Última revisión
27/10/2023
Resolución de la Agencia Española de Protección de Datos PS-00517-2022 de 06 de octubre de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 66 min
Órgano: Agencia Española de Protección de Datos
Fecha: 06/10/2023
Num. Resolución: PS-00517-2022
Cuestión
1 / 27Expediente N.º: EXP202205448
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: D. A.A.A. (en adelante el reclamante) con fecha 20/04/2022 interpuso...
Contestacion
1/27
? Expediente N.º: EXP202205448
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: D. A.A.A. (en adelante el reclamante) con fecha 20/04/2022 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra QUALITY-PROVIDER S.A. (INGLOBALY), con NIF A87407243 (en
adelante el reclamado). Los motivos en que basa la reclamación son los siguientes: el
reclamante manifiesta que fue contactado telefónicamente por la oficina inmobiliaria
"Tecnocasa" en la localidad de Collado Villalba contacta telefónicamente con él, con
referencia a sus datos: nombre, apellidos, teléfono, dirección y titularidad de vivienda
sin que se los haya comunicado ni haber autorizado expresamente a ningún tercero a
cedérselos; al consultar cómo han obtenido esos datos me confirman que es a través
de Inglobaly; que solicitó a Inglobaly conocer de qué datos personales disponían y la
cancelación de los mismos, siendo su respuesta que debía remitirles copia del DNI
para proceder a la cancelación, considerando improcedente dicha respuesta; además,
manifiesta que se ha producido la difusión de esos datos a terceros sin su
consentimiento expreso.
Aporta copia de los correos intercambiados con el reclamado.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación al, para que procediese a
su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas
a cabo para adecuarse a los requisitos previstos en la normativa de protección de
datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 12/05/2022 como consta en el
acuse de recibo que obra en el expediente.
En su respuesta el reclamado ha señalado la inadecuación del procedimiento iniciado
y la incompetencia de la AEPD para la tramitación del presente expediente.
TERCERO: Con fecha 12/05/2022, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
2/27
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:
El 07/06/2022 se solicita al reclamado que en el plazo de diez días hábiles presente la
siguiente información relativa al reclamante.
1. Relación completa de los datos de que disponen del afectado.
2. Origen de cada uno de los datos, detallando el consentimiento o la habilitación legal
de que disponen para realizar tratamientos, así como la fecha en que fueron
recabados
3. Detalle de las cesiones o comunicaciones de datos a terceras entidades, indicando
para cada cesión, la fecha en que se realiza, el consentimiento del titular de los datos
o la habilitación legal.
Detalle de las cesiones de datos realizadas a TECNOCASA en Collado Villalba de los
datos personales del reclamante, aportando:
? Fecha en que se realizó la comunicación de datos a TECNOCASA
? Contrato, factura o documentación que permita acreditar el acuerdo
comercial para la cesión de los datos del reclamante
? Conjunto de datos comunicados a TECNOCASA
? Información facilitada al titular de los datos que ampare la referida
comunicación de datos
? Consentimiento o habilitación legal del afectado para la cesión de sus datos
a TECNOCASA.
En la respuesta recibida, el reclamado reitera que existe una inadecuación del
procedimiento iniciado, así como una manifiesta incompetencia de la Agencia
Española de Protección de Datos para la tramitación del presente procedimiento en
virtud de lo estipulado por la Directiva (UE) 2019/1937, del Parlamento Europeo y del
Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que
informen sobre infracciones del Derecho de la Unión, la cual entró en vigor el
17/12/2019 y solicita que la AEPD se declare incompetente y se inhiba de la
tramitación del presente expediente.
Además, alegan que la entidad se encuentra imposibilitada para aportar
información relativa a este expediente toda vez que el reclamante no aporta fotocopia
del documento nacional de identidad a los efectos de poder identificarle, lo que impide
conocer e identificar fehacientemente de qué persona física o jurídica se trata y, por
tanto, impide conocer de qué datos se trata.
Solicitan a la Agencia que requiera al reclamante la aportación de la fotocopia
del documento nacional de identidad, dando traslado del mismo a la entidad con el fin
de conocer y acreditar la identidad de la persona interesada en el expediente, al
ostentar
dudas sobre la identidad del reclamante.
Ante la falta de respuesta a las cuestiones planteadas en fecha 16/08/2022 se
requirió nuevamente a la entidad avisando claramente que en las anteriores
contestaciones no se considera que haya dado respuesta a la información requerida y
destacando que el responsable y el encargado del tratamiento de los datos de carácter
3/27
personal tienen la obligación de facilitar los documentos, informaciones y cualquier
otra colaboración que se precise para realizar la función de inspección.
La respuesta al requerimiento recibida en fecha 24/08/2022 es idéntica a la
anterior manteniendo sus argumentos relativos a la incompetencia de la Agencia de
Protección de Datos y a su negativa a facilitar información por la falta del DNI del
reclamante.
En el marco del AI-55-2023, con fecha 15/03/2023 se han personado dos
inspectores de la Agencia Española de Protección de Datos en la sede social de la
entidad reclamada, ubicada en la ***DIRECCION.1 al objeto de realizar una
inspección.
Se consulta previamente por dos ocasiones al portero de la finca que informa a
los inspectores que la reclamada se ubica en el piso 5º izquierda.
Una vez en la citada dirección se encuentran con dos recepcionistas y una
persona que no se identifica ante los inspectores.
En el mostrador de la recepción figura el nombre RAHEEM GL y la referida
persona informa que no tiene nada que ver con la reclamada, aunque el lugar en que
se encuentran los inspectores alquila oficinas para eventos a diferentes empresas,
entre las que se encuentra la reclamada.
Se consulta cada cuanto tiempo mantienen reuniones en estas salas
informando de forma imprecisa que cada varios meses.
Se comunica al interlocutor que la entidad reclamada ha sido notificada en
fecha 8 de marzo a las 11:44 mediante una llamada telefónica al número
***TELEFONO.1, y como respuesta indica que a la reclamada le han comunicado que
se han puesto en contacto con la Agencia Española de Protección de Datos para
cancelar la inspección, sin que conste llamada ni correo alguno.
Se solicita un teléfono de contacto y una sede social de la entidad reclamada
negándose a dar ningún dato para no perjudicar a su supuesto cliente, tan solo se
limita a informar que están en Alicante, pero sin precisar municipio ni domicilio.
Ante la negativa a facilitar ningún tipo de información ni identificar la empresa
cuya sede social está en la dirección ***DIRECCION.1, los inspectores actuantes
abandonan el local.
Se ha enviado por correo certificado a la misma dirección un aviso de
inspección con el objeto de que representantes de la entidad atiendan apropiadamente
a los inspectores de la Agencia, habiendo recibido como respuesta:
?Por consiguiente, tanto el Administrador de la sociedad, como el Dpto. Jurídico
de esta empresa procederán a asistir a la convocatoria del día 27 de Marzo del 2023 a
las 10h., en nuestro domicilio social de Calle Goya 18, NO PERMITIREMOS LA
ENTRADA AL DOMICILIO LOS INSPECTORES DE LA AEPD?
4/27
Se percibe claramente una actitud obstruccionista a la actuación inspectora de
los funcionarios de la Agencia, por lo que se siguen las actuaciones correspondientes
en relación con la citada conducta en el procedimiento PS/00204/2023.
