Resolución de la Agencia ...re de 2023

Última revisión
27/10/2023

Resolución de la Agencia Española de Protección de Datos PS-00517-2022 de 06 de octubre de 2023

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 66 min

Órgano: Agencia Española de Protección de Datos

Fecha: 06/10/2023

Num. Resolución: PS-00517-2022


Cuestión

1 / 27

Expediente N.º: EXP202205448

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: D. A.A.A. (en adelante el reclamante) con fecha 20/04/2022 interpuso...

Contestacion

1/27

? Expediente N.º: EXP202205448

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: D. A.A.A. (en adelante el reclamante) con fecha 20/04/2022 interpuso

reclamación ante la Agencia Española de Protección de Datos. La reclamación se

dirige contra QUALITY-PROVIDER S.A. (INGLOBALY), con NIF A87407243 (en

adelante el reclamado). Los motivos en que basa la reclamación son los siguientes: el

reclamante manifiesta que fue contactado telefónicamente por la oficina inmobiliaria

"Tecnocasa" en la localidad de Collado Villalba contacta telefónicamente con él, con

referencia a sus datos: nombre, apellidos, teléfono, dirección y titularidad de vivienda

sin que se los haya comunicado ni haber autorizado expresamente a ningún tercero a

cedérselos; al consultar cómo han obtenido esos datos me confirman que es a través

de Inglobaly; que solicitó a Inglobaly conocer de qué datos personales disponían y la

cancelación de los mismos, siendo su respuesta que debía remitirles copia del DNI

para proceder a la cancelación, considerando improcedente dicha respuesta; además,

manifiesta que se ha producido la difusión de esos datos a terceros sin su

consentimiento expreso.

Aporta copia de los correos intercambiados con el reclamado.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), se dio traslado de dicha reclamación al, para que procediese a

su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas

a cabo para adecuarse a los requisitos previstos en la normativa de protección de

datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), fue recogido en fecha 12/05/2022 como consta en el

acuse de recibo que obra en el expediente.

En su respuesta el reclamado ha señalado la inadecuación del procedimiento iniciado

y la incompetencia de la AEPD para la tramitación del presente expediente.

TERCERO: Con fecha 12/05/2022, de conformidad con el artículo 65 de la LOPDGDD,

se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

2/27

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

El 07/06/2022 se solicita al reclamado que en el plazo de diez días hábiles presente la

siguiente información relativa al reclamante.

1. Relación completa de los datos de que disponen del afectado.

2. Origen de cada uno de los datos, detallando el consentimiento o la habilitación legal

de que disponen para realizar tratamientos, así como la fecha en que fueron

recabados

3. Detalle de las cesiones o comunicaciones de datos a terceras entidades, indicando

para cada cesión, la fecha en que se realiza, el consentimiento del titular de los datos

o la habilitación legal.

Detalle de las cesiones de datos realizadas a TECNOCASA en Collado Villalba de los

datos personales del reclamante, aportando:

? Fecha en que se realizó la comunicación de datos a TECNOCASA

? Contrato, factura o documentación que permita acreditar el acuerdo

comercial para la cesión de los datos del reclamante

? Conjunto de datos comunicados a TECNOCASA

? Información facilitada al titular de los datos que ampare la referida

comunicación de datos

? Consentimiento o habilitación legal del afectado para la cesión de sus datos

a TECNOCASA.

En la respuesta recibida, el reclamado reitera que existe una inadecuación del

procedimiento iniciado, así como una manifiesta incompetencia de la Agencia

Española de Protección de Datos para la tramitación del presente procedimiento en

virtud de lo estipulado por la Directiva (UE) 2019/1937, del Parlamento Europeo y del

Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que

informen sobre infracciones del Derecho de la Unión, la cual entró en vigor el

17/12/2019 y solicita que la AEPD se declare incompetente y se inhiba de la

tramitación del presente expediente.

Además, alegan que la entidad se encuentra imposibilitada para aportar

información relativa a este expediente toda vez que el reclamante no aporta fotocopia

del documento nacional de identidad a los efectos de poder identificarle, lo que impide

conocer e identificar fehacientemente de qué persona física o jurídica se trata y, por

tanto, impide conocer de qué datos se trata.

Solicitan a la Agencia que requiera al reclamante la aportación de la fotocopia

del documento nacional de identidad, dando traslado del mismo a la entidad con el fin

de conocer y acreditar la identidad de la persona interesada en el expediente, al

ostentar

dudas sobre la identidad del reclamante.

Ante la falta de respuesta a las cuestiones planteadas en fecha 16/08/2022 se

requirió nuevamente a la entidad avisando claramente que en las anteriores

contestaciones no se considera que haya dado respuesta a la información requerida y

destacando que el responsable y el encargado del tratamiento de los datos de carácter

3/27

personal tienen la obligación de facilitar los documentos, informaciones y cualquier

otra colaboración que se precise para realizar la función de inspección.

La respuesta al requerimiento recibida en fecha 24/08/2022 es idéntica a la

anterior manteniendo sus argumentos relativos a la incompetencia de la Agencia de

Protección de Datos y a su negativa a facilitar información por la falta del DNI del

reclamante.

En el marco del AI-55-2023, con fecha 15/03/2023 se han personado dos

inspectores de la Agencia Española de Protección de Datos en la sede social de la

entidad reclamada, ubicada en la ***DIRECCION.1 al objeto de realizar una

inspección.

Se consulta previamente por dos ocasiones al portero de la finca que informa a

los inspectores que la reclamada se ubica en el piso 5º izquierda.

Una vez en la citada dirección se encuentran con dos recepcionistas y una

persona que no se identifica ante los inspectores.

En el mostrador de la recepción figura el nombre RAHEEM GL y la referida

persona informa que no tiene nada que ver con la reclamada, aunque el lugar en que

se encuentran los inspectores alquila oficinas para eventos a diferentes empresas,

entre las que se encuentra la reclamada.

Se consulta cada cuanto tiempo mantienen reuniones en estas salas

informando de forma imprecisa que cada varios meses.

Se comunica al interlocutor que la entidad reclamada ha sido notificada en

fecha 8 de marzo a las 11:44 mediante una llamada telefónica al número

***TELEFONO.1, y como respuesta indica que a la reclamada le han comunicado que

se han puesto en contacto con la Agencia Española de Protección de Datos para

cancelar la inspección, sin que conste llamada ni correo alguno.

Se solicita un teléfono de contacto y una sede social de la entidad reclamada

negándose a dar ningún dato para no perjudicar a su supuesto cliente, tan solo se

limita a informar que están en Alicante, pero sin precisar municipio ni domicilio.

Ante la negativa a facilitar ningún tipo de información ni identificar la empresa

cuya sede social está en la dirección ***DIRECCION.1, los inspectores actuantes

abandonan el local.

Se ha enviado por correo certificado a la misma dirección un aviso de

inspección con el objeto de que representantes de la entidad atiendan apropiadamente

a los inspectores de la Agencia, habiendo recibido como respuesta:

?Por consiguiente, tanto el Administrador de la sociedad, como el Dpto. Jurídico

de esta empresa procederán a asistir a la convocatoria del día 27 de Marzo del 2023 a

las 10h., en nuestro domicilio social de Calle Goya 18, NO PERMITIREMOS LA

ENTRADA AL DOMICILIO LOS INSPECTORES DE LA AEPD?

