Inicio
Resoluciones
Resolución de la Agencia ...yo de 2023

Última revisión
01/09/2023

Resolución de la Agencia Española de Protección de Datos PS-00509-2022 de 08 de mayo de 2023

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 36 min

Órgano: Agencia Española de Protección de Datos

Fecha: 08/05/2023

Num. Resolución: PS-00509-2022

Cuestión

1 / 15

Expediente N.º: EXP202104693

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 04/11/2021 interpuso

reclamación...

Contestacion

1/15

? Expediente N.º: EXP202104693

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 04/11/2021 interpuso

reclamación ante la Agencia Española de Protección de Datos. La reclamación se

dirige contra ESTUDIO INMOBILIARIO SAN ISIDRO, S.L.U con NIF B87912846 (en

adelante el reclamado). Los motivos en que basa la reclamación son los siguientes:

- Que empleados del reclamado se han presentado en el domicilio de la

reclamante para promocionar sus servicios de alquiler o venta en relación con un

inmueble que es propiedad de su padre.

- La afectada les ha cuestionado sobre el origen de la información y su

vinculación con dicha vivienda, ya que, en ella, no hay ningún tipo de información

personal, ni de su padre ni suya (en el buzón, solo aparece el número y la letra de su

vivienda), y tampoco está a la venta. La empresa terminó admitiendo que su fuente es

el sitio web INGLOBALY (QUALITY-PROVIDER S.A.)

- La reclamante considera que la obtención de los datos se ha realizado de

manera ilegal, así como presenciarse en su domicilio para averiguar más datos sobre

su nexo con la vivienda que ha despertado su interés.

Se aporta:

- Hoja de reclamaciones ante la OMIC, cumplimentada por la afectada el

02/11/2021 y sellada por la empresa. En dicha hoja se recoge que, según los

trabajadores de ESTUDIO, ellos preguntan a los vecinos por los familiares para que

les faciliten los datos.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), el 19/11/2021 se dio traslado de dicha reclamación a la parte

reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo

de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos

en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP) mediante notificación electrónica,

no fue recogido por el responsable, dentro del plazo de puesta a disposición,

entendiéndose rechazada conforme a lo previsto en el art. 43.2 de la LPACAP en

fecha 30/11/2021, como consta en el certificado que obra en el expediente.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/15

Aunque la notificación se practicó válidamente por medios electrónicos,

dándose por efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la

LPACAP, a título informativo se envió una copia por correo postal que fue notificada

fehacientemente en fecha 15/12/2021. En dicha notificación, se le recordaba su

obligación de relacionarse electrónicamente con la Administración, y se le informaban

de los medios de acceso a dichas notificaciones, reiterando que, en lo sucesivo, se le

notificaría exclusivamente por medios electrónicos.

Trasladada la reclamación a QUALITY-PROVIDER S.A. (en lo sucesivo

QUALITY), en fecha 19/11/2021 y reiterada el 01/12/2021, se recibe en esta Agencia

escrito de respuesta el 26/01/2022 manifestando su representante que:

Por un lado, considera que ?la Agencia es incompetente para tramitar esta

reclamación, que se está gestionando con un procedimiento inadecuado. Alega que la

reciente Directiva (UE) 2019/1937 de 23 de octubre de 2019, relativa a la protección

de las personas que informen sobre infracciones del Derecho de la Unión (citan art.

2.1.a inciso x y letra J del Anexo Parte 1), ha modificado, entre otros, el RGPD, y que

crea un sistema de resolución de conflictos y simplificación administrativa diferente,

dejando obsoleta la LOPDGDD, que debería haberse adaptado a tal cambio.

Cualquier procedimiento relativo a protección de datos ha de efectuarse, a su modo de

ver, de conformidad con el procedimiento impuesto por la Directiva?. Citan la URL de

su buzón de denuncias, ***URL.1 (que está redactado únicamente en catalán).

Solicitan a la AEPD que se inhiba.

El artículo 2.1.a) y x) de la citada Directiva establece:

?Artículo 2. Ámbito de aplicación material

1. La presente Directiva establece normas mínimas comunes para la

protección de las personas que informen sobre las siguientes infracciones del Derecho

de la Unión:

a) Infracciones que entren dentro del ámbito de aplicación de los actos de la

Unión enumerados en el anexo relativas a los ámbitos siguientes:

(?)

x) protección de la privacidad y de los datos personales, y seguridad de las

redes y los sistemas de información?