.
El 15/02/2023 se requirió a las entidades Estudio Villalba Antique, S.L.(en lo
sucesivo EVA), Estudio Nuevo Villalba, S.L.U., Estudio Villalba Estación, S.L.U., y
Estudio Villalba 2017, S.L. para que dieran respuesta a las siguientes cuestiones:
- Denominación social y CIF de su entidad
- Toda la documentación que justifique la compra o cesión de datos a
INGLOBALY y/o QUALITY PROVIDER.
- Copia de los datos adquiridos de D. A.A.A. con NIF ?
- Tratamientos realizados con dichos datos
- Relación de llamadas realizadas a D. A.A.A.
EVA respondía el 15/03/2023 señalando que:
- Denominación social: Estudio Villalba Antique, S.L. y CIF: B88080031
- Adjuntaba factura de los servicios de información contratados con QUALITY
PROVIDER.
- Señalaba que: ?Esta entidad realizo en marzo de 2022 llamada al sujeto en
cuestión. Este, en abril de 2022, realizo llamada a esta entidad solicitando la
cancelación de sus datos, la cual, se procedió a atender inmediatamente con el fin de
responder a su solicitud y dar un trato personal a la misma, procediéndose de forma
inmediata a la supresión de sus datos en atención a la solicitud recibida y en
cumplimiento de la legislación antedicha en el presente escrito".
Estudio Nuevo Villalba, S.L.U., respondía el 15/03/2023 adjuntando el mismo
escrito aportado por Estudio Villalba Antique, S.L.
Estudio Villalba Estación, S.L.U., respondía el 15/03/2023 señalando que:
- Denominación social: Estudio Nuevo Villalba, S.L.U., y CIF: B87489373
- Adjuntaba factura de los servicios de información contratados con QUALITY
PROVIDER.
- Señalaba que: ?Esta entidad carece de datos alguno de la persona referida?
que ?Esta entidad nunca realizo a fecha del requerimiento tratamiento de los datos
referidos? y ?Nunca se realizó llamada alguna desde esa entidad a la persona física
aludida?.
Estudio Villalba 2017, S.L., respondía el 16/03/2023 señalando que:
- Denominación social: Estudio Villalba 2017, S.L., y CIF: B87904553
- Adjuntaba factura de los servicios de información contratados con QUALITY
PROVIDER.
- Señalaba que: ?Esta entidad carece de dato alguno de la persona referida?
que ?Esta entidad nunca realizo a fecha del requerimiento tratamiento de los datos
5/27
referidos? y ?Nunca se realizó llamada alguna desde esa entidad a la persona física
aludida?.
QUINTO: Con fecha 17/04/2023, la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador al reclamado por las presuntas
infracciones de los artículos 6.1 y 17 del RGPD, tipificadas en el artículo 83.5.a) y b)
del RGPD.
SEXTO: Notificado el acuerdo de inicio el reclamado presento escrito de alegaciones
el 26/04/2023, en el que en síntesis señalaba que: la inadecuación del procedimiento
iniciado y la incompetencia de la AEPD en la tramitación del presente asunto en virtud
de lo estipulado por la Directiva (UE) 2019/1937, del Parlamento Europeo y del
Consejo y la imposibilidad para aportar información ya que el reclamante no aporta
fotocopia del documento nacional de identidad a los efectos de poder identificarle por
lo que solicita sea la Agencia quien le solicites al reclamante dicha copia.
Como respuesta a las incidencias planteadas en relación con el presente
procedimiento señala que no existe infracción alguna; la falta de transparencia de la
Agencia; que el cargo de la Directora esta caducado; el escaso valor probatorio de las
pruebas aportadas; que el reclamado no es dueño de fichero alguno; que los datos
fueron obtenidos de fuentes accesibles al público no siendo necesario el
consentimiento; violación de los derechos del reclamado; que no ha existido
obstrucción a la labor inspectora; etc, y el archivo del procedimiento.
El 21/03/2023 aporta nuevo escrito en el que señala que la Agencia le facilite la
fotocopia del DNI del reclamante o en su caso la denuncia del mismo.
SEPTIMO: Con fecha 28/06/2023, se acordó la apertura de un período de práctica de
pruebas, acordándose las siguientes:
- Dar por reproducidos a efectos probatorios las reclamaciones interpuestas por
los reclamantes y su documentación, los documentos obtenidos y generados
por los Servicios de Inspección que forman parte del expediente.
- Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de
inicio presentadas por el reclamado.
- Solicitar copia del DNI del reclamante.
OCTAVO: En fecha d26/07/2023 fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia de Protección de Datos se sancionara al reclamado
por infracciones de los artículos 6 y 17 del RGPD, tipificadas en los artículos 83.5.a) y
83.5.b) del RGPD, con multas de 10.000 ? (diez mil euros) por cada una de ellas.
Con fecha 03/08/2023 el reclamado presento escrito de alegaciones a la citada
Propuesta ratificando las ya formuladas a lo largo del procedimiento y, además, se
remite a expedientes y procedimientos resueltos por la AEPD a los que califica de
insólitos e ilegales y que el presente expediente es pura invención.
NOVENO: De las actuaciones practicadas en el presente procedimiento, han quedado
acreditados los siguientes:
6/27
HECHOS PROBADOS
PRIMERO. El 20/04/2022 tiene entrada en la AEPD escrito del reclamante; los motivos
en los que se basa la reclamación es que fue contactado telefónicamente por la oficina
inmobiliaria "Tecnocasa" en la localidad de Collado Villalba, trasladándole sus datos:
nombre, apellidos, teléfono, dirección y titularidad de vivienda sin que se los haya
comunicado ni haya autorizado expresamente a ningún tercero a cedérselos; al
consultar cómo han obtenido esos datos le confirman que ha sido a través de
INGLOBALY (el reclamado); solicitó al reclamado conocer de qué datos personales
disponían y la cancelación de los mismos, siendo su respuesta que debía remitirles
copia del DNI para proceder a la cancelación.
SEGUNDO. Consta aportados por el reclamante correos electrónicos de 20/04/2022
cruzados con ***EMAIL.1:
?Buenos días:
Desde Tecnocasa de Collado Villalba me indican que han obtenido mi número de
teléfono así como mi dirección de contacto a través de su plataforma.
Me gustaría confirmar si esta información es correcta. En caso de ser cierta, solicito de
manera inmediata la eliminación de estos datos de su plataforma, a la cual no he
autorizado de manera expresa para tenerlos y mucho menos, cederlos a terceros.
Por otra parte, en caso de ser cierta la cesión de mis datos a esta empresa,
considerare tomar acciones legales por la cesión de mis datos y los daños y perjuicios
acaecidos derivados de dicha cesión.
(?)?
En e-mail de respuesta ***EMAIL.1 señalaba:
?Hola, desde Inglobaly acusamos recibos de su petición de cancelación de los datos
personales que obran en nuestro fichero y para dar curso a la misma le informamos de
lo siguiente:
Para ejercer su derecho de cancelación, y al ser este un derecho personalísimo, como
previene el artículo 23 del Reglamento de la Ley Orgánica de protección de Datos de
Carácter Personal, junto con la solicitud se debe de acreditar la identidad del
solicitante por medio de la aportación del anverso de su DNI escaneado o un
documento firmado digitalmente por usted, ya que como dice la ley el ejercicio de
estos derechos tienen un carácter personalísimo, conforme a lo que se establece en
los Artículos del vigente Reglamento de la Ley Orgánica de protección de Datos que le
expongo a continuación.
