Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00462-2019 de 31 de agosto de 2021
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 31/08/2021
Num. Resolución: PS-00462-2019
Cuestión
Sector:1 / 26
Procedimiento Nº: PS/00462/2019
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes:
ANTECEDENTES
PRIMERO : A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo
IMI), regulado...
Contestacion
1/26
? Procedimiento Nº: PS/00462/2019
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes:
ANTECEDENTES
PRIMERO: A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo
IMI), regulado por el Reglamento (UE) nº:1024/2012, del Parlamento Europeo y del
Consejo, de 25 de octubre de 2012, (Reglamento IMI), cuyo objetivo es favorecer la
cooperación administrativa transfronteriza, la asistencia mutua entre los Estados
miembros y el intercambio de información, se recibió en esta Agencia Española de
Protección de Datos (AEPD), el día 11/09/18, una reclamación formulada por un
interesado ante el Comisario de Protección de Datos y Libertad de Información de
Berlín- Hamburgo, (en adelante, SA Berlín).
El traslado de esta reclamación a la AEPD se realiza de conformidad con lo
establecido en el artículo 56 del Reglamento (UE) 2016/679, del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas
en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de
estos Datos (RGPD); teniendo en cuenta su carácter transfronterizo, esta Agencia es
competente para actuar como autoridad de control principal.
La citada reclamación se formula contra la página web ***URL.1 por falta de política de
privacidad y política de cookies. Además, el reclamante denuncia también que ?la
entidad se niega a emitir una factura a menos que aporte un número de identificación
fiscal?.
En la carta se afirmaba lo siguiente:
«Señoras y señores
Por la presente deseo presentar una queja ante la siguiente empresa:
***URL.1.
Falta de información de protección de datos o advertencias de cookies.
Además, la empresa se niega a emitir una factura después de mi compra a
menos que les dé un número de identificación fiscal.
Sospecho que las facturas se emiten solo bajo demanda y que la empresa está
tratando de evadir impuestos.
Con nuestros mejores deseos'
El reclamante no aporta ninguna documentación adicional ni pruebas de los hechos
denunciados.
La autoridad de control de Berlín identifica como responsable a la entidad
FURNISHICON S.L.U. con sede social en España, y señala que del proveedor
FURNISHCONCEPT S.L.U. dependen también las páginas webs ***URL.2 y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/26
***URL.3 .
Los tratamientos de datos que se llevan a cabo afectan a interesados en varios
Estados miembros. Según las informaciones incorporadas al Sistema IMI, de
conformidad con lo establecido en el artículo 56 del RGPD, se han declarado
interesadas en el presente procedimiento las autoridades de control de Renania del
Norte-Westfalia, Renania-Palatinado, Baja Sajonia, Sarre, Mecklenburgo-Pomerania
Occidental, Francia, Noruega e Italia.
SEGUNDO: A la vista de los hechos expuestos, la Subdirección General de Inspección
de Datos procedió a realizar actuaciones para su esclarecimiento en el expediente
E/1458/2019, al amparo de los poderes de investigación otorgados a las autoridades
de control en el artículo 57.1 del RGPD. Así, con fecha 04/08/19, se accedió a las
páginas web que pertenecen a FURNISHYOURSPACE, S.L. (CIF: B67094375), en las
que figura la política de privacidad accesible desde varios enlaces. También se
comprueba que las webs denunciadas tienen la opción de recopilar datos personales
para abrir una cuenta y realizar compras on-line. El informe de actuaciones previas de
inspección se emite el 09/04/2019.
Sobre la Política de Privacidad, se comprueba los siguientes hechos:
- A la política de privacidad de la página web en castellano, ***URL.2 , se accede
desde los links: ?Términos y Condiciones?; ?Política de Privacidad y Cookies? e ?Información
Legal?, situados en la parte inferior de la página.
- A la política de privacidad de la página web en alemán, ***URL.1 , se accede
desde los links: ?Geschäftsbedingungen?; ?Datenschutzerklärung?; ?Versandinformationen?
?Widerrufsrecht? y ?Reklamation?, situados en la parte inferior de la página.
- A la política de privacidad de la página web en francés, ***URL.3 se accede
desde los links: ?Termes et conditions?; ?Politique de Pretection de Données?; ?Droit de
rétractation? y ?Mentions légales?, situados en la parte inferior de la página.
La información que contiene la página que informa sobre la ?Política de Privacidad?,
tanto en la página web española, como en la página web alemana y como en la página
web francesa, es la misma en cualquiera de los tres idiomas. A continuación, se
trascribe la información en idioma castellano:
- IDENTIFICACIÓN.
De acuerdo con la obligación de información en virtud del artículo 10 de la Ley
34/2002, de 11 de julio, de los Servicios de la Sociedad de la Información y de Comercio
Electrónico, la información del operador que figura a continuación corresponde a la
página de inicio serca.es
Nombre de la empresa: FURNISHYOURSPACE SL
Ubicación: ***DIRECCIÓN.1
Teléfono: ***TELÉFONO.1
Correo electrónico: ***EMAIL.1
CIF: B67094375
- POLÍTICA DE PROTECCIÓN DE DATOS
De conformidad con el REGLAMENTO (UE) 2016/679 del Parlamento Europeo y del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/26
Consejo, de 27 de abril de 2016, sobre la protección de las personas con respecto al
tratamiento de datos personales y la libre circulación de esos datos y sus reglamentos
de aplicación, le informamos que la información que proporcionó, Los datos para el
procesamiento de pedidos, así como para la información solicitada sobre nuestros productos
y servicios, se utilizan para responder y procesar sus comentarios y sugerencias.
Recopilamos su información cuando se registra en nuestro sitio web o realiza un pedido
de nuestros productos o servicios. Si participa voluntariamente en encuestas de
clientes, proporciona comentarios y participa en licitaciones, se recopila información
sobre el cliente.
La información de uso del sitio web se almacena mediante cookies.
Almacenamos su dirección IP para diagnosticar problemas en nuestro servidor y administrar
el sitio web. Una dirección IP es un número asignado a su computadora cuando
utiliza Internet. Esto también se usa para reconocerlo durante una visita específica al
sitio web.
Para que la compra se lleve a cabo, se puede solicitar la siguiente información: nombre
y apellidos, dirección, correo electrónico, fecha de nacimiento, número de teléfono
y método de pago.
Después de completar los formularios de contacto del sitio web o enviar correos electrónicos
o cualquier otra solicitud para pasar información a Iconmöbel, el interesado da
su consentimiento expreso para el tratamiento de datos personales y para el envío de
mensajes publicitarios.
Sus datos serán tratados de forma confidencial por Iconmöbel y se utilizarán únicamente
para los fines mencionados anteriormente. Estos no serán divulgados a terceros
sin el previo consentimiento expreso del cliente. La excepción es el transportista,
que acepta el pedido. En este caso, solo lo recibirá el transportista que necesita, para
que él pueda procesar la logística de envío de los pedidos realizados. Dichos datos
solo son necesarios para el tratamiento (nombre, dirección de entrega y número de teléfono
para contactar). Los muebles de icono, a su vez, obligan a las empresas a cumplir
con lo requerido por el Reglamento de la UE 2016/679.
