos de los interesados, afecta a la esencia misma de las obligaciones legales

en cuestión e indica un problema sistémico (253). La infracción fue intencional

(véase WP253 III.b)). Además, la infracción específica no se repara después de que

detecta, y no se ha subsanado hasta la fecha, y Furnishicon ha mantenido esta situación

, incluso después de que Furnishicon se hubiera dado cuenta de la ilegalidad de

sus acciones y la AEPD hubiera intervenido (véase WP253 III.c), (f)).

Como consecuencia de las objeciones planteadas, la AEPD ha preparado este proyecto

revisado de acuerdo para iniciar un procedimiento sancionador, con el fin de someterlo

al dictamen de las demás autoridades de control interesadas.

UNDECIMO: Con fecha 1 de julio de 2021, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la

presunta infracción del Artículo 6 del RGPD, Artículo 21 del RGPD, Artículo 13 del

RGPD, tipificada en el Artículo 83.5 del RGPD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/26

DUODECIMO: El acuerdo de inicio fue notificado electrónicamente a la denunciada.

Así lo exige el artículo 14.2 de la Ley 39/2015 de Procedimiento Administrativo Común

de las Administraciones Públicas (LPACAP) conforme al cual ?En todo caso estarán

obligados a relacionarse a través de medios electrónicos con las Administraciones

Públicas para la realización de cualquier trámite de un procedimiento administrativo, al

menos, los siguientes sujetos: a) Las personas jurídicas?.

Obra en el expediente el Certificado emitido por el Servicio de Notificaciones

Electrónicas y de Dirección Electrónica Habilitada de la FNMT-RCM, que deja

constancia del envío del acuerdo de inicio, notificación de la AEPD dirigida a

FURNISHYOURSPACE, S.L., a través de ese medio siendo la fecha de puesta a

disposición en la sede electrónica del organismo el 02/07/2021 y la fecha de rechazo

automático el 13/07/2021.

El artículo 43.2. de la LPACAP establece que cuando la notificación por medios

electrónicos sea de carácter obligatorio -como acontece en el presente caso- ?se

entenderá rechazada cuando hayan transcurrido diez días naturales desde la puesta a

disposición de la notificación sin que se acceda a su contenido.? (El subrayado es de la

AEPD)

Añadir que los artículos 41.5 y 41.1, párrafo tercero, de la LPACAP dicen,

respectivamente:

?Cuando el interesado o su representante rechace la notificación de una actuación

administrativa, se hará constar en el expediente especificándose las circunstancias del

intento de notificación y el medio, dando por efectuado el trámite y siguiéndose el

procedimiento.? (El subrayado es de la AEPD)

?Con independencia del medio utilizado, las notificaciones serán válidas siempre

que permitan tener constancia de su envío o puesta a disposición, de la recepción o

acceso por el interesado o su representante, de sus fechas y horas, del contenido

íntegro, y de la identidad fidedigna del remitente y del destinatario de la misma. La

acreditación de la notificación efectuadas se incorporará al expediente?.

Así pues, atendiendo a que la notificación del acuerdo de inicio a

FURNISHYOURSPACE, S.L., se efectuó electrónicamente por imperativo legal

(artículo 14 LPACAP) y de que se produjo el rechazo de la notificación transcurridos

diez días, tal y como dispone el artículo 43.2 de la precitada ley, el trámite se

consideró efectuado y el procedimiento siguió su curso (ex artículo 41.5 LPACAP)

DECIMOTERCERO: De conformidad con el artículo 73.1 de la LPCAP el plazo para

formular alegaciones al Acuerdo de Inicio es de diez días computados a partir del

siguiente al de la notificación.

El artículo 64.2. LPACAP, indica que se informará al denunciado del derecho a

formular alegaciones, del ?derecho a la audiencia en el procedimiento y de los plazos

para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en

el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser

considerado propuesta de resolución cuando contenga un pronunciamiento preciso

acerca de la responsabilidad imputada?. (El subrayado es de la AEPD)

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/26

El acuerdo de inicio del expediente sancionador que nos ocupa contenía un

pronunciamiento preciso sobre la responsabilidad de la entidad

FURNISHYOURSPACE, S.L.: en el citado acuerdo se concretaba cuál era conducta

infractora, el tipo sancionador en el que era subsumible, las circunstancias

modificativas de la responsabilidad descritas en los artículos 45.4 y 45.5 LOPD que se

estimaban concurrentes y el importe de la sanción que a juicio de la AEPD procedía

imponer.