Tan pronto me remita su DNI o documento firmado digitalmente, procederemos a su
baja en el fichero y acto seguido, le comunicaremos posteriormente que ello ha sido
realizado de forma conveniente.
Puede realizarlo por este mismo conducto enviándome un correo electrónico?.
El reclamante:
?Por favor, previo al envío de esta documentación por mi parte, solicito me remitan el
documento de cesión expresa de mis datos a su plataforma en donde se indica la
razón social de la misma y mi forma autorizando al mantenimiento de mis datos y
cesión a terceros. En caso de no disponer de ella estarían cometiendo una ilegalidad y
por tanto, no procede que envíe ningún tipo de documento ni solicitud de cancelación
7/27
o rectificación de mis datos, pues no es legal que los tengan. En este segundo caso,
iniciare las acciones legales previstas según la LOPD.
Quedo a la espera de su respuesta. En caso de no obtención de respuesta a este
mail, daré por hecho que nos encontramos ante la segunda opción en cuanto a
autorización de cesión de mis datos?.
En e-mail de respuesta de ***EMAIL.1:
?Hola,
Tal como le indicábamos en el correo anterior, para poder ejercer sus derechos de
acceso, rectificación, cancelación y oposición (Derechos ARCO) debe remitirnos el
DNI o documento firmado digitalmente que acredite su identidad, puesto que dichos
derechos son de carácter personal y solo pueden ser ejercidos por el afectado?.
El reclamante:
?Procedo a notificar a la agencia española de protección de datos la negativa al envío
del documento de cesión expresa firmado por mi parte?.
TERCERO. La mercantil EVA, en respuesta al requerimiento del Inspector actuante
mediante escrito de 15/03/2023 ha aportado factura ***NÚMERO.1, de 27/12/2022,
correspondiente a los servicios de información contratados con el reclamado que
acreditan la relación mantenida con el mismo.
Señala que en cuanto a los datos del reclamante que fueron adquiridos del reclamado
son el nombre completo y número de teléfono.
Y que ?Esta entidad realizó en marzo de 2022 llamada al sujeto en cuestión. Este, en
abril de 2022, realizo llamada a esta entidad solicitando la cancelación de sus datos, la
cual, se procedió a atender inmediatamente con el fin de responder a su solicitud y dar
un trato personal a la misma, procediéndose de forma inmediata a la supresión de sus
datos en atención a la solicitud recibida y en cumplimiento de la legislación antedicha
en el presente escrito".
CUARTO. En respuesta al requerimiento de información efectuado por el Inspector
actuante de fecha 12/05/2022, en el que se le preguntaba:
- Relación completa de los datos de que disponen del afectado
- Origen de cada uno de los datos, detallando el consentimiento o la
habilitación legal de que disponen para realizar tratamientos, así como la fecha
en que fueron recabados
- Detalle de las cesiones o comunicaciones de datos a terceras entidades,
indicando para cada cesión, la fecha en que se realiza, el consentimiento del
titular de los datos o la habilitación legal.
- Detalle de las cesiones de datos realizadas a TECNOCASA en Collado
Villalba de los datos personales del reclamante, aportando:
? Fecha en que se realizó la comunicación de datos a TECNOCASA
? Contrato, factura o documentación que permita acreditar el acuerdo
comercial para la cesión de los datos del reclamante
? Conjunto de datos comunicados a TECNOCASA
? Información facilitada al titular de los datos que ampare la referida
comunicación de datos
? Consentimiento o habilitación legal del afectado para la cesión de sus
8/27
datos a TECNOCASA,
el reclamado el 18/05/2022 alegaba la inadecuación del procedimiento incoado por la
Agencia para la tramitación del presente expediente y la incompetencia de la misma
para la tramitación del asunto y ante la información requerida que ?esta parte se
encuentra imposibilitada para aportar información relativa a este expediente toda vez
que la reclamante no aporta fotocopia del documento nacional de identidad a los
efectos de poder identificarla, lo que impide a esta parte conocer e identificar
fehacientemente de qué persona física o jurídica se trata y, por tanto, impide conocer
de qué datos se trata? y solicitaba a la Agencia que la ?acreditación e identificación de
la persona reclamante, solicitando a esta Agencia que requiera la aportación de la
fotocopia de su documento nacional de identidad, dando traslado del mismo a esta
parte con el fin de
conocer y acreditar la identidad de la persona interesada en el expediente?.
También alegaba que el cargo de la Directoria de la AEPD estaba caducado al haber
transcurrido el plazo de 5 años para el cual fue nombrada.
QUINTO. El 07/06/2022, ante la falta de respuesta ofrecida por el reclamado, se le
reiteró el requerimiento y la respuesta del reclamado el 16/06/2022 fue que ya se
contestó al requerimiento el 18/05/2022, adjuntando el justificante de registro de dicha
contestación, rogando se diera por contestado al presente requerimiento.
SEXTO. El 17/08/2022, ante la falta de respuesta a la información solicitada, se volvió
a reiterar el requerimiento con la advertencia de que ?el responsable y el encargado
del tratamiento los datos de carácter personal tienen la obligación de facilitar los
documentos, informaciones y cualquier otra colaboración que se precise para realizar
la
función de inspección.
El incumplimiento de esa obligación podría comportar la comisión de la infracción
tipificada en el art. 72.1.ñ) de la LOPDGDD, que se sancionará de acuerdo con el art.
58.2 del RGPD?.
La respuesta del reclamado de 24/08/2022 fue idéntica a la ofrecida en el primer
requerimiento.
SEPTIMO. En escrito de 03/03/2023 el reclamado solicita a la AEPD que requiera al
reclamante para que aporte la fotocopia de su DNI, y se le dé traslado del mismo ?con
el fin de conocer y acreditar la identidad de la persona interesada en el expediente
arriba referenciado, al ostentar esta parte ciertas dudas sobre la identidad del
reclamante?.
OCTAVO. El 15/02/2023 se requirió a la entidad EVA, que diera respuesta a las
siguientes cuestiones:
- Denominación social y CIF
- Documentación que justifique la compra o cesión de datos a INGLOBALY y/o
QUALITY PROVIDER.
- Copia de los datos adquiridos del reclamante.
- Tratamientos realizados con dichos datos
- Llamadas realizadas a el reclamante.
9/27
NOVENO. EVA respondía el 15/03/2023 señalando que: ?Esta entidad realizo en
marzo de 2022 llamada al sujeto en cuestión. Este, en abril de 2022, realizo llamada a
esta entidad solicitando la cancelación de sus datos, la cual, se procedió a atender
inmediatamente con el fin de responder a su solicitud y dar un trato personal a la
misma, procediéndose de forma inmediata a la supresión de sus datos en atención a
la solicitud recibida y en cumplimiento de la legislación antedicha en el presente
escrito".
Y aportaba factura de los servicios de información contratados con el reclamado.