4/27

Se percibe claramente una actitud obstruccionista a la actuación inspectora de

los funcionarios de la Agencia, por lo que se siguen las actuaciones correspondientes

en relación con la citada conducta en el procedimiento PS/00204/2023.

.

El 15/02/2023 se requirió a las entidades Estudio Villalba Antique, S.L.(en lo

sucesivo EVA), Estudio Nuevo Villalba, S.L.U., Estudio Villalba Estación, S.L.U., y

Estudio Villalba 2017, S.L. para que dieran respuesta a las siguientes cuestiones:

- Denominación social y CIF de su entidad

- Toda la documentación que justifique la compra o cesión de datos a

INGLOBALY y/o QUALITY PROVIDER.

- Copia de los datos adquiridos de D. A.A.A. con NIF ?

- Tratamientos realizados con dichos datos

- Relación de llamadas realizadas a D. A.A.A.

EVA respondía el 15/03/2023 señalando que:

- Denominación social: Estudio Villalba Antique, S.L. y CIF: B88080031

- Adjuntaba factura de los servicios de información contratados con QUALITY

PROVIDER.

- Señalaba que: ?Esta entidad realizo en marzo de 2022 llamada al sujeto en

cuestión. Este, en abril de 2022, realizo llamada a esta entidad solicitando la

cancelación de sus datos, la cual, se procedió a atender inmediatamente con el fin de

responder a su solicitud y dar un trato personal a la misma, procediéndose de forma

inmediata a la supresión de sus datos en atención a la solicitud recibida y en

cumplimiento de la legislación antedicha en el presente escrito".

Estudio Nuevo Villalba, S.L.U., respondía el 15/03/2023 adjuntando el mismo

escrito aportado por Estudio Villalba Antique, S.L.

Estudio Villalba Estación, S.L.U., respondía el 15/03/2023 señalando que:

- Denominación social: Estudio Nuevo Villalba, S.L.U., y CIF: B87489373

- Adjuntaba factura de los servicios de información contratados con QUALITY

PROVIDER.

- Señalaba que: ?Esta entidad carece de datos alguno de la persona referida?

que ?Esta entidad nunca realizo a fecha del requerimiento tratamiento de los datos

referidos? y ?Nunca se realizó llamada alguna desde esa entidad a la persona física

aludida?.

Estudio Villalba 2017, S.L., respondía el 16/03/2023 señalando que:

- Denominación social: Estudio Villalba 2017, S.L., y CIF: B87904553

- Adjuntaba factura de los servicios de información contratados con QUALITY

PROVIDER.

- Señalaba que: ?Esta entidad carece de dato alguno de la persona referida?

que ?Esta entidad nunca realizo a fecha del requerimiento tratamiento de los datos

5/27

referidos? y ?Nunca se realizó llamada alguna desde esa entidad a la persona física

aludida?.

QUINTO: Con fecha 17/04/2023, la Directora de la Agencia Española de Protección de

Datos acordó iniciar procedimiento sancionador al reclamado por las presuntas

infracciones de los artículos 6.1 y 17 del RGPD, tipificadas en el artículo 83.5.a) y b)

del RGPD.

SEXTO: Notificado el acuerdo de inicio el reclamado presento escrito de alegaciones

el 26/04/2023, en el que en síntesis señalaba que: la inadecuación del procedimiento

iniciado y la incompetencia de la AEPD en la tramitación del presente asunto en virtud

de lo estipulado por la Directiva (UE) 2019/1937, del Parlamento Europeo y del

Consejo y la imposibilidad para aportar información ya que el reclamante no aporta

fotocopia del documento nacional de identidad a los efectos de poder identificarle por

lo que solicita sea la Agencia quien le solicites al reclamante dicha copia.

Como respuesta a las incidencias planteadas en relación con el presente

procedimiento señala que no existe infracción alguna; la falta de transparencia de la

Agencia; que el cargo de la Directora esta caducado; el escaso valor probatorio de las

pruebas aportadas; que el reclamado no es dueño de fichero alguno; que los datos

fueron obtenidos de fuentes accesibles al público no siendo necesario el

consentimiento; violación de los derechos del reclamado; que no ha existido

obstrucción a la labor inspectora; etc, y el archivo del procedimiento.

El 21/03/2023 aporta nuevo escrito en el que señala que la Agencia le facilite la

fotocopia del DNI del reclamante o en su caso la denuncia del mismo.

SEPTIMO: Con fecha 28/06/2023, se acordó la apertura de un período de práctica de

pruebas, acordándose las siguientes:

- Dar por reproducidos a efectos probatorios las reclamaciones interpuestas por

los reclamantes y su documentación, los documentos obtenidos y generados

por los Servicios de Inspección que forman parte del expediente.

- Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de

inicio presentadas por el reclamado.

- Solicitar copia del DNI del reclamante.

OCTAVO: En fecha d26/07/2023 fue emitida Propuesta de Resolución en el sentido de

que por la Directora de la Agencia de Protección de Datos se sancionara al reclamado

por infracciones de los artículos 6 y 17 del RGPD, tipificadas en los artículos 83.5.a) y

83.5.b) del RGPD, con multas de 10.000 ? (diez mil euros) por cada una de ellas.

Con fecha 03/08/2023 el reclamado presento escrito de alegaciones a la citada

Propuesta ratificando las ya formuladas a lo largo del procedimiento y, además, se

remite a expedientes y procedimientos resueltos por la AEPD a los que califica de

insólitos e ilegales y que el presente expediente es pura invención.

NOVENO: De las actuaciones practicadas en el presente procedimiento, han quedado

acreditados los siguientes:

6/27

HECHOS PROBADOS

PRIMERO. El 20/04/2022 tiene entrada en la AEPD escrito del reclamante; los motivos

en los que se basa la reclamación es que fue contactado telefónicamente por la oficina

inmobiliaria "Tecnocasa" en la localidad de Collado Villalba, trasladándole sus datos:

nombre, apellidos, teléfono, dirección y titularidad de vivienda sin que se los haya

comunicado ni haya autorizado expresamente a ningún tercero a cedérselos; al

consultar cómo han obtenido esos datos le confirman que ha sido a través de

INGLOBALY (el reclamado); solicitó al reclamado conocer de qué datos personales

disponían y la cancelación de los mismos, siendo su respuesta que debía remitirles

copia del DNI para proceder a la cancelación.

SEGUNDO. Consta aportados por el reclamante correos electrónicos de 20/04/2022

cruzados con ***EMAIL.1:

?Buenos días:

Desde Tecnocasa de Collado Villalba me indican que han obtenido mi número de

teléfono así como mi dirección de contacto a través de su plataforma.

Me gustaría confirmar si esta información es correcta. En caso de ser cierta, solicito de

manera inmediata la eliminación de estos datos de su plataforma, a la cual no he

autorizado de manera expresa para tenerlos y mucho menos, cederlos a terceros.

Por otra parte, en caso de ser cierta la cesión de mis datos a esta empresa,

considerare tomar acciones legales por la cesión de mis datos y los daños y perjuicios

acaecidos derivados de dicha cesión.

(?)?

En e-mail de respuesta ***EMAIL.1 señalaba:

?Hola, desde Inglobaly acusamos recibos de su petición de cancelación de los datos

personales que obran en nuestro fichero y para dar curso a la misma le informamos de

lo siguiente:

Para ejercer su derecho de cancelación, y al ser este un derecho personalísimo, como

previene el artículo 23 del Reglamento de la Ley Orgánica de protección de Datos de

Carácter Personal, junto con la solicitud se debe de acreditar la identidad del

solicitante por medio de la aportación del anverso de su DNI escaneado o un

documento firmado digitalmente por usted, ya que como dice la ley el ejercicio de

estos derechos tienen un carácter personalísimo, conforme a lo que se establece en

los Artículos del vigente Reglamento de la Ley Orgánica de protección de Datos que le

expongo a continuación.