El anexo Parte I en su letra J), detalla:

?J. Artículo 2, apartado 1, letra a), inciso x) ? Protección de la privacidad y de

los datos personales, y seguridad de las redes y los sistemas de información:

i) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio

de 2002, relativa al tratamiento de los datos personales y a la protección de la

intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la

privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37)

ii) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de

abril de 2016, relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119

de 4.5.2016, p. 1)?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/15

Si su petición a la AEPD es desestimada, el representante manifiesta que no se

aporta en el traslado fotocopia del DNI de la reclamante a efectos de poder

identificarla, impidiéndoles conocer fehacientemente de qué persona física o jurídica

se trata, y, por tanto, conocer de qué datos se trata. Requieren aportación de dicha

información. Citan párrafos del artículo 12, y de que, si no pueden conocer la identidad

del solicitante, no pueden cumplir con su petición.

Se comprueba que la Directiva no se aplica en este caso: su artículo 4. Ámbito

de aplicación personal especifica que se aplicará a los denunciantes que trabajen en el

sector privado o público y que hayan obtenido información sobre infracciones en un

contexto laboral, planteadas por trabajadores, accionistas, etc., relaciones laborales ya

finalizadas o aún no iniciadas - tipo de denuncia que la LOPDGDD aborda en su art.

24.

TERCERO: Con fecha 04/02/2022, de conformidad con el artículo 65 de la LOPDGDD,

se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

Realizados requerimientos de información a ESTUDIO y QUALITY en fechas

01/03/12022 y 01/04/2022, se recibe en esta Agencia escritos de respuesta tanto del

reclamado como de QUALITY el 18/04/2022.

- El representante de QUALITY reitera la incompetencia de la AEPD según la

Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de

2019, relativa a la protección de las personas que informen sobre infracciones del

Derecho de la Unión. Vuelven a citar el art. 2.1.a inciso x y Anexo Parte 1 letra J y lo

contestado al traslado y la referencia de nuevo a su canal de denuncias ***URL.1.

No obstante, en el caso de que esta alegación sea desestimada, formula las

siguientes alegaciones sobre la información requerida:

Reitera ?la imposibilidad de aportar información relativa a este expediente toda

vez que la reclamante no aporta fotocopia del documento nacional de identidad a los

efectos de poder identificarla, lo que impide conocer e identificar fehacientemente de

qué persona física o jurídica se trata y, por tanto, impide conocer de qué datos se

trata?.

Refiere ?que el propio artículo 12.2 del Reglamento (UE) 2016/679 (RGPD),

impone una cláusula de exención de responsabilidad a mi favor por no atender a la

petición de la persona interesada relativa a sus derechos derivados del RGPD. En

este sentido, el artículo 12.2 del RGPD estipula que el responsable del tratamiento no

podrá negarse a actuar a petición del interesado con el fin de ejercer sus derechos en

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/15

virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones

de identificar al interesado.

Asimismo, el artículo 12.6 del Reglamento (UE) 2016/679 recoge que, cuando

el responsable del tratamiento tenga dudas razonables en relación a la identidad de la

persona física solicitante o reclamante, podrá solicitarle que facilite la información

adicional necesaria para confirmar la identidad del interesado?.

Además ?viene a formular solicitud de acreditación e identificación de la persona

reclamante, solicitando a esta Agencia que requiera la aportación de la fotocopia

de su documento nacional de identidad, dando traslado del mismo a esta parte con el

fin de conocer y acreditar la identidad de la persona interesada en el expediente arriba

referenciado, al ostentar esta parte ciertas dudas sobre la identidad del reclamante?.

Alude que ?la procedencia de solicitar documentación acreditativa al solicitante

cuando existe una imposibilidad real de acreditar la identidad del reclamante también

viene impuesta y ha sido avalada por parte de la Agencia a la que me dirijo. Entre

otros, en el procedimiento de la AEPD núm. E/9130/2018, la Agencia archivó un procedimiento

sancionador al considerar que el responsable del tratamiento actuó adecuadamente

solicitando copia del DNI para poder atender la petición, en base a los artículos

12.1, 12.2 y 12.6 del RGPD relativos a la modalidad de ejercicio de los derechos

del interesado.