DECIMO. El 26/04/2023 el reclamado presenta nuevos escritos en los que reitera las
alegaciones y argumentaciones formuladas con anterioridad.
UNDECIMO. En nuevo escrito de 08/06/2023 el reclamado reproduce básicamente lo
ya argumentado y alegado en escritos anteriores.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los
procedimientos tramitados por la Agencia Española de Protección de Datos se regirán
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las
contradigan, con carácter subsidiario, por las normas generales sobre los
procedimientos administrativos."
II
En primer lugar, hay que hacer referencia a las excepciones de carácter formal
planteadas por el reclamado antes de entrar en las cuestiones de fondo.
- En primer lugar, respecto a la alegación relativa a la Directiva (UE)
2019/1937, cabe destacar que el artículo 1 de la misma señala que tiene por objeto
reforzar la aplicación del Derecho y las políticas de la Unión en ámbitos específicos
mediante el establecimiento de normas mínimas comunes que proporcionen un
elevado nivel de protección de las personas que informen sobre infracciones del
Derecho de la Unión, siendo el ámbito de aplicación personal el recogido en su artículo
4 donde se circunscribe a los denunciantes que trabajen en el sector privado o público
y que hayan obtenido información sobre infracciones en un contexto laboral.
Asimismo, en su artículo 17 se recoge que todo tratamiento de datos
personales realizado en aplicación de la presente Directiva, incluido el intercambio o
10/27
transmisión de datos personales por las autoridades competentes, se realizará de
conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680.
Así, el principal objetivo de esta Directiva es proteger a quienes denuncien
infracciones o irregularidades en una empresa a través de un canal específico sin que
haya represalias.
Por su parte, el primer apartado del artículo 1 del RGPD proclama que el
Reglamento establece las normas relativas a la protección de las personas físicas en
lo que respecta al tratamiento de los datos personales y las normas relativas a la libre
circulación de tales datos. Añade su segundo apartado que protege los derechos y
libertades fundamentales de las personas físicas y, en particular, su derecho a la
protección de los datos personales.
Con relación al ámbito de aplicación material del RGPD, se circunscribe a lo
preceptuado en su artículo 2 donde se concreta en su primer apartado que es de
aplicación al tratamiento total o parcialmente automatizado de datos personales, así
como al tratamiento no automatizado de datos personales contenidos o destinados a
ser incluidos en un fichero.
A mayor abundamiento, el artículo 51.1 del RGPD estipula que cada Estado
miembro establecerá que sea responsabilidad de una o varias autoridades públicas
independientes (en adelante «autoridad de control») supervisar la aplicación del
presente Reglamento, con el fin de proteger los derechos y las libertades
fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la
libre circulación de datos personales en la Unión, desarrollando las funciones de cada
autoridad de control en su artículo 57.
Por su parte, la LOPDGDD en su artículo 47 establece las funciones y
potestades de la Agencia Española de Protección de Datos, entre las que se
encuentra supervisar la aplicación del RGPD y en su Título VIII se regulan los
procedimientos en caso de posible vulneración de la normativa de protección de datos.
Por lo tanto, la Directiva (UE) 2019/1937, al contrario de lo afirmado por el
reclamado no modifica el RGPD ni deja obsoleta la LOPDGDD, adoleciendo el
reclamado de un exceso de voluntarismo normativo, sino que se trata de una norma
con un objeto y ámbito de aplicación claramente distinto al del RGPD y, por ende, a la
LOPDGDD. Así, lo alegado por QUALITY respecto a la inadecuación del
procedimiento incoado por la Agencia Española de Protección de Datos para la
tramitación del presente expediente, carece totalmente de fundamento.
- Alega el reclamado la incompetencia de la AEPD para la tramitación del
presente asunto; hay que señalar que el artículo 47 de la LOPDGDD establece que:
?Corresponde a la Agencia Española de Protección de Datos supervisar la
aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular,
ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el
artículo 58 del mismo reglamento, en la presente ley orgánica y en sus disposiciones
de desarrollo.
11/27
Asimismo, corresponde a la Agencia Española de Protección de Datos el
desempeño de las funciones y potestades que le atribuyan otras leyes o normas de
Derecho de la Unión Europea?.
- Alega el reclamado que carece de datos personales del reclamante, acusando
a la AEPD de falta de rigor jurídico y ausencia de transparencia.
Al respecto se señala que las presuntas infracciones por la que se inicia este
procedimiento sancionador, una está relacionada con la licitud del tratamiento de los
datos del reclamante por el reclamado, infracciones ambas que son causa del acuerdo
de inicio del procedimiento sancionador. Tratamiento que resulta acreditado de las
manifestaciones realizadas no solo por el reclamante sino por la mercantil EVA.
Además, la actividad de tratamiento de datos personales del reclamado ha resultado
ya acreditada en resoluciones firmes de esta Agencia, como la del procedimiento
sancionador EXP202103457.
- Alega el reclamado que la obstrucción a la labor inspectora de esta Agencia
no existe debido a que el Real Decreto 389/2021, de 1 de junio, suprime la Inspección
de Datos; olvida QUALITY que, aunque la Inspección de Datos como órgano directivo
quede suprimida, en su lugar, es la Subdirección General de Inspección de Datos el
órgano equivalente en la estructura orgánica de esta Agencia, definiéndose en el
artículo 27 de dicho Real Decreto sus competencias y funciones, y por lo tanto, esta
Subdirección mantiene vigentes sus competencias tal como se recoge en dicho
artículo.
Además, como ya se ha señalado los hechos a los que se refiere el reclamado
no son objeto del presente procedimiento y se siguen en el PS/00204/2023.
- Alega el reclamado que la Directora no está legitimada para abordar la
presente cuestión al haber caducado su mandato y la supuesta usurpación para
puesto público.
Baste recordarle al reclamado la señalado por la Audiencia Nacional en
Sentencia de 09/12/2022:
?En primer lugar, alega la nulidad de pleno derecho de la resolución recurrida
ex artículo 47.1 de la Ley 39/2015, de 1 de octubre, por manifiesta incompetencia de
la persona firmante de la misma, al haber expirado su mandato, por cumplirse 4 años
desde la fecha de su nombramiento, y también porque la condición en que se dictó era
inexistente al tiempo de adoptarse, conforme a lo establecido en la Disposición
adicional única del Real Decreto 389/2021, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos.
A tal fin señala, que según el artículo 14.3 del Estatuto de la Agencia de 1993
aquí aplicable, el mandato del Director de la Agencia de Protección de Datos tendrá
una duración de cuatro años contados desde su nombramiento y sólo cesará en las
causas previstas en el art. 15 de dicho Estatuto. Indica que, en este punto, el Estatuto
de 1993 se diferencia del aprobado por Real Decreto 389/2021, de 1 de junio, cuyo
artículo 12.3 sí dispone que la persona titular de la Presidencia cesante continuará en
funciones hasta la toma de posesión de la nueva persona titular de la Presidencia ,
pero dado que no prevé ninguna norma transitoria al respecto, al igual que tampoco se
12/27
preveía en la LOPDGDD sobre el desempeño en funciones del puesto del Director de
la AEPD hasta la nueva designación del nuevo Presidente de la misma, el mandato de
la Directora, cuyo nombramiento se efectuó el 24 de julio de 2015 (publicado en el
BOE de 25 de julio de 2015), expiró el 24 de julio de 2019, al cumplirse cuatro años
desde su nombramiento.