Tan pronto me remita su DNI o documento firmado digitalmente, procederemos a su

baja en el fichero y acto seguido, le comunicaremos posteriormente que ello ha sido

realizado de forma conveniente.

Puede realizarlo por este mismo conducto enviándome un correo electrónico?.

El reclamante:

?Por favor, previo al envío de esta documentación por mi parte, solicito me remitan el

documento de cesión expresa de mis datos a su plataforma en donde se indica la

razón social de la misma y mi forma autorizando al mantenimiento de mis datos y

cesión a terceros. En caso de no disponer de ella estarían cometiendo una ilegalidad y

por tanto, no procede que envíe ningún tipo de documento ni solicitud de cancelación

7/27

o rectificación de mis datos, pues no es legal que los tengan. En este segundo caso,

iniciare las acciones legales previstas según la LOPD.

Quedo a la espera de su respuesta. En caso de no obtención de respuesta a este

mail, daré por hecho que nos encontramos ante la segunda opción en cuanto a

autorización de cesión de mis datos?.

En e-mail de respuesta de ***EMAIL.1:

?Hola,

Tal como le indicábamos en el correo anterior, para poder ejercer sus derechos de

acceso, rectificación, cancelación y oposición (Derechos ARCO) debe remitirnos el

DNI o documento firmado digitalmente que acredite su identidad, puesto que dichos

derechos son de carácter personal y solo pueden ser ejercidos por el afectado?.

El reclamante:

?Procedo a notificar a la agencia española de protección de datos la negativa al envío

del documento de cesión expresa firmado por mi parte?.

TERCERO. La mercantil EVA, en respuesta al requerimiento del Inspector actuante

mediante escrito de 15/03/2023 ha aportado factura ***NÚMERO.1, de 27/12/2022,

correspondiente a los servicios de información contratados con el reclamado que

acreditan la relación mantenida con el mismo.

Señala que en cuanto a los datos del reclamante que fueron adquiridos del reclamado

son el nombre completo y número de teléfono.

Y que ?Esta entidad realizó en marzo de 2022 llamada al sujeto en cuestión. Este, en

abril de 2022, realizo llamada a esta entidad solicitando la cancelación de sus datos, la

cual, se procedió a atender inmediatamente con el fin de responder a su solicitud y dar

un trato personal a la misma, procediéndose de forma inmediata a la supresión de sus

datos en atención a la solicitud recibida y en cumplimiento de la legislación antedicha

en el presente escrito".

CUARTO. En respuesta al requerimiento de información efectuado por el Inspector

actuante de fecha 12/05/2022, en el que se le preguntaba:

- Relación completa de los datos de que disponen del afectado

- Origen de cada uno de los datos, detallando el consentimiento o la

habilitación legal de que disponen para realizar tratamientos, así como la fecha

en que fueron recabados

- Detalle de las cesiones o comunicaciones de datos a terceras entidades,

indicando para cada cesión, la fecha en que se realiza, el consentimiento del

titular de los datos o la habilitación legal.

- Detalle de las cesiones de datos realizadas a TECNOCASA en Collado

Villalba de los datos personales del reclamante, aportando:

? Fecha en que se realizó la comunicación de datos a TECNOCASA

? Contrato, factura o documentación que permita acreditar el acuerdo

comercial para la cesión de los datos del reclamante

? Conjunto de datos comunicados a TECNOCASA

? Información facilitada al titular de los datos que ampare la referida

comunicación de datos

? Consentimiento o habilitación legal del afectado para la cesión de sus

8/27

datos a TECNOCASA,

el reclamado el 18/05/2022 alegaba la inadecuación del procedimiento incoado por la

Agencia para la tramitación del presente expediente y la incompetencia de la misma

para la tramitación del asunto y ante la información requerida que ?esta parte se

encuentra imposibilitada para aportar información relativa a este expediente toda vez

que la reclamante no aporta fotocopia del documento nacional de identidad a los

efectos de poder identificarla, lo que impide a esta parte conocer e identificar

fehacientemente de qué persona física o jurídica se trata y, por tanto, impide conocer

de qué datos se trata? y solicitaba a la Agencia que la ?acreditación e identificación de

la persona reclamante, solicitando a esta Agencia que requiera la aportación de la

fotocopia de su documento nacional de identidad, dando traslado del mismo a esta

parte con el fin de

conocer y acreditar la identidad de la persona interesada en el expediente?.

También alegaba que el cargo de la Directoria de la AEPD estaba caducado al haber

transcurrido el plazo de 5 años para el cual fue nombrada.

QUINTO. El 07/06/2022, ante la falta de respuesta ofrecida por el reclamado, se le

reiteró el requerimiento y la respuesta del reclamado el 16/06/2022 fue que ya se

contestó al requerimiento el 18/05/2022, adjuntando el justificante de registro de dicha

contestación, rogando se diera por contestado al presente requerimiento.

SEXTO. El 17/08/2022, ante la falta de respuesta a la información solicitada, se volvió

a reiterar el requerimiento con la advertencia de que ?el responsable y el encargado

del tratamiento los datos de carácter personal tienen la obligación de facilitar los

documentos, informaciones y cualquier otra colaboración que se precise para realizar

la

función de inspección.

El incumplimiento de esa obligación podría comportar la comisión de la infracción

tipificada en el art. 72.1.ñ) de la LOPDGDD, que se sancionará de acuerdo con el art.

58.2 del RGPD?.

La respuesta del reclamado de 24/08/2022 fue idéntica a la ofrecida en el primer

requerimiento.

SEPTIMO. En escrito de 03/03/2023 el reclamado solicita a la AEPD que requiera al

reclamante para que aporte la fotocopia de su DNI, y se le dé traslado del mismo ?con

el fin de conocer y acreditar la identidad de la persona interesada en el expediente

arriba referenciado, al ostentar esta parte ciertas dudas sobre la identidad del

reclamante?.

OCTAVO. El 15/02/2023 se requirió a la entidad EVA, que diera respuesta a las

siguientes cuestiones:

- Denominación social y CIF

- Documentación que justifique la compra o cesión de datos a INGLOBALY y/o

QUALITY PROVIDER.

- Copia de los datos adquiridos del reclamante.

- Tratamientos realizados con dichos datos

- Llamadas realizadas a el reclamante.

9/27

NOVENO. EVA respondía el 15/03/2023 señalando que: ?Esta entidad realizo en

marzo de 2022 llamada al sujeto en cuestión. Este, en abril de 2022, realizo llamada a

esta entidad solicitando la cancelación de sus datos, la cual, se procedió a atender

inmediatamente con el fin de responder a su solicitud y dar un trato personal a la

misma, procediéndose de forma inmediata a la supresión de sus datos en atención a

la solicitud recibida y en cumplimiento de la legislación antedicha en el presente

escrito".

Y aportaba factura de los servicios de información contratados con el reclamado.

DECIMO. El 26/04/2023 el reclamado presenta nuevos escritos en los que reitera las

alegaciones y argumentaciones formuladas con anterioridad.