En consideración a lo expuesto y de conformidad con lo establecido en el artículo

64.2.f) de la LPACAP, el acuerdo de inicio del PS/00462/2019 es considerado

Propuesta de Resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS

PRIMERO: Las páginas web ***URL.2; ***URL.1 y ***URL.3 proporcionan información

sobre:

- la identidad y los datos de contacto del responsable;

- el plazo durante el cual se conservarán los datos personales;

- sobre los derechos de los usuarios, (Derecho a acceder a su información personal

; Derecho a solicitar la corrección de información; Derecho a solicitar restringir

el tratamiento de sus datos; Derecho a objetar el tratamiento de sus datos

en determinadas circunstancias; Derecho de transferencia de sus datos;

Derecho a revocar el consentimiento y Derecho a presentar una queja ante una

autoridad de control española).

Sin embargo, se han identificado las siguientes deficiencias:

? En la página web ***URL.1, la identidad y los datos de contacto del

responsable se proporcionan bajo un título engañoso ("***TÍTULO.1", que

parece significar un propósito comercial).

? Los fines del tratamiento no están claramente establecidos, sino que solo

pueden derivarse de la información dada en otro contexto. La ley española

requiere que el responsable conserve algunos documentos que contienen

datos personales de los clientes con fines fiscales, y no se incluye esta

información.

? No se proporciona información sobre la base jurídica del tratamiento de los

datos personales.

? El período durante el cual se almacenarán los datos personales solo se

proporciona con respecto al "registro de clientes"; sin informar acerca del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/26

periodo de conservación de los datos personales de los clientes con fines

fiscales.

? Se menciona el derecho de los interesados a oponerse al tratamiento de datos

en virtud del artículo 21 , apartado 1, del RGPD, pero no se hace referencia al

derecho del interesado en virtud del artículo 21 , apartado 2, de que "Cuando

el tratamiento de datos personales tenga por objeto la mercadotecnia directa,

el interesado tendrá derecho a oponerse en cualquier momento al tratamiento

de los datos personales que le conciernan, incluida la elaboración de perfiles

en la medida en que se relacione con dicha comercialización".

? Se proporciona información sobre el derecho a presentar una reclamación ante

la Agencia Española de Protección de Datos, incluso si los usuarios son

ciudadanos o particulares en territorio alemán o francés. El artículo 13,

apartado 2, letra d), se refiere al "derecho a presentar una reclamación ante

una autoridad de control", lo que significa que la reclamación puede ser

presentada ante cualquier autoridad de control, no sólo ante la Agencia

Española de Protección de Datos.

? En el apartado "D-FACTURATION" de los "Términos y Condiciones", se

establece que "se generará una factura simplificada para el pedido una vez

que el pago haya sido aceptado y recibido siempre que el pedido total no

supere los 3.000 euros de acuerdo con la legislación vigente. Los pedidos

superiores a esta cantidad no pueden ser procesados si usted no notifica su

tarjeta de identificación o NIF", pero no se especifica si el facilitar esos datos

personales (en este caso NIF o CIF) es un requisito legal o contractual.

.

SEGUNDO: La política de privacidad en la página web ***URL.1 es de difícil lectura y

su estructura es confusa. Contiene una gran cantidad de errores gramaticales y

ortográficos y utiliza términos que no se corresponden con vocablos utilizados en el

idioma alemán cotidiano, en el derecho alemán o en el RGPD (siendo, por tanto,

completamente ininteligibles).

TERCERO: No existe información del derecho que asiste al interesado a oponerse al

tratamiento de datos cuando este tenga como fin la mercadotecnia directa y la

información presentada respecto al derecho a oponerse al tratamiento está redactada

de manera confusa, induciendo a un error a los interesados. Ello dificultaría a los

interesados su ejercicio del derecho a oponerse a tratamientos de datos con fines de

mercadotecnia directa.