Y habiéndose producido el cese en sus funciones como Directora de la AEPD,
carecía de competencia para dictar el acuerdo de inicio del expediente en que recayó
la resolución recurrida, de 7 de octubre de 2020, y propia resolución impugnada, cita
las SST de 16 de junio 2017 dictadas en los Rec. 1585/2016 y Rex. 1655/2016, y 20
de junio 2017 (Rec. 2463/2016).
Además, esgrime que conforme lo establecido en la Disposición adicional única
del Real Decreto 389/2021, por el que se aprueba el Estatuto de la Agencia Española
de Protección de Datos, se suprime el órgano directivo Director de la AEPD, por lo
que, a su entender, y ante la ausencia de disposición transitoria que prevea el
mantenimiento de dicho puesto, todos los actos administrativos dictados por la
Directora de la AEPD incurrirían, adicionalmente, en un vicio de legalidad que deriva
de la inexistencia del órgano que los ha dictado.
Por su parte, el Abogado del Estado aduce que ni la LOPD de 1999 ni la
LOPDGDD contemplan un término automático del mandato, de tal forma que cuando
se cumple el término del mandato para el que fue nombrada la Directora deja de tener
competencia alguna, sino que es necesario un Real Decreto de cese, sin que pueda
abandonar el cargo por su propia voluntad si no ha habido Real Decreto de cese del
Gobierno.
Que esto es así, lo demuestra no solo el hecho de que ninguno de los
Directores de la AEPD ha cesado en su cargo por el mero transcurso del tiempo,
habiéndose requerido R.D también para el cese, sino que en ningún caso se ha
producido el "abandono" del cargo por su titular al llegar el cuarto aniversario del
nombramiento. De hecho, el abandono del servicio se consideraba delito hasta el
Código Penal de 1995, que despenaliza dicha conducta en su mayor parte, sin
embargo, constituye una infracción administrativa (falta disciplinaria muy grave), art.
95.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público aprobado
por Real Decreto Legislativo, de 30 de octubre, o art. 6.c) del Reglamento de Régimen
Disciplinario de los Funcionarios de la Administración Civil del Estado, aprobado por
RD 33/1986, de 10 de enero.
Añade que, en cualquier caso, existe el principio general del derecho de la
conservación en el nombramiento del cargo, por lo que, en el nuevo Estatuto de la
AEPD, para evitar estas especulaciones, se establece expresamente que la persona
titular de la Presidencia continuará en funciones hasta la toma de posesión del nuevo
titular de la Presidencia.
Finalmente, esgrime que las sentencias citadas por el recurrente no son
aplicables al presente caso, en que respecto del Director de la AEPD el legislador ni
establece la caducidad automática del nombramiento, ni así se ha entendido por el
Gobierno, ni tampoco prevé la necesidad de un acuerdo expreso de prórroga o la
convocatoria de un concurso, para que el nombramiento, llegado el plazo para el que
fue nombrado, continúe en sus efectos.
Expuestas las posturas de las partes, debemos partir del art 53, apartado 3, del
RGPD, en cuanto indica que los miembros de la autoridad de control " darán por
concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación
obligatoria, de conformidad con el Derecho del Estado miembro de que se trate".
13/27
En el ámbito interno, el artículo 36.1 de la Ley Orgánica 15/1999, de 13 de
diciembre (LOPD), que es la normativa vigente cuando se efectúa el nombramiento de
la Directora de la AEPD, establece que el Director de la AEPD será nombrado
mediante Real Decreto, por un periodo de cuatro años y el apartado 3 del mismo
precepto, señala que antes de la expiración de dicho plazo, el Director de la AEPD
solo cesará, a petición propia o por separación acordada por el Gobierno por
incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio
de su función, incompatibilidad o condena por delito doloso.
Es decir, transcurrido ese término de 4 años, el Gobierno puede cesar al
Director sin necesidad de causa, pero ello no implica que cuando se cumple ese plazo
su cargo automáticamente deje de tener efectividad y de tener funciones o
competencia alguna, pues eso no resulta expresamente de la citada LOPD, ni
tampoco de la Ley Orgánica 3/2018. de 5 de diciembre (LOPDCDD), en su art. 48
respecto de la Presidencia de la AEPD.
Así se ha entendido y venido haciendo por todos los Gobiernos que proceden a
cesar expresamente a los Directores de la AEPD mediante Real Decreto, aún, cuando
su plazo de nombramiento hubiera expirado, sin que sus cargos dejasen de tener
efectividad, en funciones, hasta sus respectivos ceses y los coetáneos nombramientos
de sus sucesores en el cargo, para evitar vacíos en la institución.
Ello obedece a los principios de responsabilidad y continuidad de las
instituciones, para evitar que la institución quede inoperativa cuando no se ha
producido el nombramiento en el cargo de una nueva persona.
El legislador podía haber establecido expresamente la previsión automática de
decaimiento del cargo, esto es, que la efectividad en el cargo cesa en el mismo
momento del cumplimiento del plazo, pero no lo ha hecho ni en la LOPD ni en la
vigente LOPDGDD, ni tampoco en el RD 389/2021, de 1 de junio de 2021, por el que
se aprueba el nuevo Estatuto de la AEPD, que precisamente en el artículo 12.3
establece " la persona titular de la Presidencia cesante continuará en funciones hasta
la toma de posesión de la nueva persona titular de la Presidencia", sin establecer
limitación alguna en cuanto al ejercicio de sus funciones o competencias durante el
periodo en funciones, que tampoco se establecía en la normativa anterior.
Por tanto, no habiéndose establecido limitaciones a la actuación del Director de
la AEPD en funciones, a diferencia de lo que, a título de ejemplo, sucede en el artículo
21.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, que establece que el
Gobierno " continúa en funciones hasta la toma de posesión del nuevo Gobierno, con
las limitaciones establecidas en esta Ley", la Directora de la AEPD ostenta
competencia para dictar la resolución impugnada, así como el acuerdo de inicio del
procedimiento sancionador.
Así las cosas, no cabe tildar de inexistente la condición en virtud de la cual la
Directora de la AEPD dictó el acto recurrido.
De otro lado, la doctrina establecida por el Tribunal Supremo en las citadas
sentencias versa sobre un supuesto que no guarda ninguna similitud con el caso de
autos, por lo que no resulta aquí aplicable.
Efectivamente, dichas sentencias tratan sobre el Decreto 123/1997, de 13 de
mayo, por el que se aprueba el Reglamento general de puestos de trabajo y
promoción profesional de los funcionarios de la Administración de la Generalidad de
Cataluña, y se refieren a una cobertura provisional del puesto, mediante la figura del
encargo de funciones, por la existencia de urgencia. Decreto autonómico que prevé
específicamente que dicho nombramiento quedará automáticamente sin efecto, si en
el plazo de 6 meses no se ha convocado concurso para la provisión del puesto de
14/27
trabajo y además que dicho funcionario no podrá continuar en el ejercicio de sus
funciones, situación ésta distinta de la prevista para el Director de la AEPD, ya que en
el Estatuto anterior no se mencionaba esta eventualidad y el actual prevé
expresamente la extensión de sus funciones.