UNDECIMO. En nuevo escrito de 08/06/2023 el reclamado reproduce básicamente lo

ya argumentado y alegado en escritos anteriores.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los

procedimientos tramitados por la Agencia Española de Protección de Datos se regirán

por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las

disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las

contradigan, con carácter subsidiario, por las normas generales sobre los

procedimientos administrativos."

II

En primer lugar, hay que hacer referencia a las excepciones de carácter formal

planteadas por el reclamado antes de entrar en las cuestiones de fondo.

- En primer lugar, respecto a la alegación relativa a la Directiva (UE)

2019/1937, cabe destacar que el artículo 1 de la misma señala que tiene por objeto

reforzar la aplicación del Derecho y las políticas de la Unión en ámbitos específicos

mediante el establecimiento de normas mínimas comunes que proporcionen un

elevado nivel de protección de las personas que informen sobre infracciones del

Derecho de la Unión, siendo el ámbito de aplicación personal el recogido en su artículo

4 donde se circunscribe a los denunciantes que trabajen en el sector privado o público

y que hayan obtenido información sobre infracciones en un contexto laboral.

Asimismo, en su artículo 17 se recoge que todo tratamiento de datos

personales realizado en aplicación de la presente Directiva, incluido el intercambio o

10/27

transmisión de datos personales por las autoridades competentes, se realizará de

conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680.

Así, el principal objetivo de esta Directiva es proteger a quienes denuncien

infracciones o irregularidades en una empresa a través de un canal específico sin que

haya represalias.

Por su parte, el primer apartado del artículo 1 del RGPD proclama que el

Reglamento establece las normas relativas a la protección de las personas físicas en

lo que respecta al tratamiento de los datos personales y las normas relativas a la libre

circulación de tales datos. Añade su segundo apartado que protege los derechos y

libertades fundamentales de las personas físicas y, en particular, su derecho a la

protección de los datos personales.

Con relación al ámbito de aplicación material del RGPD, se circunscribe a lo

preceptuado en su artículo 2 donde se concreta en su primer apartado que es de

aplicación al tratamiento total o parcialmente automatizado de datos personales, así

como al tratamiento no automatizado de datos personales contenidos o destinados a

ser incluidos en un fichero.

A mayor abundamiento, el artículo 51.1 del RGPD estipula que cada Estado

miembro establecerá que sea responsabilidad de una o varias autoridades públicas

independientes (en adelante «autoridad de control») supervisar la aplicación del

presente Reglamento, con el fin de proteger los derechos y las libertades

fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la

libre circulación de datos personales en la Unión, desarrollando las funciones de cada

autoridad de control en su artículo 57.

Por su parte, la LOPDGDD en su artículo 47 establece las funciones y

potestades de la Agencia Española de Protección de Datos, entre las que se

encuentra supervisar la aplicación del RGPD y en su Título VIII se regulan los

procedimientos en caso de posible vulneración de la normativa de protección de datos.

Por lo tanto, la Directiva (UE) 2019/1937, al contrario de lo afirmado por el

reclamado no modifica el RGPD ni deja obsoleta la LOPDGDD, adoleciendo el

reclamado de un exceso de voluntarismo normativo, sino que se trata de una norma

con un objeto y ámbito de aplicación claramente distinto al del RGPD y, por ende, a la

LOPDGDD. Así, lo alegado por QUALITY respecto a la inadecuación del

procedimiento incoado por la Agencia Española de Protección de Datos para la

tramitación del presente expediente, carece totalmente de fundamento.

- Alega el reclamado la incompetencia de la AEPD para la tramitación del

presente asunto; hay que señalar que el artículo 47 de la LOPDGDD establece que:

?Corresponde a la Agencia Española de Protección de Datos supervisar la

aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular,

ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el

artículo 58 del mismo reglamento, en la presente ley orgánica y en sus disposiciones

de desarrollo.

11/27

Asimismo, corresponde a la Agencia Española de Protección de Datos el

desempeño de las funciones y potestades que le atribuyan otras leyes o normas de

Derecho de la Unión Europea?.

- Alega el reclamado que carece de datos personales del reclamante, acusando

a la AEPD de falta de rigor jurídico y ausencia de transparencia.

Al respecto se señala que las presuntas infracciones por la que se inicia este

procedimiento sancionador, una está relacionada con la licitud del tratamiento de los

datos del reclamante por el reclamado, infracciones ambas que son causa del acuerdo

de inicio del procedimiento sancionador. Tratamiento que resulta acreditado de las

manifestaciones realizadas no solo por el reclamante sino por la mercantil EVA.

Además, la actividad de tratamiento de datos personales del reclamado ha resultado

ya acreditada en resoluciones firmes de esta Agencia, como la del procedimiento

sancionador EXP202103457.

- Alega el reclamado que la obstrucción a la labor inspectora de esta Agencia

no existe debido a que el Real Decreto 389/2021, de 1 de junio, suprime la Inspección

de Datos; olvida QUALITY que, aunque la Inspección de Datos como órgano directivo

quede suprimida, en su lugar, es la Subdirección General de Inspección de Datos el

órgano equivalente en la estructura orgánica de esta Agencia, definiéndose en el

artículo 27 de dicho Real Decreto sus competencias y funciones, y por lo tanto, esta

Subdirección mantiene vigentes sus competencias tal como se recoge en dicho

artículo.

Además, como ya se ha señalado los hechos a los que se refiere el reclamado

no son objeto del presente procedimiento y se siguen en el PS/00204/2023.

- Alega el reclamado que la Directora no está legitimada para abordar la

presente cuestión al haber caducado su mandato y la supuesta usurpación para

puesto público.

Baste recordarle al reclamado la señalado por la Audiencia Nacional en

Sentencia de 09/12/2022:

?En primer lugar, alega la nulidad de pleno derecho de la resolución recurrida

ex artículo 47.1 de la Ley 39/2015, de 1 de octubre, por manifiesta incompetencia de

la persona firmante de la misma, al haber expirado su mandato, por cumplirse 4 años

desde la fecha de su nombramiento, y también porque la condición en que se dictó era

inexistente al tiempo de adoptarse, conforme a lo establecido en la Disposición

adicional única del Real Decreto 389/2021, por el que se aprueba el Estatuto de la

Agencia Española de Protección de Datos.

A tal fin señala, que según el artículo 14.3 del Estatuto de la Agencia de 1993

aquí aplicable, el mandato del Director de la Agencia de Protección de Datos tendrá

una duración de cuatro años contados desde su nombramiento y sólo cesará en las

causas previstas en el art. 15 de dicho Estatuto. Indica que, en este punto, el Estatuto

de 1993 se diferencia del aprobado por Real Decreto 389/2021, de 1 de junio, cuyo

artículo 12.3 sí dispone que la persona titular de la Presidencia cesante continuará en

funciones hasta la toma de posesión de la nueva persona titular de la Presidencia ,

pero dado que no prevé ninguna norma transitoria al respecto, al igual que tampoco se

12/27

preveía en la LOPDGDD sobre el desempeño en funciones del puesto del Director de

la AEPD hasta la nueva designación del nuevo Presidente de la misma, el mandato de

la Directora, cuyo nombramiento se efectuó el 24 de julio de 2015 (publicado en el

BOE de 25 de julio de 2015), expiró el 24 de julio de 2019, al cumplirse cuatro años

desde su nombramiento.