En dicho procedimiento, la Agencia concluyó que la postura del reclamado (el

cual había requerido DNI al solicitante y que se negó a facilitarlo) había sido ajustada

en su respuesta, al tratarse del ejercicio de un derecho personalísimo, no estimándose

que se hubiera producido infracción alguna en la normativa vigente de protección de

datos, tal y como ocurre en el presente supuesto. Y es que en los propios formularios

de la Agencia Española de Protección de Datos puede observarse un apartado en la

segunda página, cuya redacción expone:

?Será necesario aportar fotocopia del D.N.I. o documento equivalente que acredite

la identidad y sea considerado válido en derecho, en aquellos supuestos en que el

responsable tenga dudas sobre su identidad. En caso de que se actúe a través de representación

legal deberá aportarse, además, DNI y documento acreditativo de la representación

del representante.?

- El reclamado aporta la siguiente documentación:

- Respuesta al requerimiento.

Factura de 24/09/2021 de QUALITY con ESTUDIO LA ALHÓNDIGA, S.L. (en lo

sucesivo ESTUDIO LA ALHÓNDIGA) de un bono trimestral de 2.400 consultas en el

periodo: 24/09/2021 al 23/12/2021.

Copia de la hoja de reclamaciones presentada por la parte reclamante

El reclamado explica la relación de este con la mercantil ESTUDIO LA

ALHÓNDIGA en C/ ***DIRECCIÓN.1 28904 GETAFE, ***DIRECCIÓN.3 (España):

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/15

?Uno de los administradores solidarios de la segunda (D. B.B.B.con D.N.I. ***NIF.1)

fue trabajador de la primera entre enero y junio de 2018 previo a la apertura de su

agencia de la cual es administrador. Como compañero (compartimos marca aunque

sean dos sociedades franquiciadas e independientes) y antiguo empleado del

reclamado llegamos a un acuerdo privado y verbal entre ambas sociedades que

consiste en que cada año una de las sociedades contrata los servicios de QUALITY y

compartimos el acceso a su programa. De ahí a que la factura que adjuntamos está a

nombre de la sociedad ESTUDIO LA ALHÓNDIGA y no del reclamado.?

El reclamado explica su manera de contactar con la mayor parte de los

propietarios de las viviendas de las zonas en las que trabajan:

?Cada día (y cada mes pasamos una vez) los asesores van puerta por puerta

en cada portal entregando la revista de Tecnocasa (revista totalmente gratuita y que

acepta la mayoría de los vecinos). En el caso en cuestión, al no encontrar en la

vivienda de la calle ***DIRECCIÓN.2, de Getafe a nadie durante varios meses

consecutivos al preguntar por la propiedad de la misma a varios vecinos, estos nos

comentan que la propietaria que aparece en el registro (sacamos siempre una nota

simple informativa previa para verificar quién es la propiedad) ya había fallecido y que

el otro propietario que aparece en el registro está en (?). Que estos tenían una hija

que se llama C.C.C. y que vivía cerca de la Calle ***DIRECCIÓN.3 de Getafe.

Después, teniendo el nombre de la hija (aportado por varios vecinos) y los

apellidos de ambos progenitores accedimos al programa de QUALITY PROVIDER

S.A. y nos apareció una coincidencia en nombre y apellidos con una vivienda cercana

a la ubicación que nos habían dado previamente los vecinos de la finca y, en ese

momento, procedemos a intentar contactar con esta persona para verificar si ella

pudiera tener relación con la vivienda de la Calle ***DIRECCIÓN.2 y, si fuera el caso,

ofrecerle nuestros servicios en caso de que le pudieran ser de interés.

Sus datos en ningún momento han estado ni están en nuestra base de datos,

pues ella desde el primer momento nos dijo que no nos daba autorización para ello?.

El representante del reclamado explica el momento de la reclamación

interpuesta por la reclamante: ?Llama previamente al teléfono de la oficina (cuando

contactamos con ella en persona se le facilitó una tarjeta con los datos de la oficina

para poder verificar cómo habíamos conseguido llegar hasta ella) y nos dice que

quiere acudir a la misma para poner una reclamación.