El motivo, en consecuencia, debe ser desestimado?.
- Alega el reclamado que en el procedimiento iniciado la Agencia se salta las
normas en cuanto a la duración del plazo para resolver que es de 6 meses.
El acuerdo de inicio del presente procedimiento, antepenúltimo párrafo, ya
recogía que el procedimiento tendrá una duración máxima de nueve meses a contar
desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
El artículo 64, Forma de iniciación del procedimiento y duración, de la
LOPDGDD establece que:
?1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de
una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del
Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se
adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a
contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de
admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada
su reclamación.
2. Cuando el procedimiento tenga por objeto la determinación de la posible
existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la
presente ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia
iniciativa o como consecuencia de reclamación.
Si el procedimiento se fundase en una reclamación formulada ante la Agencia
Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión
a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.
Cuando fuesen de aplicación las normas establecidas en el artículo 60 del
Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del
proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará
conocimiento formal al interesado a los efectos previstos en el artículo 75 de esta ley
orgánica.
Admitida a trámite la reclamación así como en los supuestos en que la Agencia
Española de Protección de Datos actúe por propia iniciativa, con carácter previo al
acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que
se regirá por lo previsto en el artículo 67 de esta ley orgánica.
El procedimiento tendrá una duración máxima de nueve meses a contar desde
la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de
actuaciones.
15/27
3. El procedimiento podrá también tramitarse como consecuencia de la
comunicación a la Agencia Española de Protección de Datos por parte de la autoridad
de control de otro Estado miembro de la Unión Europea de la reclamación formulada
ante la misma, cuando la Agencia Española de Protección de Datos tuviese la
condición de autoridad de control principal para la tramitación de un procedimiento
conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será
en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero,
tercero, cuarto y quinto del apartado 2.
4. Los plazos de tramitación establecidos en este artículo así como los de
admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones
previas de investigación previstos en el artículo 67.2, quedarán automáticamente
suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o
pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una
o varias autoridades de control de los Estados miembros conforme con lo establecido
en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la
notificación del pronunciamiento a la Agencia Española de Protección de Datos?.
No obstante, se informa al reclamado que a raíz de la reforma llevada a cabo
por el apartado cuatro de la disposición final novena de la Ley 11/2023, de 8 de mayo,
de trasposición de Directivas de la Unión Europea en materia de accesibilidad de
determinados productos y servicios, migración de personas altamente cualificadas,
tributaria y digitalización de actuaciones notariales y registrales; y por la que se
modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños
nucleares o producidos por materiales radiactivos («B.O.E.» 9 mayo), el artículo 64 de
la LOPDGDD ha sido modificado.
- Finalmente, respecto a la afirmación del reclamado de que la resolución ha
sido comunicada fuera del plazo permitido por la Ley, se señala que, con fecha 17 de
abril de 2023 se acordó por la Directora de la Agencia Española de Protección de
Datos el inicio el presente procedimiento sancionador, donde se informaba que el
procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha
de dicho Acuerdo, de conformidad con lo dispuesto en el artículo 64 de la LOPDGDD.
Por lo tanto, aún no ha recaído resolución, y el plazo que prevalece por el
principio de especialidad normativa es el señalado en el citado Acuerdo de inicio.
III
Los hechos denunciados se materializan en el tratamiento de los datos del
reclamante de manera ilegitima, considerando que la obtención de los mismos se ha
realizado de manera ilegal, lo que podría vulnerar la normativa en materia de
protección de datos de carácter personal.
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes
correctivos indicados a continuación:
(?)
16/27
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando
proceda, de una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en
lugar de las medidas mencionadas en el presente apartado, según las
circunstancias de cada caso particular;
(?)?
IV
El artículo 6, Licitud del tratamiento, del RGPD en su apartado 1, establece
que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o
de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable
del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al
tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones?.
Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11,
señala que:
?1) «datos personales»: toda información sobre una persona física identificada
o identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos propios de la
identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona;
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos
17/27
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;
?11) «consentimiento del interesado»: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen?.
V
La infracción del artículo 6.1 del RGPD que se le atribuye a la reclamada se
encuentra tipificada en el artículo 83.5 a) del RGPD, que considera que la infracción de
?los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el
apartado 5 del mencionado artículo 83 del citado Reglamento, ?con multas
administrativas de 20.000.000? como máximo o, tratándose de una empresa, de una
cuantía equivalente al 4% como máximo del volumen de negocio total anual global del
ejercicio financiero anterior, optándose por la de mayor cuantía?.
La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones
consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del
Reglamento (UE) 2016/679.
(?)?
VI
1. Hay que señalar que el tratamiento de datos requiere la existencia de una
base legal que lo legitime.
De conformidad con el artículo 6.1 del RGPD, además del consentimiento,
existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de
contar con la autorización de su titular, en particular, cuando sea necesario para la
ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición
de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de
intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y
18/27
libertades fundamentales del afectado que requieran la protección de tales datos. El
tratamiento también se considera lícito cuando sea necesario para el cumplimiento de
una obligación legal aplicable al responsable del tratamiento, para proteger intereses
vitales del afectado o de otra persona física o para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento.
En el presente caso, el reclamado no ha acreditado base de legitimación
alguna de las prevista en el artículo 6.1 del RGPD para el tratamiento de los datos
personales del reclamante.
2. El reclamado no ha acreditado el origen de los datos del reclamante, aunque
en su escrito de 27/04/2023 señalaba que ?los datos mostrados son datos básicos,
obtenidos de Registros Públicos legalmente y no se requiere consentimiento por parte
del afectado?.
En relación con esta cuestión hay que señalar que el concepto de ?fuentes de
acceso público? al contrario de lo señalado en la antigua LOPD, no figura en el vigente
RGPD como base legitimadora, con lo que se aplica en todo caso la necesidad de
acreditar una base legitimadora conforme establece el artículo 6.1 del RGPD.
En caso de considerar que se han obtenido legítimamente los datos al haberse
obtenido de un tercero, no del propio interesado, la parte reclamada para actuar
acorde a derecho debió comunicar la obtención de los datos al reclamante, ya sea en
el momento en que los obtuvieron o bien cuando los utilizaron con fines comerciales, o
bien en el momento en que los datos personales sean comunicados por primera vez, y
en todo caso en el plazo máximo de un mes, de acuerdo con el artículo 14 RGPD.
En este sentido ha de indicarse que, en todo caso, la parte reclamada para
actuar acorde a derecho debió comunicar la obtención de los datos al reclamante, ya
sea en el momento en que los obtuvieron o bien cuando los utilizaron con fines
comerciales.
Como consecuencia de ello, el reclamado ha vulnerado el artículo 6 del RGPD,
de conformidad con el fundamento de derecho II, por entender que nos encontramos
ante un tratamiento ilegítimo de datos.
3. Consta en los hechos probado que la mercantil EVA ha aportado factura
***NÚMERO.1, de 27/12/2022, correspondiente a los servicios de información
contratados con el reclamado que acreditan la relación comercial mantenida con el
mismo.