Y habiéndose producido el cese en sus funciones como Directora de la AEPD,

carecía de competencia para dictar el acuerdo de inicio del expediente en que recayó

la resolución recurrida, de 7 de octubre de 2020, y propia resolución impugnada, cita

las SST de 16 de junio 2017 dictadas en los Rec. 1585/2016 y Rex. 1655/2016, y 20

de junio 2017 (Rec. 2463/2016).

Además, esgrime que conforme lo establecido en la Disposición adicional única

del Real Decreto 389/2021, por el que se aprueba el Estatuto de la Agencia Española

de Protección de Datos, se suprime el órgano directivo Director de la AEPD, por lo

que, a su entender, y ante la ausencia de disposición transitoria que prevea el

mantenimiento de dicho puesto, todos los actos administrativos dictados por la

Directora de la AEPD incurrirían, adicionalmente, en un vicio de legalidad que deriva

de la inexistencia del órgano que los ha dictado.

Por su parte, el Abogado del Estado aduce que ni la LOPD de 1999 ni la

LOPDGDD contemplan un término automático del mandato, de tal forma que cuando

se cumple el término del mandato para el que fue nombrada la Directora deja de tener

competencia alguna, sino que es necesario un Real Decreto de cese, sin que pueda

abandonar el cargo por su propia voluntad si no ha habido Real Decreto de cese del

Gobierno.

Que esto es así, lo demuestra no solo el hecho de que ninguno de los

Directores de la AEPD ha cesado en su cargo por el mero transcurso del tiempo,

habiéndose requerido R.D también para el cese, sino que en ningún caso se ha

producido el "abandono" del cargo por su titular al llegar el cuarto aniversario del

nombramiento. De hecho, el abandono del servicio se consideraba delito hasta el

Código Penal de 1995, que despenaliza dicha conducta en su mayor parte, sin

embargo, constituye una infracción administrativa (falta disciplinaria muy grave), art.

95.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público aprobado

por Real Decreto Legislativo, de 30 de octubre, o art. 6.c) del Reglamento de Régimen

Disciplinario de los Funcionarios de la Administración Civil del Estado, aprobado por

RD 33/1986, de 10 de enero.

Añade que, en cualquier caso, existe el principio general del derecho de la

conservación en el nombramiento del cargo, por lo que, en el nuevo Estatuto de la

AEPD, para evitar estas especulaciones, se establece expresamente que la persona

titular de la Presidencia continuará en funciones hasta la toma de posesión del nuevo

titular de la Presidencia.

Finalmente, esgrime que las sentencias citadas por el recurrente no son

aplicables al presente caso, en que respecto del Director de la AEPD el legislador ni

establece la caducidad automática del nombramiento, ni así se ha entendido por el

Gobierno, ni tampoco prevé la necesidad de un acuerdo expreso de prórroga o la

convocatoria de un concurso, para que el nombramiento, llegado el plazo para el que

fue nombrado, continúe en sus efectos.

Expuestas las posturas de las partes, debemos partir del art 53, apartado 3, del

RGPD, en cuanto indica que los miembros de la autoridad de control " darán por

concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación

obligatoria, de conformidad con el Derecho del Estado miembro de que se trate".

13/27

En el ámbito interno, el artículo 36.1 de la Ley Orgánica 15/1999, de 13 de

diciembre (LOPD), que es la normativa vigente cuando se efectúa el nombramiento de

la Directora de la AEPD, establece que el Director de la AEPD será nombrado

mediante Real Decreto, por un periodo de cuatro años y el apartado 3 del mismo

precepto, señala que antes de la expiración de dicho plazo, el Director de la AEPD

solo cesará, a petición propia o por separación acordada por el Gobierno por

incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio

de su función, incompatibilidad o condena por delito doloso.

Es decir, transcurrido ese término de 4 años, el Gobierno puede cesar al

Director sin necesidad de causa, pero ello no implica que cuando se cumple ese plazo

su cargo automáticamente deje de tener efectividad y de tener funciones o

competencia alguna, pues eso no resulta expresamente de la citada LOPD, ni

tampoco de la Ley Orgánica 3/2018. de 5 de diciembre (LOPDCDD), en su art. 48

respecto de la Presidencia de la AEPD.

Así se ha entendido y venido haciendo por todos los Gobiernos que proceden a

cesar expresamente a los Directores de la AEPD mediante Real Decreto, aún, cuando

su plazo de nombramiento hubiera expirado, sin que sus cargos dejasen de tener

efectividad, en funciones, hasta sus respectivos ceses y los coetáneos nombramientos

de sus sucesores en el cargo, para evitar vacíos en la institución.

Ello obedece a los principios de responsabilidad y continuidad de las

instituciones, para evitar que la institución quede inoperativa cuando no se ha

producido el nombramiento en el cargo de una nueva persona.

El legislador podía haber establecido expresamente la previsión automática de

decaimiento del cargo, esto es, que la efectividad en el cargo cesa en el mismo

momento del cumplimiento del plazo, pero no lo ha hecho ni en la LOPD ni en la

vigente LOPDGDD, ni tampoco en el RD 389/2021, de 1 de junio de 2021, por el que

se aprueba el nuevo Estatuto de la AEPD, que precisamente en el artículo 12.3

establece " la persona titular de la Presidencia cesante continuará en funciones hasta

la toma de posesión de la nueva persona titular de la Presidencia", sin establecer

limitación alguna en cuanto al ejercicio de sus funciones o competencias durante el

periodo en funciones, que tampoco se establecía en la normativa anterior.

Por tanto, no habiéndose establecido limitaciones a la actuación del Director de

la AEPD en funciones, a diferencia de lo que, a título de ejemplo, sucede en el artículo

21.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, que establece que el

Gobierno " continúa en funciones hasta la toma de posesión del nuevo Gobierno, con

las limitaciones establecidas en esta Ley", la Directora de la AEPD ostenta

competencia para dictar la resolución impugnada, así como el acuerdo de inicio del

procedimiento sancionador.

Así las cosas, no cabe tildar de inexistente la condición en virtud de la cual la

Directora de la AEPD dictó el acto recurrido.

De otro lado, la doctrina establecida por el Tribunal Supremo en las citadas

sentencias versa sobre un supuesto que no guarda ninguna similitud con el caso de

autos, por lo que no resulta aquí aplicable.

Efectivamente, dichas sentencias tratan sobre el Decreto 123/1997, de 13 de

mayo, por el que se aprueba el Reglamento general de puestos de trabajo y

promoción profesional de los funcionarios de la Administración de la Generalidad de

Cataluña, y se refieren a una cobertura provisional del puesto, mediante la figura del

encargo de funciones, por la existencia de urgencia. Decreto autonómico que prevé

específicamente que dicho nombramiento quedará automáticamente sin efecto, si en

el plazo de 6 meses no se ha convocado concurso para la provisión del puesto de

14/27

trabajo y además que dicho funcionario no podrá continuar en el ejercicio de sus

funciones, situación ésta distinta de la prevista para el Director de la AEPD, ya que en

el Estatuto anterior no se mencionaba esta eventualidad y el actual prevé

expresamente la extensión de sus funciones.

El motivo, en consecuencia, debe ser desestimado?.

- Alega el reclamado que en el procedimiento iniciado la Agencia se salta las

normas en cuanto a la duración del plazo para resolver que es de 6 meses.

El acuerdo de inicio del presente procedimiento, antepenúltimo párrafo, ya

recogía que el procedimiento tendrá una duración máxima de nueve meses a contar

desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

El artículo 64, Forma de iniciación del procedimiento y duración, de la

LOPDGDD establece que:

?1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de

una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del

Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se

adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.