CUARTO: FURNISHYOURSPACE, S.L., solicita que se proporcione un número de

identificación fiscal en orden a proceder a la emisión de la factura simplificada. El

responsable informa en su página web que se emitirá factura simplificada en

transacciones que no superen los 3.000 euros y que no podrán tramitarse pedidos que

superen dicha cantidad si no se proporciona un número de identificación fiscal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/26

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de

la Agencia Española de Protección de Datos es competente para resolver este

procedimiento.

II

El artículo 5 del RGPD relativo a los principios que han de regir el tratamiento de datos

personales menciona entre ellos el de transparencia. El apartado 1 del precepto dispone

: ?Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado

(«licitud, lealtad y transparencia»)?

Manifestación del principio de transparencia es la obligación que incumbe a los responsables

del tratamiento de informar, en los términos del artículo 13 del RGPD, al titular

de los datos personales cuando éstos se obtengan directamente del interesado:

?1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable

del tratamiento, en el momento en que estos se obtengan, le facilitará toda la

información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante

;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica

del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses

legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales,

en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un

tercer país u organización internacional y la existencia o ausencia de una decisión

de adecuación de la Comisión, o, en el caso de las transferencias indicadas

en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia

a las garantías adecuadas o apropiadas y a los medios para obtener

una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del

tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales

, la siguiente información necesaria para garantizar un tratamiento de datos

leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no

sea posible, los criterios utilizados para determinar este plazo;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

16/26

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso

a los datos personales relativos al interesado, y su rectificación o supresión, o

la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho

a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el

artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento

en cualquier momento, sin que ello afecte a la licitud del tratamiento basado

en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o

un requisito necesario para suscribir un contrato, y si el interesado está obligado

a facilitar los datos personales y está informado de las posibles consecuencias

de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información

significativa sobre la lógica aplicada, así como la importancia y las consecuencias

previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos

personales para un fin que no sea aquel para el que se recogieron, proporcionará

al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro

fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en

la medida en que el interesado ya disponga de la información.?

El artículo 5.1.a) del RGPD enuncia el principio de «licitud, lealtad y transparencia»,

principio en el que incide el Considerando 39: ?Todo tratamiento de datos personales

debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se

están recogiendo, utilizando, consultando o tratando de otra manera datos personales

que les conciernen, así como la medida en que dichos datos son o serán tratados. El

principio de transparencia exige que toda información y comunicación relativa al

tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se

utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la

información de los interesados sobre la identidad del responsable del tratamiento y los

fines del mismo y a la información añadida para garantizar un tratamiento leal y

transparente con respecto a las personas físicas afectadas y a su derecho a obtener

confirmación y comunicación de los datos personales que les conciernan que sean

objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos,

las normas, las salvaguardias y los derechos relativos al tratamiento de datos

personales, así como del modo de hacer valer sus derechos en relación con el

tratamiento. En particular, los fines específicos del tratamiento de los datos personales

deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.

[?]?

Por su parte, el Considerando 60 vincula el deber de información con el principio de

transparencia, al establecer que ?Los principios de tratamiento leal y transparente

exigen que se informe al interesado de la existencia de la operación de tratamiento y

sus fines. El responsable del tratamiento debe facilitar al interesado cuanta

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

17/26

información complementaria sea necesaria para garantizar un tratamiento leal y

transparente, habida cuenta de las circunstancias y del contexto específicos en que se

traten los datos personales. Se debe además informar al interesado de la elaboración

de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se

obtienen de los interesados, también se les deben informar si están obligados a

facilitarlos y de las consecuencias en caso de que no lo hicieran [?]?. En este orden,

el artículo 12.1 del RGPD regula las condiciones para asegurar su eficaz

materialización y el artículo 13 concreta qué información debe facilitarse cuando los

datos se obtengan del interesado.

El artículo 12.1 del RGPD establece que ?El responsable del tratamiento tomará las

medidas oportunas para facilitar al interesado toda información indicada en los

artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22

y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil

acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida

específicamente a un niño. La información será facilitada por escrito o por otros

medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el

interesado, la información podrá facilitarse verbalmente siempre que se demuestre la

identidad del interesado por otros medios.?

III

Una parte de la reclamación viene referida a la política de privacidad incluida en las

páginas web cuyo responsable es FURNISHYOURSPACE, S.L.