Iconmöbel se compromete a mantener el secreto profesional y tomar todas las medidas
técnicas y organizativas necesarias para garantizar la información de acuerdo con
los requisitos del Reglamento mencionado anteriormente.
Sus datos personales serán almacenados en nuestro registro de clientes durante dos
años. Sin embargo, puede revocar el acceso a los datos para su rectificación o eliminación
en cualquier momento, así como la revocación del tratamiento de los datos o
su transferibilidad.
El comprador autoriza el contacto por teléfono o correo electrónico sobre los datos del
cliente que ha proporcionado a Iconmöbel como una fuente de información sobre la orden
ejecutada por él.
El usuario es el único responsable de la exactitud y exactitud de la información proporcionada.
En el caso de la provisión de información falsa o de terceros sin su permiso
expreso, Iconmöbel se reserva el derecho de destruir la información de inmediato para
proteger el derecho del propietario real.
Con respecto a los datos, puede iniciar sesión en su cuenta por correo electrónico
para ejercer sus derechos. La solicitud debe ir acompañada de un documento de identificación
para que podamos estar seguros de que usted es el propietario. Entonces
tus derechos:
- Derecho a acceder a su información personal y a saber si estamos tratando o no su
información personal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/26
- Derecho a solicitar la corrección de información incorrecta o su eliminación si, entre
otras cosas, ya no es necesario para su propósito original.
- Derecho a solicitar restringir el tratamiento de sus datos. En este caso, estos solo se
almacenan para el ejercicio o defensa de reclamaciones.
- Derecho a objetar el tratamiento de sus datos en determinadas circunstancias y en
relación con su situación personal.
- Derecho de transferencia de sus datos.
- Derecho a revocar el consentimiento, sin el cual la revocación afecta la legalidad del
tratamiento de datos anterior que ha sido aprobado.
- Derecho a presentar una reclamación ante una autoridad de control. Si cree que se
han violado sus derechos durante el tratamiento de datos, tiene derecho a presentar
una queja ante la Agencia Española de Protección de Datos.
TERCERO: Con fecha 07/06/2019, la AEPD emite un proyecto de decisión donde
propone un archivo del procedimiento, al considerar que, en base a las actuaciones de
inspección practicadas, la política de privacidad en cuestión se adecuaba a lo
dispuesto en el RGPD, por lo que estimo que no se había vulnerado el artículo 13 del
RGPD.
CUARTO: El día 02/07/2019, la autoridad de control de Berlín remite un escrito en el
que afirmaba que el proyecto de decisión estaba incompleto. En síntesis, señala que la
política de privacidad no informa acerca de la base jurídica del tratamiento; que no se
proporciona información acerca de la incrustación de cookies de terceros al usar la
web y el usuario únicamente dispone de la opción de aceptarlas (incluso parece que
son instaladas con carácter previo a su aceptación) derivando la deshabilitación al
navegador; y finalmente, que el proyecto de decisión no hace referencia a la
reclamación efectuada de que el comprador hubiera solicitado el número de
identificación fiscal para emitir una factura.
QUINTO: El día 17/10/2019, la AEPD emite un primer proyecto de decisión revisado
en el que se señalan los apartados de la política de privacidad que hacen referencia a
la base jurídica del tratamiento, se proporciona determinada información acerca del
contenido que debe figurar en las facturas simplificadas, y se informa de que, respecto
al tema de cookies, se requerirá información al reclamado y podrá ser sancionado, en
su caso, de acuerdo con la normativa española.
En base a lo anterior, la AEPD consideró que no se había vulnerado el artículo 13 del
RGPD y propuso el archivo de las actuaciones.
SEXTO: Con fecha 01/11/19, la autoridad de control de Berlín formula objeciones al
proyecto de decisión revisado por los siguientes motivos:
? Existencia de diversas infracciones relacionadas con la información que se
debe proporcionar al interesado debido a que, de acuerdo con la política
de privacidad de la web ***URL.1 vigente el 29/10/2019:
o No se menciona la base jurídica del tratamiento. Esto supone una
infracción del artículo 13.1.c) del RGPD.
o La información sobre cookies es errónea e incompleta. Esto supondría
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/26
una infracción del artículo 13.1.a), c), e). f y 2.a) del RGPD (si los datos
se han obtenido del interesado) o del 14.1.a), c), e), f) y 2.a) del RGPD
(si los datos no se han obtenido del interesado).
o Una lista de terceros carga contenido en la página web, lo que supone
una comunicación de la dirección IP a esos terceros. Varios de estos
terceros usarían los datos para propósitos de marketing. Algunos de
estos terceros parecen estar radicados fuera del Espacio Económico
Europeo. No obstante, la política de privacidad no menciona a estos
terceros como posibles destinatarios de la comunicación de datos, sino
que señala que únicamente comunica datos a la empresa de transporte.
Tampoco informa de que se va a producir una transferencia
internacional de datos ni de la base jurídica para dicha transferencia.
Por tanto, se habría producido una infracción del artículo 13.1.a), c), e),
f) y 2.a) del RGPD (si los datos se han obtenido del interesado) o del
artículo 14.1.a), c), e), f) y 2.a) del RGPD (si los datos no se han
obtenido del interesado). Además, se habría producido una infracción
del artículo 26.2 y posiblemente del artículo 44.
o La política de privacidad es confusa y el lenguaje presenta errores
gramaticales y usa términos que no pertenecen a la lengua alemana
común. Esto supone una infracción del artículo 12.1 del RGPD en
relación con los artículos 13 y 14.
o La política de privacidad no menciona el derecho a oponerse al
tratamiento conforme al artículo 21.2 del RGPD (lo que supone una
vulneración del artículo 21.4) y solo hace referencia a la AEPD como
autoridad ante la que presentar una reclamación (infracción del artículo
13.2.d).
? La única forma de rechazar la instalación de cookies es a través de la
configuración del navegador. Por tanto, el consentimiento obtenido para
aceptar las cookies y el contenido de terceros es inválido, ya que no se ha
prestado libremente. Asimismo, el consentimiento recabado no cubre la
comunicación de datos a los terceros que cargan contenido en la web ni a
su uso para sus propios propósitos. Todo esto lleva a una infracción del
artículo 6 del RGPD.
? La autoridad de control de Berlín no está de acuerdo con que sea exigible
el número de identificación fiscal para la emisión de una factura
simplificada. Además, la información acerca de los requisitos para la
emisión de una factura solo aparece recogida de manera incongruente en
el apartado Términos y Condiciones de la política de privacidad. Esto
supondría una infracción del artículo 6 del RGPD.
OCTAVO: El día 03/06/2020, la AEPD adopta, de acuerdo con la Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digi-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/26
tales (en adelante, LOPDGDD o Ley Orgánica), un proyecto de acuerdo de inicio de
procedimiento sancionador por presunta vulneración del artículo 13 del RGPD.