Una vez en la oficina, se le intenta explicar la manera de llegar hasta ella, se le

demuestra que sus datos no aparecen en nuestra base pues no contamos con su

autorización y ella decide proceder a reclamar igualmente.?

No se ha podido recabar de los representantes la base jurídica para el

tratamiento realizado por ambas empresas reclamadas a partir de los datos de la

vivienda.

Mediante diligencia se ha incorporado la siguiente documentación:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/15

- Política de privacidad de QUALITY (INGLOBALY), el reclamado y

TECNOCASA

- Aviso legal de QUALITY (INGLOBALY) y TECNOCASA

Se ha comprobado que la Política de privacidad de QUALITY es la proporcionada

en el buzón de denuncias ***URL.1 según la Directiva (UE) 2019/1937.

La del franquiciado reclamado remite a las sociedades que integran las redes en

franquicia de las enseñas TECNOCASA, TECNORETE (intermediación inmobiliaria) y

KIRON (intermediación financiera), así como sus respectivas sociedades

franquiciadoras, FRANCHISING IBÉRICO TECNOCASA, S.A. (Tecnocasa/Tecnorete),

e IBERO KIRON FRANCHISING, S.L.U.(Kìron) que actuarán, en su caso, en calidad

de RESPONSABLE DEL TRATAMIENTO de los datos personales que se faciliten toda

vez que realicen efectivamente labores de tratamiento. El intercambio de información

entre los mencionados sujetos deviene obligatorio para realizar actividades de

intermediación a través de las citadas redes de franquicias, en caso contrario, la

prestación de los servicios podría resultar deficiente y/o imposible.

La de TECNOCASA es la misma Política de privacidad a la que se refiere el

franquiciado anterior.

QUINTO: Con fecha 25/01/2023, la Directora de la Agencia Española de Protección de

Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta

infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a) del citado RGPD.

SEXTO: Notificado el acuerdo de inicio, el reclamado al tiempo de la presente

resolución no ha presentado escrito de alegaciones, por lo que es de aplicación lo

señalado en el artículo 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento

Administrativo Común de las Administraciones Públicas, que en su apartado f)

establece que en caso de no efectuar alegaciones en el plazo previsto sobre el

contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de

resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad

imputada, por lo que se procede a dictar Resolución.

SEPTIMO: De las actuaciones practicadas en el presente procedimiento, han quedado

acreditados los siguientes:

HECHOS PROBADOS

PRIMERO. El 04/11/2021 tiene entrada en la AEPD escrito de la reclamante en el que

manifiesta que empleados del reclamado se han presentado en el domicilio de la

reclamante para promocionar sus servicios de alquiler o venta en relación con el

inmueble propiedad de su padre; la reclamante cuestionó dicha actuación ya que no

existe información alguna, ni de su padre ni de ella, relacionada con el inmueble; el

reclamado terminó admitiendo que su fuente es la web INGLOBALY y considera que la

obtención de los datos se ha realizado de manera ilegal.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/15

SEGUNDO. La reclamante ha aportado Hoja de reclamación ante la OMIC, Oficina

Municipal del Consumidor de Getafe, de fecha 02/11/2022, en la que se formulan las

manifestaciones del hecho anterior.

TERCERO. El reclamado, en escrito de 25/04/2022, ha aportado Factura nº

***FACTURA.1 de fecha 24/09/202125, emitida por Quality Provider, S.A. a

ESTUDIO LA ALHONDIGA, S.L. en concepto de Bono trimestral 2400 consultas por

importe de 96,80 paras el periodo 24/09/2021 a 23/12/2021

CUARTO: El reclamado ha manifestado su relación con ESTUDIO LA ALHONDIGA,

S.L. manifestando que: ?Uno de los administradores solidarios de la segunda (D.

B.B.B.con D.N.I. ***NIF.1) fue trabajador de la primera entre enero y junio de 2018

previo a la apertura de su agencia de la cual es administrador. Como compañero

(compartimos marca aunque sean dos sociedades franquiciadas e independientes) y

antiguo empleado del reclamado llegamos a un acuerdo privado y verbal entre ambas

sociedades que consiste en que cada año una de las sociedades contrata los servicios

de QUALITY y compartimos el acceso a su programa. De ahí a que la factura que

adjuntamos está a nombre de la sociedad ESTUDIO LA ALHÓNDIGA y no del

reclamado.?