En relación a la transparencia, de acuerdo con lo manifestado por la autoridad de

control de Berlín, la política de privacidad en la página web ***URL.1, que está escrita

en alemán, es de difícil lectura. Contiene una gran cantidad de errores gramaticales y

ortográficos y utiliza términos que no se corresponden con vocablos utilizados en el

idioma alemán cotidiano, en el derecho alemán o en el RGPD (siendo, por tanto,

completamente ininteligibles).

Asimismo, la estructura de la política de privacidad es confusa, ya que, por ejemplo,

bajo el epígrafe de cookies también se hace referencia a redes sociales y derechos de

los interesados. Fuera del apartado de la política de privacidad, se encuentra un

apartado de ?Identidad del responsable? que lo que contiene son dos subsecciones

referidas a política de protección infantil y enlaces a otras webs.

En base a lo anterior, la política de privacidad vulnera el artículo 12.1 del RGPD

respecto al deber de proporcionar la información de forma concisa, transparente,

inteligible y de fácil acceso.

Respecto de la ?Política de Privacidad? incluida en las páginas web ***URL.2;

***URL.1 y ***URL.3 y en aplicación de lo estipulado en el artículo 13 del RGPD, se ha

constatado que, en ellas, se proporciona información sobre: la identidad y los datos de

contacto del responsable; el plazo durante el cual se conservarán los datos

personales; y sobre los derechos de los usuarios, (Derecho a acceder a su información

personal; Derecho a solicitar la corrección de información; Derecho a solicitar restringir

el tratamiento de sus datos; Derecho a objetar el tratamiento de sus datos en

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

18/26

determinadas circunstancias; Derecho de transferencia de sus datos; Derecho a

revocar el consentimiento y Derecho a presentar una queja ante una autoridad de

control española).

Sin embargo, se han identificado las siguientes deficiencias, ya recogidas en los

hechos probados:

? En la página web ***URL.1, la identidad y los datos de contacto del

responsable se proporcionan bajo un título engañoso ("***TÍTULO.1", que

parece significar un propósito comercial).

? Los fines del tratamiento no están claramente establecidos, sino que solo

pueden derivarse de la información dada en otro contexto. Además, la ley

española requiere que el responsable conserve algunos documentos que

contienen datos personales de los clientes con fines fiscales; falta esta

información.

? Se proporciona información sobre los fines del tratamiento al que están

destinados los datos personales (con algunas limitaciones, como se ha

mencionado), pero no sobre la base jurídica del mismo (artículo 13 (1) (c)).

? El período durante el cual se almacenarán los datos personales solo se

proporciona con respecto al "registro de clientes". Sin embargo, la ley española

requiere que el responsable conserve algunos documentos que contienen

datos personales de los clientes con fines fiscales; falta este período de

retención para este tratamiento.

? Se menciona el derecho de los interesados a oponerse al tratamiento de datos

en virtud del artículo 21 , apartado 1, del RGPD, pero no se hace referencia al

derecho del interesado en virtud del artículo 21 , apartado 2, de que "Cuando

el tratamiento de datos personales tenga por objeto la mercadotecnia directa,

el interesado tendrá derecho a oponerse en cualquier momento al tratamiento

de los datos personales que le conciernan, incluida la elaboración de perfiles

en la medida en que se relacione con dicha comercialización".

? Se proporciona información sobre el derecho a presentar una reclamación ante

la Agencia Española de Protección de Datos, incluso si los usuarios son

ciudadanos o particulares en territorio alemán o francés. El artículo 13,

apartado 2, letra d), se refiere al "derecho a presentar una reclamación ante

una autoridad de control", lo que significa que la reclamación puede ser

presentada ante cualquier autoridad de control, no sólo ante la Agencia

Española de Protección de Datos.

? En el apartado "D-FACTURATION" de los "Términos y Condiciones", se

establece que "se generará una factura simplificada para el pedido una vez

que el pago haya sido aceptado y recibido siempre que el pedido total no

supere los 3.000 euros de acuerdo con la legislación vigente. Los pedidos

superiores a esta cantidad no pueden ser procesados si usted no notifica su

tarjeta de identificación o NIF", pero no se especifica si el suministro de datos

personales (en este caso NIF o CIF) es un requisito legal o contractual, como

se establece en el artículo 13 (2) (e).