NOVENO: El 26/06/2020, la AEPD emite un segundo proyecto de decisión revisado en
el que se comparte una síntesis del proyecto de acuerdo de inicio con el siguiente
contenido:
Resumen de la denuncia
La autoridad española recibió una reclamación contra Furnishicom,S.L.U., ya que en
el sitio web ***URL.1, propiedad de Furnishicom,S.L.U., en sus vistas en diferentes
idiomas, no incluye la información necesaria.
Competencia
Artículo 56, apartado 1, artículo 58 apartados 2 y 4 y artículo 60 del RGPD, y de
acuerdo con el artículo 48, apartado 1, y el artículo 64 de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos de Carácter Personal, la Directora de la autoridad
española tendrá competencia para:
ADOPCIÓN DE LA PRESENTE DECISIÓN REVISADA
Investigación de la autoridad de control española
En el sitio web se ha verificado que se recogen datos personales. En el sitio web español
se incluyen las Políticas de Privacidad, con otros contenidos como Términos y
Condiciones de uso, en una página desde la que se accede desde diferentes enlaces:
Tres en la sección de INFORMACIÓN y otros desde el banner de cookies.
Algo similar sucede en la página alemana, aunque en este caso se accede desde cinco
enlaces:
Condiciones
Política de privacidad
Información de envío
Retirada
Queja
Y de la página en francés desde otros cinco.
En relación con la información facilitada a los usuarios, se facilita información sobre:
? la identidad y los datos de contacto de la persona responsable
? Las finalidades del tratamiento al que están previstos los datos personales y la base
jurídica del tratamiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/26
? Los destinatarios o categorías de destinatarios de los datos personales
? el período durante el cual los datos personales estarán disponibles
? la existencia del derecho a solicitar el acceso al responsable del tratamiento de los
datos personales relativos al interesado, su rectificación, supresión, limitación de su
tratamiento, oposición, así como el derecho a la portabilidad de los datos. Y el derecho
a presentar una reclamación ante una autoridad de control.
Se incluirá un proyecto de decisión revisado en el sistema de intercambio de procedimientos
transfronterizos para los trabajos preparatorios, donde se incluirán las infracciones
del artículo 13 del RGPD, la no inclusión de una base legal para el tratamiento,
las diferencias en la cobertura de la política de privacidad, la información sobre el derecho
de oposición, la falta de información sobre la posibilidad de presentar reclamaciones
ante otras autoridades de control, y la solicitud de un DNI para facturas simplificadas.
En cuanto a las cookies, se está penalizando de acuerdo con nuestra legislación nacional.
Autoridades de supervisión interesadas
Se informará de este proyecto de decisión a las siguientes autoridades de supervisión:
? Pomerania Mecklemburgo-Occidental
? Francia
? Italia
? Baja Sajonia
? Rin-Westfalia del norte
? Noruega
? Renania-Palatinado
? Sarre
? Berlín
Norma supuestamente infringida
- Transparencia e información (artículo 13)
Proyecto de decisión sobre las medidas que han de adoptarse
Respecto a la "Política de Privacidad" del sitio web ***URL.2;***URL.1 y ***URL.3 y
en aplicación de lo dispuesto en el artículo 13 del RGPD, se han detectado las siguientes
anomalías:
? Se proporciona información sobre los fines del tratamiento de los datos personales,
pero no sobre la base legal del tratamiento (artículo 6.1 del RGPD).
? Según la Autoridad Alemana de Protección de Datos, la Política de Privacidad del
sitio web ***URL.1 contiene una gran cantidad de errores gramaticales y ortográficos.
Usa términos que no corresponden a los términos utilizados en el idioma alemán coti-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/26
diano y, por lo tanto, son totalmente inteligibles".
? En la Política de Privacidad, solo permite el derecho de los interesados a oponerse
al tratamiento de datos de acuerdo con el artículo 21.1 del RGPD pero no al tratamiento
de datos personales con fines de marketing directo, al derecho a obtener en cualquier
momento el tratamiento de datos personales.
? En el apartado ?Derecho a presentar una reclamación ante una autoridad de control?
se indica que: ?Si cree que sus derechos han sido vulnerados durante el tratamiento
de los datos, tiene derecho a presentar una reclamación ante la Agencia Española
de Protección de Datos", aunque los usuarios sean ciudadanos o se encuentren
en territorio alemán o francés.
En la sección 'D-INVIOSING' de la sección 'C-ENVÍOS/entregas' de la
Política de Privacidad se establece:"Furure Design generará una factura simplificada
con los pagos aceptados y recibidos siempre y cuando el pedido total no exceda los
3000 EUR de acuerdo con la legislación vigente. No será posible tramitar pedidos superiores
a esta cantidad si no se notifica el DNI o NIF", pero no se especifica que la
comunicación de datos personales (en este caso el NIF o CIF) sea un requisito legal o
contractual, según el artículo 13.2.e).
Estos hechos podrían constituir una infracción, por vulneración del artículo 13 del
RGPD, que establece la información que debe facilitarse al interesado en el momento
de recoger sus datos personales.
Se considera adecuado imponer una sanción de "APERCIBIMIENTO", por la violación
del artículo 13 del RGPD.
En cuanto a las cookies, se está penalizando -de acuerdo con la legislación española-,
los resultados se comunicarán posteriormente a las autoridades de control de los Estados
miembros que se hayan declarado interesados los temas.
Comunicaciones
Como autoridad de control principal, la AEPD presentará este proyecto de decisión a
las demás autoridades de control interesadas para recibir sus opiniones, de conformidad
con el artículo 60, apartado 3, del RGPD.
Asimismo, de acuerdo con el artículo 64, apartado 2, de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos de Carácter Personal, el presente proyecto de
decisión será comunicado formalmente al responsable o encargado del tratamiento.
La adopción de este proyecto de decisión interrumpirá la prescripción de la infracción.
De acuerdo con lo dispuesto en el artículo 64, apartado 4, de la Ley Orgánica de Protección
de Datos y Garantía de los Derechos Digitales, los términos establecidos en
dicho artículo quedarán automáticamente suspendidos cuando deba recabarse información
, consulta, solicitud de asistencia o pronunciamiento preceptivo de una o varias
autoridades de otro Estado miembro conforme con lo dispuesto en el RGPD, por el
tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/26
Española de Protección de Datos.
Una vez analizados los comentarios presentados por las autoridades de control interesadas
, el proyecto de decisión de acuerdo de inicio del procedimiento sancionador se
notificará al responsable o encargado del tratamiento, cumpliendo con todos los requisitos
especificados en el artículo 68 de la mencionada Ley Orgánica.
Por último, de acuerdo con el artículo 112, apartado 1, de la Ley 39/2015, de 1 de octubre
, de Procedimiento Administrativo Común de la Administración Pública, no existe
derecho de recurso contra la presente Decisión. '
DÉCIMO: El 08/07/2020, la autoridad de control de Berlín presenta una serie de objeciones
a este proyecto de decisión revisado (A60RD 133963)
1. Contenido de terceros y corresponsabilidad
?Como se establece en nuestra segunda objeción relevante y motivada para el proyecto
de decisión revisado, hemos encontrado que el sitio web icmobel.de, carga contenida
de los siguientes servidores en una primera carga de la página de inicio:
[...]