En este caso el plazo para resolver el procedimiento será de seis meses a

contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de

admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada

su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible

existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la

presente ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia

iniciativa o como consecuencia de reclamación.

Si el procedimiento se fundase en una reclamación formulada ante la Agencia

Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión

a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.

Cuando fuesen de aplicación las normas establecidas en el artículo 60 del

Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del

proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará

conocimiento formal al interesado a los efectos previstos en el artículo 75 de esta ley

orgánica.

Admitida a trámite la reclamación así como en los supuestos en que la Agencia

Española de Protección de Datos actúe por propia iniciativa, con carácter previo al

acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que

se regirá por lo previsto en el artículo 67 de esta ley orgánica.

El procedimiento tendrá una duración máxima de nueve meses a contar desde

la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones.

15/27

3. El procedimiento podrá también tramitarse como consecuencia de la

comunicación a la Agencia Española de Protección de Datos por parte de la autoridad

de control de otro Estado miembro de la Unión Europea de la reclamación formulada

ante la misma, cuando la Agencia Española de Protección de Datos tuviese la

condición de autoridad de control principal para la tramitación de un procedimiento

conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será

en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero,

tercero, cuarto y quinto del apartado 2.

4. Los plazos de tramitación establecidos en este artículo así como los de

admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones

previas de investigación previstos en el artículo 67.2, quedarán automáticamente

suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o

pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una

o varias autoridades de control de los Estados miembros conforme con lo establecido

en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la

notificación del pronunciamiento a la Agencia Española de Protección de Datos?.

No obstante, se informa al reclamado que a raíz de la reforma llevada a cabo

por el apartado cuatro de la disposición final novena de la Ley 11/2023, de 8 de mayo,

de trasposición de Directivas de la Unión Europea en materia de accesibilidad de

determinados productos y servicios, migración de personas altamente cualificadas,

tributaria y digitalización de actuaciones notariales y registrales; y por la que se

modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños

nucleares o producidos por materiales radiactivos («B.O.E.» 9 mayo), el artículo 64 de

la LOPDGDD ha sido modificado.

- Finalmente, respecto a la afirmación del reclamado de que la resolución ha

sido comunicada fuera del plazo permitido por la Ley, se señala que, con fecha 17 de

abril de 2023 se acordó por la Directora de la Agencia Española de Protección de

Datos el inicio el presente procedimiento sancionador, donde se informaba que el

procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha

de dicho Acuerdo, de conformidad con lo dispuesto en el artículo 64 de la LOPDGDD.

Por lo tanto, aún no ha recaído resolución, y el plazo que prevalece por el

principio de especialidad normativa es el señalado en el citado Acuerdo de inicio.

III

Los hechos denunciados se materializan en el tratamiento de los datos del

reclamante de manera ilegitima, considerando que la obtención de los mismos se ha

realizado de manera ilegal, lo que podría vulnerar la normativa en materia de

protección de datos de carácter personal.

El artículo 58 del RGPD, Poderes, señala:

?2. Cada autoridad de control dispondrá de todos los siguientes poderes

correctivos indicados a continuación:

(?)

16/27

d) ordenar al responsable o encargado del tratamiento que las operaciones de

tratamiento se ajusten a las disposiciones del presente Reglamento, cuando

proceda, de una determinada manera y dentro de un plazo especificado;

(?)

i) imponer una multa administrativa con arreglo al artículo 83, además o en

lugar de las medidas mencionadas en el presente apartado, según las

circunstancias de cada caso particular;

(?)?

IV

El artículo 6, Licitud del tratamiento, del RGPD en su apartado 1, establece

que:

?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas

precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o

de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en

interés público o en el ejercicio de poderes públicos conferidos al responsable

del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o por un tercero, siempre que

sobre dichos intereses no prevalezcan los intereses o los derechos y libertades

fundamentales del interesado que requieran la protección de datos personales,

en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al

tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones?.

Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11,

señala que:

?1) «datos personales»: toda información sobre una persona física identificada

o identificable («el interesado»); se considerará persona física identificable toda

persona cuya identidad pueda determinarse, directa o indirectamente, en particular

mediante un identificador, como por ejemplo un nombre, un número de identificación,

datos de localización, un identificador en línea o uno o varios elementos propios de la

identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha

persona;

?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas

sobre datos personales o conjuntos de datos personales, ya sea por procedimientos

17/27

automatizados o no, como la recogida, registro, organización, estructuración,

conservación, adaptación o modificación, extracción, consulta, utilización,

comunicación por transmisión, difusión o cualquier otra forma de habilitación de

acceso, cotejo o interconexión, limitación, supresión o destrucción;

?11) «consentimiento del interesado»: toda manifestación de voluntad libre,

específica, informada e inequívoca por la que el interesado acepta, ya sea mediante

una declaración o una clara acción afirmativa, el tratamiento de datos personales que

le conciernen?.

V

La infracción del artículo 6.1 del RGPD que se le atribuye a la reclamada se

encuentra tipificada en el artículo 83.5 a) del RGPD, que considera que la infracción de

?los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el

apartado 5 del mencionado artículo 83 del citado Reglamento, ?con multas

administrativas de 20.000.000? como máximo o, tratándose de una empresa, de una

cuantía equivalente al 4% como máximo del volumen de negocio total anual global del

ejercicio financiero anterior, optándose por la de mayor cuantía?.

La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen

infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del

artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la

presente ley orgánica?.

Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones

consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

(?)

b) El tratamiento de datos personales sin que concurra alguna de las

condiciones de licitud del tratamiento establecidas en el artículo 6 del

Reglamento (UE) 2016/679.

(?)?

VI

1. Hay que señalar que el tratamiento de datos requiere la existencia de una

base legal que lo legitime.

De conformidad con el artículo 6.1 del RGPD, además del consentimiento,

existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de

contar con la autorización de su titular, en particular, cuando sea necesario para la

ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición

de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de

intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,

siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y

18/27

libertades fundamentales del afectado que requieran la protección de tales datos. El

tratamiento también se considera lícito cuando sea necesario para el cumplimiento de

una obligación legal aplicable al responsable del tratamiento, para proteger intereses

vitales del afectado o de otra persona física o para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al

responsable del tratamiento.

En el presente caso, el reclamado no ha acreditado base de legitimación

alguna de las prevista en el artículo 6.1 del RGPD para el tratamiento de los datos

personales del reclamante.

2. El reclamado no ha acreditado el origen de los datos del reclamante, aunque

en su escrito de 27/04/2023 señalaba que ?los datos mostrados son datos básicos,

obtenidos de Registros Públicos legalmente y no se requiere consentimiento por parte

del afectado?.

En relación con esta cuestión hay que señalar que el concepto de ?fuentes de

acceso público? al contrario de lo señalado en la antigua LOPD, no figura en el vigente

RGPD como base legitimadora, con lo que se aplica en todo caso la necesidad de

acreditar una base legitimadora conforme establece el artículo 6.1 del RGPD.

En caso de considerar que se han obtenido legítimamente los datos al haberse

obtenido de un tercero, no del propio interesado, la parte reclamada para actuar

acorde a derecho debió comunicar la obtención de los datos al reclamante, ya sea en

el momento en que los obtuvieron o bien cuando los utilizaron con fines comerciales, o

bien en el momento en que los datos personales sean comunicados por primera vez, y

en todo caso en el plazo máximo de un mes, de acuerdo con el artículo 14 RGPD.