También ha manifestado que los datos del reclamante que fueron adquiridos
del reclamado responden al nombre completo y su número de teléfono.
EVA realizó en marzo de 2022 una llamada al reclamante y que este, en abril
se dirigió a la entidad solicitando la cancelación de sus datos, la cual, se procedió a
atender inmediatamente con el fin de responder a su solicitud y en cumplimiento de la
legislación contenida en el presente escrito.
19/27
Sin embargo, la respuesta del reclamado la información solicitada y en el que
se le preguntaba:
?Relación completa de los datos de que disponen del afectado
Origen de cada uno de los datos, detallando el consentimiento o la habilitación
legal de que disponen para realizar tratamientos, así como la fecha en que
fueron recabados
Detalle de las cesiones o comunicaciones de datos a terceras entidades,
indicando para cada cesión, la fecha en que se realiza, el consentimiento del
titular de los datos o la habilitación legal.
Detalle de las cesiones de datos realizadas a TECNOCASA en Collado Villalba
de los datos personales del reclamante, aportando:
? Fecha en que se realizó la comunicación de datos a TECNOCASA
? Contrato, factura o documentación que permita acreditar el acuerdo
comercial para la cesión de los datos del reclamante
? Conjunto de datos comunicados a TECNOCASA
? Información facilitada al titular de los datos que ampare la referida
comunicación de datos
? Consentimiento o habilitación legal del afectado para la cesión de sus
datos a TECNOCASA?, (los subrayados corresponden a la AEPD)
fue la inadecuación del procedimiento incoado por la Agencia y la incompetencia de la
misma para la tramitación del asunto y que se encontraba imposibilitado para aportar
información relativa a este expediente debido a que el reclamante no aporta fotocopia
del documento nacional de identidad para poder identificarla y, además, para más inri
solicitaba a la Agencia que requiriera al reclamante la aportación del DNI, para que a
su vez, este organismos se lo remitiera para poder identificar al reclamante; petición
que resulta de lo más paradójico.
Sin embargo, como consta al inicio de este número no solo no tenía los datos
de la reclamante, sino que no tuvo empacho en hacer negocio con la mercantil EVA, a
la vista de la factura emitida, con los datos de aquel.
Este comportamiento evidencia la vulneración del artículo 6.1 del RGPD, al
carecer de legitimación alguna para el tratamiento de los datos del reclamante,
infracción que se encuentra tipificada en el artículo 83.5.a) del RGPD.
VII
En segundo lugar, el ejercicio del derecho de supresión viene regulado en el
artículo 17 del RGPD, que establece:
?1. El interesado tendrá derecho a obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que le conciernan, el
cual estará obligado a suprimir sin dilación indebida los datos personales cuando
concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para
los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de
conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,
letra a), y este no se base en otro fundamento jurídico;
20/27
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1,
y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se
oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una
obligación legal establecida en el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios
de la sociedad de la información mencionados en el artículo 8, apartado 1.
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud
de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del
tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación,
adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los
responsables que estén tratando los datos personales de la solicitud del interesado de
supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de
los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de
datos impuesta por el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento, o para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable;
c) por razones de interés público en el ámbito de la salud pública de
conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o
histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en
la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible
u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones?.
VIII
La vulneración del artículo 17 del RGPD se encuentra tipificada en el artículo
83.5.b) del citado RGPD en los siguientes términos:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
(?)
b) los derechos de los interesados a tenor de los artículos 12 a 22;
(?)?
21/27
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
Y en su artículo 72, a efectos de prescripción, califica de ?Infracciones
consideradas muy graves?:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
(?)
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio
de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679.
(?)?
IX
1. En relación con el citado derecho de supresión de los datos, el Considerando
59 del RGPD señala que:
"59. Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus
derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar
y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos
personales y su rectificación o supresión, así como el ejercicio del derecho de
oposición. El responsable del tratamiento también debe proporcionar medios para que
las solicitudes se presenten por medios electrónicos, en particular cuando los datos
personales se tratan por medios electrónicos. El responsable del tratamiento debe
estar obligado a responder a las solicitudes del interesado sin dilación indebida y a
más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a
atenderlas".
Y el Considerando 66 del RGPD señala que:
"66. A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho
de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya
hecho públicos datos personales esté obligado a indicar a los responsables del
tratamiento que estén tratando tales datos personales que supriman todo enlace a
ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe
tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su
disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado
a los responsables que estén tratando los datos personales".
En este caso, la reclamante ha solicitado la supresión de sus datos personales
al reclamado y en respuesta a esta solicitud el reclamado solicitó a la parte reclamante
copia del DNI para proceder a la supresión.
Sobre este particular debe recordarse que las Directrices 01/2022 sobre los
derechos de los interesados ? Derecho de acceso Versión 1.0 adoptadas el
22/27
18/01/2022, se recoge, en cuanto a la identificación de la persona solicitante, que el
responsable del tratamiento debe responder a las solicitudes de los interesados de
ejercicio de sus derechos individuales, a menos que pueda demostrar, mediante una
justificación conforme al principio de responsabilidad proactiva (artículo 5.2), que no
está en condiciones de identificar al interesado (artículo 11).
Y en particular sobre la evaluación de la proporcionalidad en relación con la
identificación del solicitante, las citadas Directrices disponen lo siguiente:
?69 Como se ha indicado anteriormente, si el responsable del tratamiento tiene
motivos razonables para dudar de la identidad de la persona solicitante, puede
solicitar información adicional para confirmar la identidad del interesado. Sin
embargo, el responsable del tratamiento debe garantizar al mismo tiempo que
no recopila más datos personales de los necesarios para permitir la
identificación de la persona solicitante. Por lo tanto, el responsable del
tratamiento llevará a cabo una evaluación de proporcionalidad, que deberá
tener en cuenta el tipo de datos personales que se están tratando (por ejemplo,
categorías especiales de datos o no), la naturaleza de la solicitud, el contexto
en el que se realiza la solicitud, así como cualquier daño que pueda resultar de
una divulgación indebida. Al evaluar la proporcionalidad, debe recordarse evitar
la recopilación excesiva de datos, garantizando al mismo tiempo un nivel
adecuado de seguridad del procesamiento.
70. El responsable del tratamiento debe aplicar un procedimiento de
autenticación (verificación de la identidad del interesado) para estar seguro de
la identidad de las personas que solicitan el acceso a sus datos28, y garantizar
la seguridad del tratamiento durante todo el proceso de tramitación de una
solicitud de acceso de conformidad con el artículo 32, incluido, por ejemplo, un
canal seguro para que los interesados faciliten información adicional. El
método utilizado para la autenticación debe ser pertinente, adecuado,
proporcionado y respetar el principio de minimización de datos. Si el
responsable del tratamiento impone medidas gravosas destinadas a identificar
al interesado, debe justificarlo adecuadamente y garantizar el cumplimiento de
todos los principios fundamentales, incluida la minimización de datos y la
obligación de facilitar el ejercicio de los derechos de los interesados (art. 12,
apartado 2, del RGPD). (?)