Obviamente, la mayoría de ellos son terceros, por lo tanto, Furnishicon revela al menos
los datos personales "dirección IP" a terceros, muchos de ellos ubicados en terceros
países.
Al menos algunos de estos terceros, probablemente la mayoría, utilizan los datos personales
del visitante del sitio web proporcionados por Furnishicon para el seguimiento
y otros fines de marketing. Con respecto a la jurisprudencia del TJCE, al menos muchas
de estas inclusiones de contenido de terceros darán lugar a un control conjunto
entre la empresa que gestiona el sitio web (Furnishicon) y el proveedor externo.
Para su examen, en la sección 6 relativa a las "Condiciones del servicio de Google
Analytics" (https://marketingplatform.google.com/about/analytics/terms/us/ en inglés o
https://marketingplatform.google.com/about/analytics/terms/de/ en alemán), Google se
reserva el derecho de utilizar los datos personales de los usuarios del sitio web para
sus propios fines. Lo mismo se aplica a Yahoo Analytics (Yahoo Web-Analytics, ver
https://policies.yahoo.com/xa/en/yahoo/privacy/topics/analytics/in dex.htm en inglés o
https://policies.yahoo.com/ie/de/yahoo/privacy/topics/webanalytics/index.htm en alemán
). Twitter analytics y Twitter Audience son comparables al servicio Insights de Facek (referencia al TJCE, sentencia de 5 de junio de 2018 ? C-210/16 ? Wirtschaftsakademie Schleswig-Holstein).
Por lo tanto, Furnishicon también ha incumplido la segunda frase del artículo 26
(2) RGPD, y el artículo 44 RGPD (que será investigado por la LSA).
Desde el primer acceso al sitio web, se infringe el principio que debe existir antes del
tratamiento de datos (CEPD, Directrices 05/2020 sobre el consentimiento en virtud del
Reglamento 2016/679, considerando 90), ya que el "consentimiento" no puede legitimar
el tratamiento. Además, la redacción del "consentimiento" recogido posteriormen-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/26
te no cubre el tratamiento actual. Además, como se discutió en detalle en nuestra segunda
objeción relevante y motivada, el "consentimiento" no es válido, ya que no se
da de manera justa y el uso continuado de un sitio web no constituye un consentimientoválido. De hecho, tal consentimiento sería necesario al menos para:
(1) toda divulgación de la dirección IP y otros datos personales a terceros para los que
no se debe garantizar que no utilizarán los datos para sus propios fines y
(2) cualquier uso de técnicas que permitan retrasar la interacción del usuario.
Esto da lugar a una infracción del artículo 6, apartado 1, y del artículo 5, apartado 1,
letra a), del RGPD. '
2. Idioma y estructura de la política de privacidad
'La primera frase del artículo 12 (1) del RGPD requiere que se proporcione cualquier
información a la que se refieren el artículo 13 y el artículo 14 del RGPD de forma concisa
, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
Como la AEPD afirma, la Política de privacidad es legible. Contiene una gran cantidad
de errores de gramática y ortografía, utiliza términos que no se corresponden con
los términos utilizados en el RGPD o en la ley Germana o en el idioma alemán cotidianoy
son totalmente inteligibles.
Además, la estructura de la Política de Privacidad es errónea. Por ejemplo, bajo el título
"cookies", también se ocupa de las redes sociales y los derechos de los interesados.
Fuera de la sección de Política de Privacidad, en los términos y condiciones, hay
una sección "Identidad del responsable (contacto)", que contiene las subsecciones
"Política de protección de menores" (que contiene una declaración no válida para todos
los usuarios menos) y "Enlaces a otros sitios web".
Por lo tanto, también se ha infringido la primera frase del artículo 12, apartado 1, del
RGPD».
3. Falta información sobre el derecho a obtener el tratamiento en virtud del
artículo 21 (2) del RGPD.
"Como la AEPD afirma, la Política de privacidad solo permite la modificación del derecho
de los interesados a obtener el tratamiento en virtud del Artículo 21 (1) RGPD (y
esto de una manera difícil). La Política de privacidad no menciona el derecho de los interesados
en virtud del artículo 21 (2) del RGPD y, por lo tanto, y al igual que sucede
con la información sobre el derecho de oposición del artículo 21 (1) del RGPD, es
errónea y engañosa.
Por lo tanto, Furnishicon también infringió el artículo 21 (4) del RGPD, que es
probable que impida a los interesados ejercer sus derechos de tratamiento con
fines de marketing directo"."
4. Obligación de aportar el número de identificación fiscal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/26
«En su segundo proyecto de decisión revisado, la AEPD menciona que Furnishicon
exige el DNI (obviamente como sinónimo del número de identificación fiscal que Furnishicon exige al demandante) incluso para facturas simplificadas sobre las que no
existe una base legal para ello, al igual que lo que indicamos en nuestro segundo objetivo
relevante y motivado.
Por lo tanto, Furnishicon también infringió el artículo 6 (1) y el art. 5 (1) (a) RGPD.'
5. Medidas propuestas
"La AEPD propone emitir un apercibimiento contra Furnishicon. Dado que Furnishicon
no ha cambiado sustancialmente su comportamiento ilegal, una amonestación no es
una medida aceptable.
Sugerimos que la Agencia Española de Protección de Datos ordene la adecuación al
RGPD. La Política de privacidad sobre iconmobel.de se explica de la misma manera
en la que se documenta en nuestro objeción relevante y motivada, que la AEPD, considera
una infracción del artículo 13 del RGPD y que, como se indicó anteriormente,
también infringe otras disposiciones de la RGPD. Aun así, cuando se construye el sitio
web iconmobel.de, aparece el mismo banner de cookies, que solo permite el uso del
sitio web de manera completa cuando el usuario hace clic en 'Acepto' ('Ich
akzeptiere'). El otro botón "Más información" (solo en inglés) enlaza con los términos y
condiciones generales, que también se enfrentan a la Política de Privacidad, pero no
hacen desaparecer el banner de cookies. No hay forma de refutar la configuración de
cookies excepto a través de la configuración del navegador. La redacción del consentimiento
recogido no cubre la interrupción de los datos personales mediante la integración
de contenido de terceros en el sitio web, y no existe otra base legal. Además,
como se discutió en detalle anteriormente, Furnisicon ha infringido muchas más disposiciones
del RGPD y todavía no lo ha solucionado.
Además, la infracción no puede considerarse menor porque la ilegalidad del traslado
de datos personales a terceros, sobre todo en terceros países, la falta de acuerdo e información
de conformidad con el artículo 26 del RGPD y la total falta de utilidad de la
Política de privacidad suponen una amenaza significativa para los derechos de protección
de datos de los interesados, afecta a la esencia misma de las obligaciones legales
en cuestión e indica un problema sistémico (253). La infracción fue intencional
(véase WP253 III.b)). Además, la infracción específica no se repara después de que
detecta, y no se ha subsanado hasta la fecha, y Furnishicon ha mantenido esta situación
, incluso después de que Furnishicon se hubiera dado cuenta de la ilegalidad de
sus acciones y la AEPD hubiera intervenido (véase WP253 III.c), (f)).