En este sentido ha de indicarse que, en todo caso, la parte reclamada para

actuar acorde a derecho debió comunicar la obtención de los datos al reclamante, ya

sea en el momento en que los obtuvieron o bien cuando los utilizaron con fines

comerciales.

Como consecuencia de ello, el reclamado ha vulnerado el artículo 6 del RGPD,

de conformidad con el fundamento de derecho II, por entender que nos encontramos

ante un tratamiento ilegítimo de datos.

3. Consta en los hechos probado que la mercantil EVA ha aportado factura

***NÚMERO.1, de 27/12/2022, correspondiente a los servicios de información

contratados con el reclamado que acreditan la relación comercial mantenida con el

mismo.

También ha manifestado que los datos del reclamante que fueron adquiridos

del reclamado responden al nombre completo y su número de teléfono.

EVA realizó en marzo de 2022 una llamada al reclamante y que este, en abril

se dirigió a la entidad solicitando la cancelación de sus datos, la cual, se procedió a

atender inmediatamente con el fin de responder a su solicitud y en cumplimiento de la

legislación contenida en el presente escrito.

19/27

Sin embargo, la respuesta del reclamado la información solicitada y en el que

se le preguntaba:

?Relación completa de los datos de que disponen del afectado

Origen de cada uno de los datos, detallando el consentimiento o la habilitación

legal de que disponen para realizar tratamientos, así como la fecha en que

fueron recabados

Detalle de las cesiones o comunicaciones de datos a terceras entidades,

indicando para cada cesión, la fecha en que se realiza, el consentimiento del

titular de los datos o la habilitación legal.

Detalle de las cesiones de datos realizadas a TECNOCASA en Collado Villalba

de los datos personales del reclamante, aportando:

? Fecha en que se realizó la comunicación de datos a TECNOCASA

? Contrato, factura o documentación que permita acreditar el acuerdo

comercial para la cesión de los datos del reclamante

? Conjunto de datos comunicados a TECNOCASA

? Información facilitada al titular de los datos que ampare la referida

comunicación de datos

? Consentimiento o habilitación legal del afectado para la cesión de sus

datos a TECNOCASA?, (los subrayados corresponden a la AEPD)

fue la inadecuación del procedimiento incoado por la Agencia y la incompetencia de la

misma para la tramitación del asunto y que se encontraba imposibilitado para aportar

información relativa a este expediente debido a que el reclamante no aporta fotocopia

del documento nacional de identidad para poder identificarla y, además, para más inri

solicitaba a la Agencia que requiriera al reclamante la aportación del DNI, para que a

su vez, este organismos se lo remitiera para poder identificar al reclamante; petición

que resulta de lo más paradójico.

Sin embargo, como consta al inicio de este número no solo no tenía los datos

de la reclamante, sino que no tuvo empacho en hacer negocio con la mercantil EVA, a

la vista de la factura emitida, con los datos de aquel.

Este comportamiento evidencia la vulneración del artículo 6.1 del RGPD, al

carecer de legitimación alguna para el tratamiento de los datos del reclamante,

infracción que se encuentra tipificada en el artículo 83.5.a) del RGPD.

VII

En segundo lugar, el ejercicio del derecho de supresión viene regulado en el

artículo 17 del RGPD, que establece:

?1. El interesado tendrá derecho a obtener sin dilación indebida del

responsable del tratamiento la supresión de los datos personales que le conciernan, el

cual estará obligado a suprimir sin dilación indebida los datos personales cuando

concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para

los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de

conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2,

letra a), y este no se base en otro fundamento jurídico;

20/27

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1,

y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se

oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una

obligación legal establecida en el Derecho de la Unión o de los Estados

miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios

de la sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud

de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del

tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación,

adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los

responsables que estén tratando los datos personales de la solicitud del interesado de

supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de

los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de

datos impuesta por el Derecho de la Unión o de los Estados miembros que se

aplique al responsable del tratamiento, o para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al

responsable;

c) por razones de interés público en el ámbito de la salud pública de

conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o

histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en

la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible

u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones?.

VIII

La vulneración del artículo 17 del RGPD se encuentra tipificada en el artículo

83.5.b) del citado RGPD en los siguientes términos:

?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo

con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

(?)

b) los derechos de los interesados a tenor de los artículos 12 a 22;

(?)?

21/27

Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

Y en su artículo 72, a efectos de prescripción, califica de ?Infracciones

consideradas muy graves?:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes:

(?)

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio

de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)

2016/679.

(?)?

IX

1. En relación con el citado derecho de supresión de los datos, el Considerando

59 del RGPD señala que:

"59. Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus

derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar

y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos

personales y su rectificación o supresión, así como el ejercicio del derecho de

oposición. El responsable del tratamiento también debe proporcionar medios para que

las solicitudes se presenten por medios electrónicos, en particular cuando los datos

personales se tratan por medios electrónicos. El responsable del tratamiento debe

estar obligado a responder a las solicitudes del interesado sin dilación indebida y a

más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a

atenderlas".

Y el Considerando 66 del RGPD señala que:

"66. A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho

de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya

hecho públicos datos personales esté obligado a indicar a los responsables del

tratamiento que estén tratando tales datos personales que supriman todo enlace a

ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe

tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su

disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado

a los responsables que estén tratando los datos personales".

En este caso, la reclamante ha solicitado la supresión de sus datos personales

al reclamado y en respuesta a esta solicitud el reclamado solicitó a la parte reclamante

copia del DNI para proceder a la supresión.

Sobre este particular debe recordarse que las Directrices 01/2022 sobre los

derechos de los interesados ? Derecho de acceso Versión 1.0 adoptadas el

22/27

18/01/2022, se recoge, en cuanto a la identificación de la persona solicitante, que el

responsable del tratamiento debe responder a las solicitudes de los interesados de

ejercicio de sus derechos individuales, a menos que pueda demostrar, mediante una

justificación conforme al principio de responsabilidad proactiva (artículo 5.2), que no

está en condiciones de identificar al interesado (artículo 11).

Y en particular sobre la evaluación de la proporcionalidad en relación con la

identificación del solicitante, las citadas Directrices disponen lo siguiente:

?69 Como se ha indicado anteriormente, si el responsable del tratamiento tiene

motivos razonables para dudar de la identidad de la persona solicitante, puede

solicitar información adicional para confirmar la identidad del interesado. Sin

embargo, el responsable del tratamiento debe garantizar al mismo tiempo que

no recopila más datos personales de los necesarios para permitir la

identificación de la persona solicitante. Por lo tanto, el responsable del

tratamiento llevará a cabo una evaluación de proporcionalidad, que deberá

tener en cuenta el tipo de datos personales que se están tratando (por ejemplo,

categorías especiales de datos o no), la naturaleza de la solicitud, el contexto

en el que se realiza la solicitud, así como cualquier daño que pueda resultar de

una divulgación indebida. Al evaluar la proporcionalidad, debe recordarse evitar

la recopilación excesiva de datos, garantizando al mismo tiempo un nivel

adecuado de seguridad del procesamiento.