Asimismo, ha señalado su forma de proceder en el presente caso: ??En el caso en

cuestión, al no encontrar en la vivienda de la calle ***DIRECCIÓN.2, de Getafe a nadie

durante varios meses consecutivos al preguntar por la propiedad de la misma a varios

vecinos, estos nos comentan que la propietaria que aparece en el registro (sacamos

siempre una nota simple informativa previa para verificar quién es la propiedad) ya

había fallecido y que el otro propietario que aparece en el registro está (?). Que estos

tenían una hija que se llama C.C.C. y que vivía cerca de la Calle ***DIRECCIÓN.3, de

Getafe.

Después, teniendo el nombre de la hija (aportado por varios vecinos) y los

apellidos de ambos progenitores accedimos al programa de QUALITY PROVIDER

S.A. y nos apareció una coincidencia en nombre y apellidos con una vivienda cercana

a la ubicación que nos habían dado previamente los vecinos de la finca y, en ese

momento, procedemos a intentar contactar con esta persona para verificar si ella

pudiera tener relación con la vivienda de la Calle ***DIRECCIÓN.2, y, si fuera el caso,

ofrecerle nuestros servicios en caso de que le pudieran ser de interés.

(?)?

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/15

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los

procedimientos tramitados por la Agencia Española de Protección de Datos se regirán

por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las

disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las

contradigan, con carácter subsidiario, por las normas generales sobre los

procedimientos administrativos."

II

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas, en su artículo 64 ?Acuerdo de iniciación en los

procedimientos de naturaleza sancionadora?, dispone:

?1. El acuerdo de iniciación se comunicará al instructor del procedimiento, con

traslado de cuantas actuaciones existan al respecto, y se notificará a los interesados,

entendiendo en todo caso por tal al inculpado.

Asimismo, la incoación se comunicará al denunciante cuando las normas

reguladoras del procedimiento así lo prevean.

2. El acuerdo de iniciación deberá contener al menos:

a) Identificación de la persona o personas presuntamente responsables.

b) Los hechos que motivan la incoación del procedimiento, su posible

calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que

resulte de la instrucción.

c) Identificación del instructor y, en su caso, Secretario del procedimiento, con

expresa indicación del régimen de recusación de los mismos.

d) Órgano competente para la resolución del procedimiento y norma que le

atribuya tal competencia, indicando la posibilidad de que el presunto

responsable pueda reconocer voluntariamente su responsabilidad, con los

efectos previstos en el artículo 85.

e) Medidas de carácter provisional que se hayan acordado por el órgano

competente para iniciar el procedimiento sancionador, sin perjuicio de las que

se puedan adoptar durante el mismo de conformidad con el artículo 56.

f) Indicación del derecho a formular alegaciones y a la audiencia en el

procedimiento y de los plazos para su ejercicio, así como indicación de que, en

caso de no efectuar alegaciones en el plazo previsto sobre el contenido del

acuerdo de iniciación, éste podrá ser considerado propuesta de resolución

cuando contenga un pronunciamiento preciso acerca de la responsabilidad

imputada.

3. Excepcionalmente, cuando en el momento de dictar el acuerdo de iniciación

no existan elementos suficientes para la calificación inicial de los hechos que motivan

la incoación del procedimiento, la citada calificación podrá realizarse en una fase

posterior mediante la elaboración de un Pliego de cargos, que deberá ser notificado a

los interesados?.

En aplicación del anterior precepto y teniendo en cuenta que no se han

formulado alegaciones al acuerdo de inicio, procede resolver el procedimiento iniciado.

III

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/15

Los hechos denunciados se materializan en el tratamiento de los datos de la

reclamante de manera ilegitima, considerando que la obtención de los mismos se ha

realizado de manera ilegal, lo que podría vulnerar la normativa en materia de

protección de datos de carácter personal.

El artículo 58 del RGPD, Poderes, señala:

?2. Cada autoridad de control dispondrá de todos los siguientes poderes

correctivos indicados a continuación:

(?)

i) imponer una multa administrativa con arreglo al artículo 83, además o en

lugar de las medidas mencionadas en el presente apartado, según las

circunstancias de cada caso particular;

(?)?