Como consecuencia de las objeciones planteadas, la AEPD ha preparado este proyecto
revisado de acuerdo para iniciar un procedimiento sancionador, con el fin de someterlo
al dictamen de las demás autoridades de control interesadas.
UNDECIMO: Con fecha 1 de julio de 2021, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la
presunta infracción del Artículo 6 del RGPD, Artículo 21 del RGPD, Artículo 13 del
RGPD, tipificada en el Artículo 83.5 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/26
DUODECIMO: El acuerdo de inicio fue notificado electrónicamente a la denunciada.
Así lo exige el artículo 14.2 de la Ley 39/2015 de Procedimiento Administrativo Común
de las Administraciones Públicas (LPACAP) conforme al cual ?En todo caso estarán
obligados a relacionarse a través de medios electrónicos con las Administraciones
Públicas para la realización de cualquier trámite de un procedimiento administrativo, al
menos, los siguientes sujetos: a) Las personas jurídicas?.
Obra en el expediente el Certificado emitido por el Servicio de Notificaciones
Electrónicas y de Dirección Electrónica Habilitada de la FNMT-RCM, que deja
constancia del envío del acuerdo de inicio, notificación de la AEPD dirigida a
FURNISHYOURSPACE, S.L., a través de ese medio siendo la fecha de puesta a
disposición en la sede electrónica del organismo el 02/07/2021 y la fecha de rechazo
automático el 13/07/2021.
El artículo 43.2. de la LPACAP establece que cuando la notificación por medios
electrónicos sea de carácter obligatorio -como acontece en el presente caso- ?se
entenderá rechazada cuando hayan transcurrido diez días naturales desde la puesta a
disposición de la notificación sin que se acceda a su contenido.? (El subrayado es de la
AEPD)
Añadir que los artículos 41.5 y 41.1, párrafo tercero, de la LPACAP dicen,
respectivamente:
?Cuando el interesado o su representante rechace la notificación de una actuación
administrativa, se hará constar en el expediente especificándose las circunstancias del
intento de notificación y el medio, dando por efectuado el trámite y siguiéndose el
procedimiento.? (El subrayado es de la AEPD)
?Con independencia del medio utilizado, las notificaciones serán válidas siempre
que permitan tener constancia de su envío o puesta a disposición, de la recepción o
acceso por el interesado o su representante, de sus fechas y horas, del contenido
íntegro, y de la identidad fidedigna del remitente y del destinatario de la misma. La
acreditación de la notificación efectuadas se incorporará al expediente?.
Así pues, atendiendo a que la notificación del acuerdo de inicio a
FURNISHYOURSPACE, S.L., se efectuó electrónicamente por imperativo legal
(artículo 14 LPACAP) y de que se produjo el rechazo de la notificación transcurridos
diez días, tal y como dispone el artículo 43.2 de la precitada ley, el trámite se
consideró efectuado y el procedimiento siguió su curso (ex artículo 41.5 LPACAP)
DECIMOTERCERO: De conformidad con el artículo 73.1 de la LPCAP el plazo para
formular alegaciones al Acuerdo de Inicio es de diez días computados a partir del
siguiente al de la notificación.
El artículo 64.2. LPACAP, indica que se informará al denunciado del derecho a
formular alegaciones, del ?derecho a la audiencia en el procedimiento y de los plazos
para su ejercicio, así como la indicación de que en caso de no efectuar alegaciones en
el plazo previsto sobre el contenido del acuerdo de iniciación éste podrá ser
considerado propuesta de resolución cuando contenga un pronunciamiento preciso
acerca de la responsabilidad imputada?. (El subrayado es de la AEPD)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/26
El acuerdo de inicio del expediente sancionador que nos ocupa contenía un
pronunciamiento preciso sobre la responsabilidad de la entidad
FURNISHYOURSPACE, S.L.: en el citado acuerdo se concretaba cuál era conducta
infractora, el tipo sancionador en el que era subsumible, las circunstancias
modificativas de la responsabilidad descritas en los artículos 45.4 y 45.5 LOPD que se
estimaban concurrentes y el importe de la sanción que a juicio de la AEPD procedía
imponer.
En consideración a lo expuesto y de conformidad con lo establecido en el artículo
64.2.f) de la LPACAP, el acuerdo de inicio del PS/00462/2019 es considerado
Propuesta de Resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS
PRIMERO: Las páginas web ***URL.2; ***URL.1 y ***URL.3 proporcionan información
sobre:
- la identidad y los datos de contacto del responsable;
- el plazo durante el cual se conservarán los datos personales;
- sobre los derechos de los usuarios, (Derecho a acceder a su información personal
; Derecho a solicitar la corrección de información; Derecho a solicitar restringir
el tratamiento de sus datos; Derecho a objetar el tratamiento de sus datos
en determinadas circunstancias; Derecho de transferencia de sus datos;
Derecho a revocar el consentimiento y Derecho a presentar una queja ante una
autoridad de control española).
Sin embargo, se han identificado las siguientes deficiencias:
? En la página web ***URL.1, la identidad y los datos de contacto del
responsable se proporcionan bajo un título engañoso ("***TÍTULO.1", que
parece significar un propósito comercial).
? Los fines del tratamiento no están claramente establecidos, sino que solo
pueden derivarse de la información dada en otro contexto. La ley española
requiere que el responsable conserve algunos documentos que contienen
datos personales de los clientes con fines fiscales, y no se incluye esta
información.
? No se proporciona información sobre la base jurídica del tratamiento de los
datos personales.
? El período durante el cual se almacenarán los datos personales solo se
proporciona con respecto al "registro de clientes"; sin informar acerca del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/26
periodo de conservación de los datos personales de los clientes con fines
fiscales.
? Se menciona el derecho de los interesados a oponerse al tratamiento de datos
en virtud del artículo 21 , apartado 1, del RGPD, pero no se hace referencia al
derecho del interesado en virtud del artículo 21 , apartado 2, de que "Cuando
el tratamiento de datos personales tenga por objeto la mercadotecnia directa,
el interesado tendrá derecho a oponerse en cualquier momento al tratamiento
de los datos personales que le conciernan, incluida la elaboración de perfiles
en la medida en que se relacione con dicha comercialización".
? Se proporciona información sobre el derecho a presentar una reclamación ante
la Agencia Española de Protección de Datos, incluso si los usuarios son
ciudadanos o particulares en territorio alemán o francés. El artículo 13,
apartado 2, letra d), se refiere al "derecho a presentar una reclamación ante
una autoridad de control", lo que significa que la reclamación puede ser
presentada ante cualquier autoridad de control, no sólo ante la Agencia
Española de Protección de Datos.