73. Es preciso subrayar que la utilización de una copia de un documento de
identidad como parte del proceso de autenticación crea un riesgo para la
seguridad de los datos personales y puede dar lugar a un tratamiento no
autorizado o ilícito, por lo que debe considerarse inadecuada, salvo que sea
estrictamente necesario, adecuado y conforme con el Derecho nacional. En
tales casos, los responsables del tratamiento deben disponer de sistemas que
garanticen un nivel de seguridad adecuado para mitigar los mayores riesgos
para los derechos y libertades del interesado al recibir dichos datos. También
es importante tener en cuenta que la identificación mediante un documento de
identidad no ayuda necesariamente en el contexto en línea (por ejemplo, con el
uso de seudónimos) si la persona interesada no puede aportar ninguna otra
prueba, por ejemplo, otras características que coincidan con la cuenta de
usuario.?
23/27
El reclamado no ha acreditado la proporcionalidad de su petición que podría
ser excesiva y suponer una obstaculización del ejercicio del derecho de supresión.
Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores
formalidades que las que se siguieron para obtener tales datos.
2. La documentación obrante en el expediente ofrece indicios evidentes de que
el reclamado, vulneró el artículo 17 del RGPD, derecho de supresión, al no ser
atendido el mismo pese a que la reclamante ejercito su derecho.
El reclamante ha manifestado que ante el ejercicio de su derecho la respuesta
del reclamado fue que debía remitirles copia del DNI. El reclamado ha señalado que
se encontraba imposibilitado para aportar la información requerida por la Agencia ya
que el reclamante no había aportado fotocopia del DNI a los efectos de poder
identificarle, lo que impedía saber de qué persona física o jurídica se trataba y, por
tanto, de qué datos se trataba. Además, solicitaban a la Agencia que requiriera al
reclamante la aportación del DNI.
La normativa de protección de datos permite que puedas ejercer ante el
responsable del tratamiento tus derechos de acceso, rectificación, oposición,
supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones
individualizadas.
De conformidad con la normativa establecida, ha de indicarse que no se puede
exigir la presentación de copia del DNI para el ejercicio de su solicitud, cuando para la
obtención de los datos obtenidos de registros públicos, es decir, de fuentes de acceso
público, en virtud de lo manifestado por el reclamado, no se comprobó tampoco la
identidad.
Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores
formalidades que las que se siguieron para obtener tales datos.
Por lo tanto, se habría vulnerado el artículo el artículo 17 del RGPD de
conformidad con lo señalado anteriormente, infracción tipificada en el artículo 83.5.b)
del RGPD.
X
A fin de establecer la multa administrativa que procede imponer han de
observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que
señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
24/27
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su
artículo 76, ?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
25/27
supuestos en los que existan controversias entre aquellos y cualquier
interesado.?
- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción de multa a imponer en el presente caso por la infracción tipificada en el
artículo 83.5.a) y artículo 6.1 del RGPD de la que se responsabiliza al reclamado, en
una valoración inicial, se estiman se estiman concurrentes los siguientes factores:
Como circunstancias agravantes:
La naturaleza y gravedad de la infracción; los hechos puestos de
manifiesto afectan a un principio básico relativo al tratamiento de los datos de
carácter personal, como es el de legitimidad, que la norma sanciona con la
mayor gravedad. Los datos personales del reclamante ha sido objeto de
tratamiento por el reclamado, sin que figure que es o haya sido cliente de la
entidad ni que mantenga algún tipo de relación con la misma (artículo 83.2. a)
del RGPD).
La intencionalidad o negligencia en la infracción. Los hechos puestos de
manifiesto acreditan que la reclamada no obró con la diligencia a la que venía
obligada, negándose a informar sobre los datos personales y la cancelación de
los mismos a solicitud del reclamante, así como negándose a colaborar con la
actuación llevada a cabo por el Servicio de Inspección.
La actividad de la entidad presuntamente infractora está vinculada con
el tratamiento de datos de carácter personal. Conectada también con el grado
de diligencia que el responsable del tratamiento está obligado a desplegar en el
cumplimiento de las obligaciones que le impone la normativa de protección de
datos puede citarse la SAN de 17/10/2007. Si bien fue dictada antes de la
vigencia del RGPD su pronunciamiento es perfectamente extrapolable al
supuesto que analizamos. La sentencia, después de aludir a que las entidades
en las que el desarrollo de su actividad conlleva un continuo tratamiento de
datos de clientes y terceros han de observar un adecuado nivel de diligencia,
precisaba que ?(...). el Tribunal Supremo viene entendiendo que existe
imprudencia siempre que se desatiende un deber legal de cuidado, es decir,
cuando el infractor no se comporta con la diligencia exigible. Y en la valoración
del grado de diligencia ha de ponderarse especialmente la profesionalidad o no
del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la
actividad de la recurrente es de constante y abundante manejo de datos de
carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse
a las prevenciones legales al respecto? (artículo 76.2.b) de la LOPDGDD en
relación con el artículo 83.2.k).
- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción de multa a imponer en el presente caso por la infracción tipificada en el
artículo 83.5.b) y artículo 17 del RGPD de la que se responsabiliza al reclamado, en
una valoración inicial, se estiman se estiman concurrentes los siguientes factores:
Como circunstancias agravantes:
26/27
La naturaleza y gravedad de la infracción; no hay que olvidar que nos
encontramos ante la infracción de un derecho del interesado, derecho de
supresión, que no ha sido atendido por la entidad; por otra parte, la propia
norma sanciona con la mayor gravedad la ausencia y falta de atención de este
tipo de derechos que se consideran claves en la normativa sobre protección de
datos. (artículo 83.2. a) del RGPD).
La intencionalidad o negligencia en la infracción. Los hechos puestos de
manifiesto acreditan que el reclamado no obró con la diligencia a la que venía
obligado, negándose a informar sobre los datos personales y a colaborar con la
actuación inspectora llevada a cabo por el Servicio de Inspección de la AEPD.
La actividad de la entidad presuntamente infractora está vinculada con
el tratamiento de datos de carácter personal. En la actividad de la entidad
reclamada es imprescindible el tratamiento de datos de carácter personal de
clientes y terceros por lo que la transcendencia de la conducta objeto de la
presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD en
relación con el artículo 83.2.k).
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a QUALITY-PROVIDER S.A., con NIF A87407243,
- Por una infracción del artículo 6.1 del RGPD, tipificada en el Artículo 83.5.a) del
RGPD, una multa de 10.000 (diez mil euros).
- Por una infracción del artículo 17 del RGPD, tipificada en el Artículo 83.5.b) del
RGPD, una multa de 10.000 (diez mil euros).
SEGUNDO: NOTIFICAR la presente resolución a QUALITY-PROVIDER S.A., con NIF
A87407243.
TERCERO: ORDENAR a QUALITY-PROVIDER S.A., con NIF A87407243, que en
virtud del artículo 58.2.d) del RGPD, en el plazo de un mes desde la notificación de la
presente Resolución, acredite haber procedido al cumplimiento de la adopción de
medidas para que no vuelvan a producirse hechos como los que han dado lugar al
procedimiento sancionador al tratar datos de carácter personal sin legitimación alguna
de las contempladas en el artículo 6.1 del RGPD y sin atender el ejercicio del derecho
de supresión contemplado en el artículo 17 del RGPD, pese a que la reclamante
ejercito su derecho.
CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
27/27
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