El artículo 6, Licitud del tratamiento, del RGPD en su apartado 1, establece

que:

?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas

precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable

del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre que

sobre dichos intereses no prevalezcan los intereses o los derechos y libertades

fundamentales del interesado que requieran la protección de datos personales,

en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al

tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones?.

Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11,

señala que:

?1) «datos personales»: toda información sobre una persona física identificada

o identificable («el interesado»); se considerará persona física identificable toda

persona cuya identidad pueda determinarse, directa o indirectamente, en particular

mediante un identificador, como por ejemplo un nombre, un número de identificación,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/15

datos de localización, un identificador en línea o uno o varios elementos propios de la

identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha

persona;

?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas

sobre datos personales o conjuntos de datos personales, ya sea por procedimientos

automatizados o no, como la recogida, registro, organización, estructuración,

conservación, adaptación o modificación, extracción, consulta, utilización,

comunicación por transmisión, difusión o cualquier otra forma de habilitación de

acceso, cotejo o interconexión, limitación, supresión o destrucción;

?11) «consentimiento del interesado»: toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante

una declaración o una clara acción afirmativa, el tratamiento de datos personales que

le conciernen?.

IV

Hay que señalar que el tratamiento de datos requiere la existencia de una base

legal que lo legitime.

De conformidad con el artículo 6.1 del RGPD, además del consentimiento,

existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de

contar con la autorización de su titular, en particular, cuando sea necesario para la

ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición

de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de

intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,

siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y

libertades fundamentales del afectado que requieran la protección de tales datos. El

tratamiento también se considera lícito cuando sea necesario para el cumplimiento de

una obligación legal aplicable al responsable del tratamiento, para proteger intereses

vitales del afectado o de otra persona física o para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al

responsable del tratamiento.

El reclamado ha señalado que accedieron a los datos de carácter personal a

través de Quality y procedieron a contactar para verificar si la reclamante tenía

relación con el inmueble pero que sus datos no han estado ni están en su base de

datos. No obstante, hay que señalar que tratamiento es cualquier operación realizada

sobre datos personales, ya sea por procedimientos automatizados o no, y el acceso a

los mismos constituye un tratamiento y no consta que el reclamado estuviera

acreditado para ello.

En el presente caso, no consta acreditada base de legitimación alguna de las

previstas en el artículo 6.1 del RGPD para el tratamiento de los datos personales de la

reclamante. En caso de que pudiera alegar la existencia de un interés legítimo del art.

6.1.e) RGPD, el reclamado no ha aportado ponderación de intereses que lo acredite.

V

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/15

La infracción que se le atribuye a la reclamada se encuentra tipificada en el

artículo 83.5 a) del RGPD, que considera que la infracción de ?los principios básicos

para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los

artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del mencionado

artículo 83 del citado Reglamento, ?con multas administrativas de 20.000.000? como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía?.

La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen

infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del

artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la

presente ley orgánica?.

Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones

consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

(?)

b) El tratamiento de datos personales sin que concurra alguna de las

condiciones de licitud del tratamiento establecidas en el artículo 6 del

Reglamento (UE) 2016/679.

(?)

VI

A fin de establecer la multa administrativa que procede imponer han de

observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que

señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias

de cada caso individual, a título adicional o sustitutivo de las medidas contempladas

en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate

así como el número de interesados afectados y el nivel de los daños y

perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento

para paliar los daños y perjuicios sufridos por los interesados;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/15

d) el grado de responsabilidad del responsable o del encargado del

tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan

aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del

tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso,

en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido

ordenadas previamente contra el responsable o el encargado de que se trate

en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos

de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.

En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su

artículo 76, ?Sanciones y medidas correctivas?, establece que:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)

2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la

sanción de multa a imponer en el presente caso por la infracción tipificada en el

artículo 83.5.a) y artículo 6.1 del RGPD de la que se responsabiliza al reclamado, en

una valoración inicial, se estiman concurrentes los siguientes factores:

Son circunstancias agravantes:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/15

- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido. Los hechos puestos de manifiesto afectan a un principio básico

relativo al tratamiento de los datos de carácter personal, como es el de legitimidad,

que la norma sanciona con la mayor gravedad; en cuanto a los perjuicios

causados, no hay que olvidar que nos encontramos ante un derecho fundamental

que el RGPD busca proteger a las personas físicas en lo que respecta al

tratamiento de sus datos personales, en atención a los riesgos que puede llegar a

generar dicho tratamiento. Y en cuanto al número de afectados, aunque solo existe

una reclamación habría que tener en cuenta el número de interesados

potencialmente afectados, puesto que en muchas ocasiones la infracción adopta

connotaciones «sistémicas» y, por lo tanto, puede afectar, incluso en diferentes

momentos, a otros interesados que no hayan presentado reclamaciones o informes

a la autoridad de control (artículo 83.2.a) del RGPD).