? En el apartado "D-FACTURATION" de los "Términos y Condiciones", se
establece que "se generará una factura simplificada para el pedido una vez
que el pago haya sido aceptado y recibido siempre que el pedido total no
supere los 3.000 euros de acuerdo con la legislación vigente. Los pedidos
superiores a esta cantidad no pueden ser procesados si usted no notifica su
tarjeta de identificación o NIF", pero no se especifica si el facilitar esos datos
personales (en este caso NIF o CIF) es un requisito legal o contractual.
.
SEGUNDO: La política de privacidad en la página web ***URL.1 es de difícil lectura y
su estructura es confusa. Contiene una gran cantidad de errores gramaticales y
ortográficos y utiliza términos que no se corresponden con vocablos utilizados en el
idioma alemán cotidiano, en el derecho alemán o en el RGPD (siendo, por tanto,
completamente ininteligibles).
TERCERO: No existe información del derecho que asiste al interesado a oponerse al
tratamiento de datos cuando este tenga como fin la mercadotecnia directa y la
información presentada respecto al derecho a oponerse al tratamiento está redactada
de manera confusa, induciendo a un error a los interesados. Ello dificultaría a los
interesados su ejercicio del derecho a oponerse a tratamientos de datos con fines de
mercadotecnia directa.
CUARTO: FURNISHYOURSPACE, S.L., solicita que se proporcione un número de
identificación fiscal en orden a proceder a la emisión de la factura simplificada. El
responsable informa en su página web que se emitirá factura simplificada en
transacciones que no superen los 3.000 euros y que no podrán tramitarse pedidos que
superen dicha cantidad si no se proporciona un número de identificación fiscal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/26
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de
la Agencia Española de Protección de Datos es competente para resolver este
procedimiento.
II
El artículo 5 del RGPD relativo a los principios que han de regir el tratamiento de datos
personales menciona entre ellos el de transparencia. El apartado 1 del precepto dispone
: ?Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado
(«licitud, lealtad y transparencia»)?
Manifestación del principio de transparencia es la obligación que incumbe a los responsables
del tratamiento de informar, en los términos del artículo 13 del RGPD, al titular
de los datos personales cuando éstos se obtengan directamente del interesado:
?1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable
del tratamiento, en el momento en que estos se obtengan, le facilitará toda la
información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante
;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales,
en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un
tercer país u organización internacional y la existencia o ausencia de una decisión
de adecuación de la Comisión, o, en el caso de las transferencias indicadas
en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia
a las garantías adecuadas o apropiadas y a los medios para obtener
una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales
, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/26
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso
a los datos personales relativos al interesado, y su rectificación o supresión, o
la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho
a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento
en cualquier momento, sin que ello afecte a la licitud del tratamiento basado
en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o
un requisito necesario para suscribir un contrato, y si el interesado está obligado
a facilitar los datos personales y está informado de las posibles consecuencias
de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará
al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro
fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en
la medida en que el interesado ya disponga de la información.?
El artículo 5.1.a) del RGPD enuncia el principio de «licitud, lealtad y transparencia»,
principio en el que incide el Considerando 39: ?Todo tratamiento de datos personales
debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se
están recogiendo, utilizando, consultando o tratando de otra manera datos personales
que les conciernen, así como la medida en que dichos datos son o serán tratados. El
principio de transparencia exige que toda información y comunicación relativa al
tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se
utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la
información de los interesados sobre la identidad del responsable del tratamiento y los
fines del mismo y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a obtener
confirmación y comunicación de los datos personales que les conciernan que sean
objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos,
las normas, las salvaguardias y los derechos relativos al tratamiento de datos
personales, así como del modo de hacer valer sus derechos en relación con el
tratamiento. En particular, los fines específicos del tratamiento de los datos personales
deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida.
[?]?
Por su parte, el Considerando 60 vincula el deber de información con el principio de
transparencia, al establecer que ?Los principios de tratamiento leal y transparente
exigen que se informe al interesado de la existencia de la operación de tratamiento y
sus fines. El responsable del tratamiento debe facilitar al interesado cuanta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/26
información complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en que se
traten los datos personales. Se debe además informar al interesado de la elaboración
de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se
obtienen de los interesados, también se les deben informar si están obligados a
facilitarlos y de las consecuencias en caso de que no lo hicieran [?]?. En este orden,
el artículo 12.1 del RGPD regula las condiciones para asegurar su eficaz
materialización y el artículo 13 concreta qué información debe facilitarse cuando los
datos se obtengan del interesado.
El artículo 12.1 del RGPD establece que ?El responsable del tratamiento tomará las
medidas oportunas para facilitar al interesado toda información indicada en los
artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22
y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño. La información será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se demuestre la
identidad del interesado por otros medios.?
III
Una parte de la reclamación viene referida a la política de privacidad incluida en las
páginas web cuyo responsable es FURNISHYOURSPACE, S.L.
En relación a la transparencia, de acuerdo con lo manifestado por la autoridad de
control de Berlín, la política de privacidad en la página web ***URL.1, que está escrita
en alemán, es de difícil lectura. Contiene una gran cantidad de errores gramaticales y
ortográficos y utiliza términos que no se corresponden con vocablos utilizados en el
idioma alemán cotidiano, en el derecho alemán o en el RGPD (siendo, por tanto,
completamente ininteligibles).
Asimismo, la estructura de la política de privacidad es confusa, ya que, por ejemplo,
bajo el epígrafe de cookies también se hace referencia a redes sociales y derechos de
los interesados. Fuera del apartado de la política de privacidad, se encuentra un
apartado de ?Identidad del responsable? que lo que contiene son dos subsecciones
referidas a política de protección infantil y enlaces a otras webs.
En base a lo anterior, la política de privacidad vulnera el artículo 12.1 del RGPD
respecto al deber de proporcionar la información de forma concisa, transparente,
inteligible y de fácil acceso.
Respecto de la ?Política de Privacidad? incluida en las páginas web ***URL.2;
***URL.1 y ***URL.3 y en aplicación de lo estipulado en el artículo 13 del RGPD, se ha
constatado que, en ellas, se proporciona información sobre: la identidad y los datos de
contacto del responsable; el plazo durante el cual se conservarán los datos
personales; y sobre los derechos de los usuarios, (Derecho a acceder a su información
personal; Derecho a solicitar la corrección de información; Derecho a solicitar restringir
el tratamiento de sus datos; Derecho a objetar el tratamiento de sus datos en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/26
determinadas circunstancias; Derecho de transferencia de sus datos; Derecho a
revocar el consentimiento y Derecho a presentar una queja ante una autoridad de
control española).
Sin embargo, se han identificado las siguientes deficiencias, ya recogidas en los
hechos probados:
? En la página web ***URL.1, la identidad y los datos de contacto del
responsable se proporcionan bajo un título engañoso ("***TÍTULO.1", que
parece significar un propósito comercial).