Así las cosas, los hechos conocidos son constitutivos de una infracción, imputable a la

reclamada, por vulneración del artículo 13 del RGPD, que establece la información que

se debe proporcionar al interesado en el momento de recogida de sus datos

personales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

19/26

La reclamada, en su condición de responsable del tratamiento, conforme al artículo 13

RGPD estaba obligada a incluir en sus páginas web, mediante las que recaba los datos

de terceros diversa información de la que ha prescindido total y absolutamente.

Las páginas web mediante las cuales que recaba datos personales vulnera el artículo

12 y el artículo 13 del RGPD, conducta que es subsumible en el artículo 83.5 del

RGPD que dispone: ?Las infracciones de las disposiciones siguientes se sancionarán

de acuerdo con el apartado 2, con multas administrativas de 20.000.000 de Eur como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo

del volumen de negocio total anual global del ejercicio financiero anterior, optándose

por la de mayor cuantía:

a) (...)

a) Los derechos de los interesados a tenor de los artículos 12 a 22;?

A los meros efectos de prescripción, el artículo 72.1.h) de la LOPDGDD califica de muy

grave ?La omisión del deber de informar al afectado acerca del tratamiento de sus datos

personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)

2016/679 y 12 de esta Ley Orgánica?. El plazo de prescripción de las infracciones muy

graves previsto en la LOPDGDD es de tres años.

IV

Derivado del hecho recogido en el Fundamento Jurídico II y III acerca de la falta de

información del derecho que asiste al interesado a oponerse al tratamiento de datos

cuando este tenga como fin la mercadotecnia directa y de que la información

presentada respecto al derecho a oponerse al tratamiento, en virtud del artículo 21.1,

está redactado de manera confusa, se estaría induciendo a un error a los interesados.

Lo anterior conlleva la consecuencia de dificultar a los interesados su ejercicio del

derecho a oponerse a tratamientos de datos con fines de mercadotecnia directa, y por

tanto se está infringiendo lo dispuesto en el artículo 21.4. que dispone que ?A más

tardar en el momento de la primera comunicación con el interesado, el derecho

indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será

presentado claramente y al margen de cualquier otra información?

Los hechos señalados son constitutivos de una infracción, imputable a la reclamada,

por vulneración del artículo 21 del RGPD, que establece el derecho a oponerse al

tratamiento de sus datos personales con fines de publicidad.

Por su parte, el artículo 72.1.k) de la LOPDGDD, considera muy grave, a efectos de

prescripción, ?El impedimento o la obstaculización o la no atención reiterada del

ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)

2016/679?

Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.

V

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

20/26

Como se ha señalado anteriormente, el artículo 5.1.a) el RGPD enuncia, como uno de

los principios relativos al tratamiento, la obligación de que los datos personales sean

tratados ?de manera lícita, leal y transparente en relación con el interesado (?licitud,

lealtad y transparencia?) y para que dicho tratamiento sea lícito, este deberá poderse

fundamentar en alguna de las bases legitimadoras que establece el RGPD en su

artículo 6.1:

?El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones

:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable

al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento

;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos

intereses no prevalezcan los intereses o los derechos y libertades fundamentales del

interesado que requieran la protección de datos personales, en particular cuando el interesado

sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento

realizado por las autoridades públicas en el ejercicio de sus funciones.?

En relación con lo anterior, la reclamación formulada por el interesado hacía referencia

a la solicitud, por parte de la mercantil, de la necesidad de proporcionar un número de

identificación fiscal en orden a proceder a la emisión de la factura. Teniendo en cuenta

que, tal y como informa el responsable en su página web, se emitirá factura

simplificada en transacciones que no superen los 3.000 euros y que no podrán

tramitarse pedidos que superen dicha cantidad si no se proporciona un número de

identificación fiscal, el hecho de que el pedido del interesado se hubiera tramitado sin

que fuera necesaria la aportación de ese número de identificación fiscal implicaría que

el interesado dispone del derecho a solicitar una factura simplificada sin que sea licito

requerirle el mencionado número identificativo para su emisión.

De acuerdo con lo anterior, la solicitud de un número de identificación fiscal realizada

carece de base legitimadora, lo que supone una infracción del artículo 6.1 y, en

consecuencia, del principio establecido en el artículo 5.1.a) del RGPD.