- La actividad de la entidad presuntamente infractora está vinculada con el

tratamiento de datos de carácter personal tanto de clientes como de terceros

(artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k).

- La intencionalidad o negligencia en la infracción. La conducta de la

reclamada adolece de una ?grave? falta de diligencia; forma parte de la diligencia

que es exigible y que es inherente a su actividad, que el reclamado constate que

posee la legitimación que dice exhibir y que le habilita efectivamente para tratar los

datos de su titular (artículo 83.2, b) del RGPD).

VII

Los poderes correctivos que el RGPD atribuye a la AEPD como autoridad de

control se relacionan en su artículo 58.2, apartados a) a j).

El artículo 83.5 del RGPD fija una sanción de multa administrativa (artículo

58.2.i) para las conductas que en él se tipifican, sin perjuicio de que, como dispone

el artículo 83.2 del RGPD, las multas administrativas puedan imponerse

juntamente con otras medidas correctivas previstas en el artículo 58.2 del RGPD.

Al haberse confirmado la infracción, procede imponer al responsable la

adopción de medidas adecuadas para ajustar su actuación a la normativa

mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2

d) del RGPD, según el cual cada autoridad de control podrá ?d) ordenar al

responsable o encargado del tratamiento que las operaciones de tratamiento se

ajusten a las disposiciones del presente Reglamento, cuando proceda, de una

determinada manera y dentro de un plazo especificado?.

En el presente caso, se requiere al reclamado para que en el plazo de un mes

a partir de la notificación de la presente resolución:

- Acredite la adopción de medidas para que no vuelvan a producirse

incidencias como la que dio lugar al procedimiento sancionador: la utilización de

datos de carácter personal sin concurrir base legitimadora alguna de las recogidas

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/15

en el artículo 6.1 del RGPD y que los tratamientos efectuados se ajustan a las

disposiciones del presente Reglamento.

Se advierte que no atender el requerimiento puede ser considerado como una

infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como

infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de

un ulterior procedimiento administrativo sancionador.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a ESTUDIO INMOBILIARIO SAN ISIDRO, S.L.U, con NIF

B87912846, por una infracción del artículo 6.1 del RGPD, tipificada en el artículo

83.5.a) del RGPD, una multa de 5.000 ? (cinco mil euros).

SEGUNDO: REQUERIR a ESTUDIO INMOBILIARIO SAN ISIDRO, S.L.U., para que,

en el plazo de un mes desde la notificación de esta resolución, acredite la adopción de

medidas para que no vuelvan a producirse incidencias como la que dio lugar al

procedimiento sancionador: la utilización de datos de carácter personal sin concurrir

base legitimadora alguna de las recogidas en el artículo 6.1 del RGPD.

TERCERO: NOTIFICAR la presente resolución a ESTUDIO INMOBILIARIO SAN

ISIDRO, S.L.U.

CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº IBAN: XXXX-XXXX-XXXX-XXXX-XXXX-XXXX (BIC/Código SWIFT:

XXXXXXXXXXX), abierta a nombre de la Agencia Española de Protección de Datos en

la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su

recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se

encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el

pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si

se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del

pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/15

Contra esta resolución, que pone fin a la vía administrativa conforme al art.

48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la

LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición

ante la Directora de la Agencia Española de Protección de Datos en el plazo de un

mes a contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la

LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa

si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este

hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,

presentándolo a través del Registro Electrónico de la Agencia

[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes

registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También

deberá trasladar a la Agencia la documentación que acredite la interposición efectiva

del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la

interposición del recurso contencioso-administrativo en el plazo de dos meses desde el

día siguiente a la notificación de la presente resolución, daría por finalizada la

suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es