? Los fines del tratamiento no están claramente establecidos, sino que solo
pueden derivarse de la información dada en otro contexto. Además, la ley
española requiere que el responsable conserve algunos documentos que
contienen datos personales de los clientes con fines fiscales; falta esta
información.
? Se proporciona información sobre los fines del tratamiento al que están
destinados los datos personales (con algunas limitaciones, como se ha
mencionado), pero no sobre la base jurídica del mismo (artículo 13 (1) (c)).
? El período durante el cual se almacenarán los datos personales solo se
proporciona con respecto al "registro de clientes". Sin embargo, la ley española
requiere que el responsable conserve algunos documentos que contienen
datos personales de los clientes con fines fiscales; falta este período de
retención para este tratamiento.
? Se menciona el derecho de los interesados a oponerse al tratamiento de datos
en virtud del artículo 21 , apartado 1, del RGPD, pero no se hace referencia al
derecho del interesado en virtud del artículo 21 , apartado 2, de que "Cuando
el tratamiento de datos personales tenga por objeto la mercadotecnia directa,
el interesado tendrá derecho a oponerse en cualquier momento al tratamiento
de los datos personales que le conciernan, incluida la elaboración de perfiles
en la medida en que se relacione con dicha comercialización".
? Se proporciona información sobre el derecho a presentar una reclamación ante
la Agencia Española de Protección de Datos, incluso si los usuarios son
ciudadanos o particulares en territorio alemán o francés. El artículo 13,
apartado 2, letra d), se refiere al "derecho a presentar una reclamación ante
una autoridad de control", lo que significa que la reclamación puede ser
presentada ante cualquier autoridad de control, no sólo ante la Agencia
Española de Protección de Datos.
? En el apartado "D-FACTURATION" de los "Términos y Condiciones", se
establece que "se generará una factura simplificada para el pedido una vez
que el pago haya sido aceptado y recibido siempre que el pedido total no
supere los 3.000 euros de acuerdo con la legislación vigente. Los pedidos
superiores a esta cantidad no pueden ser procesados si usted no notifica su
tarjeta de identificación o NIF", pero no se especifica si el suministro de datos
personales (en este caso NIF o CIF) es un requisito legal o contractual, como
se establece en el artículo 13 (2) (e).
Así las cosas, los hechos conocidos son constitutivos de una infracción, imputable a la
reclamada, por vulneración del artículo 13 del RGPD, que establece la información que
se debe proporcionar al interesado en el momento de recogida de sus datos
personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/26
La reclamada, en su condición de responsable del tratamiento, conforme al artículo 13
RGPD estaba obligada a incluir en sus páginas web, mediante las que recaba los datos
de terceros diversa información de la que ha prescindido total y absolutamente.
Las páginas web mediante las cuales que recaba datos personales vulnera el artículo
12 y el artículo 13 del RGPD, conducta que es subsumible en el artículo 83.5 del
RGPD que dispone: ?Las infracciones de las disposiciones siguientes se sancionarán
de acuerdo con el apartado 2, con multas administrativas de 20.000.000 de Eur como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo
del volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
a) (...)
a) Los derechos de los interesados a tenor de los artículos 12 a 22;?
A los meros efectos de prescripción, el artículo 72.1.h) de la LOPDGDD califica de muy
grave ?La omisión del deber de informar al afectado acerca del tratamiento de sus datos
personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)
2016/679 y 12 de esta Ley Orgánica?. El plazo de prescripción de las infracciones muy
graves previsto en la LOPDGDD es de tres años.
IV
Derivado del hecho recogido en el Fundamento Jurídico II y III acerca de la falta de
información del derecho que asiste al interesado a oponerse al tratamiento de datos
cuando este tenga como fin la mercadotecnia directa y de que la información
presentada respecto al derecho a oponerse al tratamiento, en virtud del artículo 21.1,
está redactado de manera confusa, se estaría induciendo a un error a los interesados.
Lo anterior conlleva la consecuencia de dificultar a los interesados su ejercicio del
derecho a oponerse a tratamientos de datos con fines de mercadotecnia directa, y por
tanto se está infringiendo lo dispuesto en el artículo 21.4. que dispone que ?A más
tardar en el momento de la primera comunicación con el interesado, el derecho
indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será
presentado claramente y al margen de cualquier otra información?
Los hechos señalados son constitutivos de una infracción, imputable a la reclamada,
por vulneración del artículo 21 del RGPD, que establece el derecho a oponerse al
tratamiento de sus datos personales con fines de publicidad.
Por su parte, el artículo 72.1.k) de la LOPDGDD, considera muy grave, a efectos de
prescripción, ?El impedimento o la obstaculización o la no atención reiterada del
ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679?
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
V
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/26
Como se ha señalado anteriormente, el artículo 5.1.a) el RGPD enuncia, como uno de
los principios relativos al tratamiento, la obligación de que los datos personales sean
tratados ?de manera lícita, leal y transparente en relación con el interesado (?licitud,
lealtad y transparencia?) y para que dicho tratamiento sea lícito, este deberá poderse
fundamentar en alguna de las bases legitimadoras que establece el RGPD en su
artículo 6.1:
?El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones
:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable
al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o
de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el interesado
sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
En relación con lo anterior, la reclamación formulada por el interesado hacía referencia
a la solicitud, por parte de la mercantil, de la necesidad de proporcionar un número de
identificación fiscal en orden a proceder a la emisión de la factura. Teniendo en cuenta
que, tal y como informa el responsable en su página web, se emitirá factura
simplificada en transacciones que no superen los 3.000 euros y que no podrán
tramitarse pedidos que superen dicha cantidad si no se proporciona un número de
identificación fiscal, el hecho de que el pedido del interesado se hubiera tramitado sin
que fuera necesaria la aportación de ese número de identificación fiscal implicaría que
el interesado dispone del derecho a solicitar una factura simplificada sin que sea licito
requerirle el mencionado número identificativo para su emisión.
De acuerdo con lo anterior, la solicitud de un número de identificación fiscal realizada
carece de base legitimadora, lo que supone una infracción del artículo 6.1 y, en
consecuencia, del principio establecido en el artículo 5.1.a) del RGPD.
Por su parte, el artículo 72.1.b) de la LOPDGDD, considera muy grave, a efectos de
prescripción, ?El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento
(UE) 2016/679?
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/26
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
VI
De conformidad con las evidencias de las que se dispone en el presente momento, se
considera que los hechos expuestos incumplen lo establecido en los artículos 5.1 a),
6.1, 12.1, 13 y 21.4 del RGPD, lo que supone la comisión de sendas infracciones
tipificadas en el artículo 83.5 del RGPD.
Las facultades correctoras de que dispone la Agencia Española de Protección de
Datos, como autoridad de control, se establecen en el artículo 58(2) del RGPD. Estos
incluyen el poder de dirigir una advertencia (artículo 58 (2) (b)), el poder de imponer
una multa administrativa en virtud del artículo 83 del RGPD ? artículo 58 (2) (i) ? o el
poder de ordenar al responsable o encargado que se asegure de que las operaciones
de tratamiento cumplen con las disposiciones del RGPD, cuando corresponda, de una
manera determinada y dentro de un plazo especificado ? Artículo 58.2 (d) -.