Por su parte, el artículo 72.1.b) de la LOPDGDD, considera muy grave, a efectos de

prescripción, ?El tratamiento de datos personales sin que concurra alguna de las

condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento

(UE) 2016/679?

Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

21/26

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.

VI

De conformidad con las evidencias de las que se dispone en el presente momento, se

considera que los hechos expuestos incumplen lo establecido en los artículos 5.1 a),

6.1, 12.1, 13 y 21.4 del RGPD, lo que supone la comisión de sendas infracciones

tipificadas en el artículo 83.5 del RGPD.

Las facultades correctoras de que dispone la Agencia Española de Protección de

Datos, como autoridad de control, se establecen en el artículo 58(2) del RGPD. Estos

incluyen el poder de dirigir una advertencia (artículo 58 (2) (b)), el poder de imponer

una multa administrativa en virtud del artículo 83 del RGPD ? artículo 58 (2) (i) ? o el

poder de ordenar al responsable o encargado que se asegure de que las operaciones

de tratamiento cumplen con las disposiciones del RGPD, cuando corresponda, de una

manera determinada y dentro de un plazo especificado ? Artículo 58.2 (d) -.

De acuerdo con el artículo 83 (2) del RGPD, la medida prevista en el artículo 58 (2) (d)

RGPD es compatible con la sanción en forma de multa administrativa.

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para

paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento,

habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud

de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

22/26

medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con el

mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de

certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o

indirectamente, a través de la infracción.?

Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD

dispone:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento

(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación

establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión

de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la

infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que

existan controversias entre aquellos y cualquier interesado.?

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las sanciones

de multa a imponer en el presente caso al reclamado, como responsable de

infracciones tipificadas en el artículo 83.5.a) y b) del RGPD, procede graduar la multa

que correspondería imponer por cada una de las infracciones imputadas.

Para la cuantificación de las multas por cada infracción, como circunstancia atenuante

de todas las infracciones, hemos de considerar que se trata de una pequeña empresa.

Y como circunstancias agravantes de las infracciones, debemos considerar los

siguientes:

1.Infracción por incumplimiento del artículo 12 y del artículo 13 del RGPD, tal como se

define en el artículo 83, apartado 5, letra b), del RGPD:

Se considera que se cumplen los siguientes criterios a tener en consideración:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

23/26

. La naturaleza, gravedad y duración de la infracción, ya que la falta de información

impide conocer en toda su extensión en qué consiste el tratamiento de datos

personales y lastra el ejercicio de los derechos por los interesados.

. El carácter continuo de la infracción.

. Elevado número de interesados, ya que se ven afectados todos aquellos que

acceden a las páginas y cuyos datos se tratan, de varios países de la UE.

A la luz de los factores anteriormente mencionados, la cuantía de la multa por esta

infracción es de 3.000 euros.

2.Infracción por incumplimiento del artículo 21 del RGPD, tal como se define en el

artículo 83, apartado 5, letra a), del RGPD:

Se considera que se cumplen los siguientes criterios a tener en cuenta:

. La naturaleza, la gravedad y la duración de la infracción, teniendo en cuenta la

naturaleza, el alcance o la finalidad de las operaciones de tratamiento de que se trate,

puesto que se impide efectivamente el ejercicio de un derecho a los interesados.

. El carácter continuo de la infracción;

A la luz de los factores anteriormente mencionados, la cuantía de la multa por esta

infracción es de 1.000 euros.

3.Infracción por incumplimiento del artículo 5, apartado 1, letra a), y del artículo 6,

apartado 1, del RGPD, tal como se define en el artículo 83, apartado 5, letra a), del

RGPD:

Se considera que se cumplen los siguientes criterios a tener en consideración:

. La naturaleza, la gravedad y la duración de la infracción, teniendo en cuenta la

naturaleza, el alcance o la finalidad de las operaciones de tratamiento de que se trate,

dado que la falta de legitimación en relación con la solicitud del número de

identificación fiscal imposibilita por sí misma el tratamiento de datos personales.

A la luz de los factores anteriormente mencionados, la cuantía de la multa por la

infracción es de 2.000 euros?