De acuerdo con el artículo 83 (2) del RGPD, la medida prevista en el artículo 58 (2) (d)
RGPD es compatible con la sanción en forma de multa administrativa.
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/26
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD
dispone:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las sanciones
de multa a imponer en el presente caso al reclamado, como responsable de
infracciones tipificadas en el artículo 83.5.a) y b) del RGPD, procede graduar la multa
que correspondería imponer por cada una de las infracciones imputadas.
Para la cuantificación de las multas por cada infracción, como circunstancia atenuante
de todas las infracciones, hemos de considerar que se trata de una pequeña empresa.
Y como circunstancias agravantes de las infracciones, debemos considerar los
siguientes:
1.Infracción por incumplimiento del artículo 12 y del artículo 13 del RGPD, tal como se
define en el artículo 83, apartado 5, letra b), del RGPD:
Se considera que se cumplen los siguientes criterios a tener en consideración:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/26
. La naturaleza, gravedad y duración de la infracción, ya que la falta de información
impide conocer en toda su extensión en qué consiste el tratamiento de datos
personales y lastra el ejercicio de los derechos por los interesados.
. El carácter continuo de la infracción.
. Elevado número de interesados, ya que se ven afectados todos aquellos que
acceden a las páginas y cuyos datos se tratan, de varios países de la UE.
A la luz de los factores anteriormente mencionados, la cuantía de la multa por esta
infracción es de 3.000 euros.
2.Infracción por incumplimiento del artículo 21 del RGPD, tal como se define en el
artículo 83, apartado 5, letra a), del RGPD:
Se considera que se cumplen los siguientes criterios a tener en cuenta:
. La naturaleza, la gravedad y la duración de la infracción, teniendo en cuenta la
naturaleza, el alcance o la finalidad de las operaciones de tratamiento de que se trate,
puesto que se impide efectivamente el ejercicio de un derecho a los interesados.
. El carácter continuo de la infracción;
A la luz de los factores anteriormente mencionados, la cuantía de la multa por esta
infracción es de 1.000 euros.
3.Infracción por incumplimiento del artículo 5, apartado 1, letra a), y del artículo 6,
apartado 1, del RGPD, tal como se define en el artículo 83, apartado 5, letra a), del
RGPD:
Se considera que se cumplen los siguientes criterios a tener en consideración:
. La naturaleza, la gravedad y la duración de la infracción, teniendo en cuenta la
naturaleza, el alcance o la finalidad de las operaciones de tratamiento de que se trate,
dado que la falta de legitimación en relación con la solicitud del número de
identificación fiscal imposibilita por sí misma el tratamiento de datos personales.
A la luz de los factores anteriormente mencionados, la cuantía de la multa por la
infracción es de 2.000 euros?
VII
De acuerdo con lo establecido en el artículo 58.2.d) del RGPD, cada autoridad de
control podrá ?ordenar al responsable o encargado del tratamiento que las
operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento,
cuando proceda, de una determinada manera y dentro de un plazo especificado??.
En este caso, considerando las circunstancias expresadas en relación con los defectos
apreciados, desde el punto de vista de la normativa de protección de datos, procede
requerir al responsable del tratamiento lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/26
? Alinear su política de privacidad con el artículo 12 del RGPD en términos de
concisión, transparencia e inteligibilidad, que en particular requiere el uso de
términos utilizados en la ley de protección de datos o al menos en un lenguaje
común y una estructura fácilmente comprensible que mencione cada información
bajo el título correcto;
? Alinear la información con el artículo 13 del RGPD, que en particular
requiere establecer claramente:
o Todos los fines perseguidos con el tratamiento, incluido el tratamiento
que el responsable está obligado a llevar a cabo por ley;
o El término durante el cual se conservarán los datos personales,
indicado de manera que no se deje ninguna duda sobre qué período de
conservación se aplica al tratamiento de qué datos y con qué finalidad;
o La base jurídica de cada tratamiento, indicada de manera que no deje
lugar a dudas sobre qué base jurídica se aplica al tratamiento de qué
datos y con qué finalidad;
o El derecho a oponerse al tratamiento con fines de mercadotecnia
directa;
o En qué circunstancias el cliente está obligado a proporcionar su número
de identificación fiscal y que esto se desprende de la legislación
española;
o Que de acuerdo con lo establecido en el artículo 13, apartado 2, letra
d), del RGPD, deben informar del derecho a presentar una reclamación
ante una autoridad de control.
? No solicitar el número de identificación fiscal de los clientes a menos que el
responsable haya obtenido un consentimiento válido para esto o esté obligado por
ley a tratar estos datos con el fin de incluirlos en una factura
Dar un plazo de tres meses a partir de la fecha de la publicación de la resolución para
cumplir las medidas anteriores.
Además, las medidas que puedan adoptarse en la decisión por la que se pone fin al
procedimiento, en relación con las actividades de tratamiento, la información facilitada
a los interesados y el ejercicio de los derechos, se aplicarán en todos los países de la
Unión Europea en los que opere la entidad requerida.
Se advierte que no atender los requerimientos de este organismo puede ser
considerado como una infracción administrativa grave al ?no cooperar con la Autoridad
de control? ante los requerimientos efectuados, pudiendo ser valorada tal conducta a la
hora de la apertura de un procedimiento administrativo sancionador con multa
pecuniaria.
Por lo tanto, de acuerdo con lo anteriormente expuesto, la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,
por una infracción de los artículos 12 y 13 del RGPD, tipificada en el artículo 83.5.b) y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/26
calificada como muy grave a efectos de prescripción en el artículo 72.h) de la
LOPDGDD, con una multa por importe de 3.000 euros (tres mil euros).
SEGUNDO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,
por una infracción del artículo 21.4 del RGPD, tipificada en el artículo 83.5.b) y
calificada como muy grave a efectos de prescripción en el artículo 72.k) de la
LOPDGDD, con una multa por importe de 1.000 euros (mil euros).
TERCERO: Sancionar a la entidad FURNISHYOURSPACE, S.L., con CIF B67094375,
por una infracción del artículo 5.1.a) y 6 del RGPD, tipificada en el artículo 83.5.a) y
calificada como muy grave a efectos de prescripción en el artículo 72.1.b) de la
LOPDGDD, con una multa por importe de 2.000 euros (dos mil euros).
CUARTO: Requerir a la entidad FURNISHYOURSPACE, S.L., con NIF B67094375,
para que, en el plazo de tres meses, adecúe a la normativa de protección de datos
personales las operaciones de tratamiento que realiza, la información ofrecida a sus
clientes, con el alcance expresado en el Fundamento de Derecho VII. Tal adecuación
deberá implantarse igualmente en todos los países del Espacio Económico Europeo
en los que FURNISHYOURSPACE opere.
QUINTO: NOTIFICAR la presente resolución a FURNISHYOURSPACE, S.L.,
SEXTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez
que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art.
98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de
procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/26
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-131120
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es