VII

De acuerdo con lo establecido en el artículo 58.2.d) del RGPD, cada autoridad de

control podrá ?ordenar al responsable o encargado del tratamiento que las

operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento,

cuando proceda, de una determinada manera y dentro de un plazo especificado??.

En este caso, considerando las circunstancias expresadas en relación con los defectos

apreciados, desde el punto de vista de la normativa de protección de datos, procede

requerir al responsable del tratamiento lo siguiente:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

24/26

? Alinear su política de privacidad con el artículo 12 del RGPD en términos de

concisión, transparencia e inteligibilidad, que en particular requiere el uso de

términos utilizados en la ley de protección de datos o al menos en un lenguaje

común y una estructura fácilmente comprensible que mencione cada información

bajo el título correcto;

? Alinear la información con el artículo 13 del RGPD, que en particular

requiere establecer claramente:

o Todos los fines perseguidos con el tratamiento, incluido el tratamiento

que el responsable está obligado a llevar a cabo por ley;

o El término durante el cual se conservarán los datos personales,

indicado de manera que no se deje ninguna duda sobre qué período de

conservación se aplica al tratamiento de qué datos y con qué finalidad;

o La base jurídica de cada tratamiento, indicada de manera que no deje

lugar a dudas sobre qué base jurídica se aplica al tratamiento de qué

datos y con qué finalidad;

o El derecho a oponerse al tratamiento con fines de mercadotecnia

directa;

o En qué circunstancias el cliente está obligado a proporcionar su número

de identificación fiscal y que esto se desprende de la legislación

española;

o Que de acuerdo con lo establecido en el artículo 13, apartado 2, letra

d), del RGPD, deben informar del derecho a presentar una reclamación

ante una autoridad de control.

? No solicitar el número de identificación fiscal de los clientes a menos que el

responsable haya obtenido un consentimiento válido para esto o esté obligado por

ley a tratar estos datos con el fin de incluirlos en una factura

Dar un plazo de tres meses a partir de la fecha de la publicación de la resolución para

cumplir las medidas anteriores.

Además, las medidas que puedan adoptarse en la decisión por la que se pone fin al

procedimiento, en relación con las actividades de tratamiento, la información facilitada

a los interesados y el ejercicio de los derechos, se aplicarán en todos los países de la

Unión Europea en los que opere la entidad requerida.

Se advierte que no atender los requerimientos de este organismo puede ser

considerado como una infracción administrativa grave al ?no cooperar con la Autoridad

de control? ante los requerimientos efectuados, pudiendo ser valorada tal conducta a la

hora de la apertura de un procedimiento administrativo sancionador con multa

pecuniaria.

Por lo tanto, de acuerdo con lo anteriormente expuesto, la Directora de la Agencia

Española de Protección de Datos RESUELVE:

PRIMERO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,

por una infracción de los artículos 12 y 13 del RGPD, tipificada en el artículo 83.5.b) y

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

25/26

calificada como muy grave a efectos de prescripción en el artículo 72.h) de la

LOPDGDD, con una multa por importe de 3.000 euros (tres mil euros).

SEGUNDO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,

por una infracción del artículo 21.4 del RGPD, tipificada en el artículo 83.5.b) y

calificada como muy grave a efectos de prescripción en el artículo 72.k) de la

LOPDGDD, con una multa por importe de 1.000 euros (mil euros).

TERCERO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,

por una infracción del artículo 5.1.a) y 6 del RGPD, tipificada en el artículo 83.5.a) y

calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la

LOPDGDD, con una multa por importe de 2.000 euros (dos mil euros).

CUARTO: Requerir a la entidad FURNISHYOURSPACE, S.L., con NIF B67094375,

para que, en el plazo de tres meses, adecúe a la normativa de protección de datos

personales las operaciones de tratamiento que realiza, la información ofrecida a sus

clientes, con el alcance expresado en el Fundamento de Derecho VII. Tal adecuación

deberá implantarse igualmente en todos los países del Espacio Económico Europeo

en los que FURNISHYOURSPACE opere.

QUINTO: NOTIFICAR la presente resolución a FURNISHYOURSPACE, S.L.,

SEXTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez

que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art.

98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario

establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real

Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de

diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de

procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia

Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso

contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

26/26

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-131120

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es