70. El responsable del tratamiento debe aplicar un procedimiento de

autenticación (verificación de la identidad del interesado) para estar seguro de

la identidad de las personas que solicitan el acceso a sus datos28, y garantizar

la seguridad del tratamiento durante todo el proceso de tramitación de una

solicitud de acceso de conformidad con el artículo 32, incluido, por ejemplo, un

canal seguro para que los interesados faciliten información adicional. El

método utilizado para la autenticación debe ser pertinente, adecuado,

proporcionado y respetar el principio de minimización de datos. Si el

responsable del tratamiento impone medidas gravosas destinadas a identificar

al interesado, debe justificarlo adecuadamente y garantizar el cumplimiento de

todos los principios fundamentales, incluida la minimización de datos y la

obligación de facilitar el ejercicio de los derechos de los interesados (art. 12,

apartado 2, del RGPD). (?)

73. Es preciso subrayar que la utilización de una copia de un documento de

identidad como parte del proceso de autenticación crea un riesgo para la

seguridad de los datos personales y puede dar lugar a un tratamiento no

autorizado o ilícito, por lo que debe considerarse inadecuada, salvo que sea

estrictamente necesario, adecuado y conforme con el Derecho nacional. En

tales casos, los responsables del tratamiento deben disponer de sistemas que

garanticen un nivel de seguridad adecuado para mitigar los mayores riesgos

para los derechos y libertades del interesado al recibir dichos datos. También

es importante tener en cuenta que la identificación mediante un documento de

identidad no ayuda necesariamente en el contexto en línea (por ejemplo, con el

uso de seudónimos) si la persona interesada no puede aportar ninguna otra

prueba, por ejemplo, otras características que coincidan con la cuenta de

usuario.?

23/27

El reclamado no ha acreditado la proporcionalidad de su petición que podría

ser excesiva y suponer una obstaculización del ejercicio del derecho de supresión.

Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores

formalidades que las que se siguieron para obtener tales datos.

2. La documentación obrante en el expediente ofrece indicios evidentes de que

el reclamado, vulneró el artículo 17 del RGPD, derecho de supresión, al no ser

atendido el mismo pese a que la reclamante ejercito su derecho.

El reclamante ha manifestado que ante el ejercicio de su derecho la respuesta

del reclamado fue que debía remitirles copia del DNI. El reclamado ha señalado que

se encontraba imposibilitado para aportar la información requerida por la Agencia ya

que el reclamante no había aportado fotocopia del DNI a los efectos de poder

identificarle, lo que impedía saber de qué persona física o jurídica se trataba y, por

tanto, de qué datos se trataba. Además, solicitaban a la Agencia que requiriera al

reclamante la aportación del DNI.

La normativa de protección de datos permite que puedas ejercer ante el

responsable del tratamiento tus derechos de acceso, rectificación, oposición,

supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones

individualizadas.

De conformidad con la normativa establecida, ha de indicarse que no se puede

exigir la presentación de copia del DNI para el ejercicio de su solicitud, cuando para la

obtención de los datos obtenidos de registros públicos, es decir, de fuentes de acceso

público, en virtud de lo manifestado por el reclamado, no se comprobó tampoco la

identidad.

Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores

formalidades que las que se siguieron para obtener tales datos.

Por lo tanto, se habría vulnerado el artículo el artículo 17 del RGPD de

conformidad con lo señalado anteriormente, infracción tipificada en el artículo 83.5.b)

del RGPD.

X

A fin de establecer la multa administrativa que procede imponer han de

observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que

señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias

de cada caso individual, a título adicional o sustitutivo de las medidas contempladas

24/27

en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate,

así como el número de interesados afectados y el nivel de los daños y

perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento

para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del

tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan

aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del

tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso,

en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido

ordenadas previamente contra el responsable o el encargado de que se trate

en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos

de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.

En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su

artículo 76, ?Sanciones y medidas correctivas?, establece que:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)

2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

25/27

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la

sanción de multa a imponer en el presente caso por la infracción tipificada en el

artículo 83.5.a) y artículo 6.1 del RGPD de la que se responsabiliza al reclamado, en

una valoración inicial, se estiman se estiman concurrentes los siguientes factores:

Como circunstancias agravantes:

La naturaleza y gravedad de la infracción; los hechos puestos de

manifiesto afectan a un principio básico relativo al tratamiento de los datos de

carácter personal, como es el de legitimidad, que la norma sanciona con la

mayor gravedad. Los datos personales del reclamante ha sido objeto de

tratamiento por el reclamado, sin que figure que es o haya sido cliente de la

entidad ni que mantenga algún tipo de relación con la misma (artículo 83.2. a)

del RGPD).

La intencionalidad o negligencia en la infracción. Los hechos puestos de

manifiesto acreditan que la reclamada no obró con la diligencia a la que venía

obligada, negándose a informar sobre los datos personales y la cancelación de

los mismos a solicitud del reclamante, así como negándose a colaborar con la

actuación llevada a cabo por el Servicio de Inspección.

La actividad de la entidad presuntamente infractora está vinculada con

el tratamiento de datos de carácter personal. Conectada también con el grado

de diligencia que el responsable del tratamiento está obligado a desplegar en el

cumplimiento de las obligaciones que le impone la normativa de protección de

datos puede citarse la SAN de 17/10/2007. Si bien fue dictada antes de la

vigencia del RGPD su pronunciamiento es perfectamente extrapolable al

supuesto que analizamos. La sentencia, después de aludir a que las entidades

en las que el desarrollo de su actividad conlleva un continuo tratamiento de

datos de clientes y terceros han de observar un adecuado nivel de diligencia,

precisaba que ?(...). el Tribunal Supremo viene entendiendo que existe

imprudencia siempre que se desatiende un deber legal de cuidado, es decir,

cuando el infractor no se comporta con la diligencia exigible. Y en la valoración

del grado de diligencia ha de ponderarse especialmente la profesionalidad o no

del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la

actividad de la recurrente es de constante y abundante manejo de datos de

carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse

a las prevenciones legales al respecto? (artículo 76.2.b) de la LOPDGDD en

relación con el artículo 83.2.k).

- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la

sanción de multa a imponer en el presente caso por la infracción tipificada en el

artículo 83.5.b) y artículo 17 del RGPD de la que se responsabiliza al reclamado, en

una valoración inicial, se estiman se estiman concurrentes los siguientes factores:

Como circunstancias agravantes:

26/27

La naturaleza y gravedad de la infracción; no hay que olvidar que nos

encontramos ante la infracción de un derecho del interesado, derecho de

supresión, que no ha sido atendido por la entidad; por otra parte, la propia

norma sanciona con la mayor gravedad la ausencia y falta de atención de este

tipo de derechos que se consideran claves en la normativa sobre protección de

datos. (artículo 83.2. a) del RGPD).

La intencionalidad o negligencia en la infracción. Los hechos puestos de

manifiesto acreditan que el reclamado no obró con la diligencia a la que venía

obligado, negándose a informar sobre los datos personales y a colaborar con la

actuación inspectora llevada a cabo por el Servicio de Inspección de la AEPD.

La actividad de la entidad presuntamente infractora está vinculada con

el tratamiento de datos de carácter personal. En la actividad de la entidad

reclamada es imprescindible el tratamiento de datos de carácter personal de

clientes y terceros por lo que la transcendencia de la conducta objeto de la

presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD en

relación con el artículo 83.2.k).

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a QUALITY-PROVIDER S.A., con NIF A87407243,

- Por una infracción del artículo 6.1 del RGPD, tipificada en el Artículo 83.5.a) del

RGPD, una multa de 10.000 (diez mil euros).

- Por una infracción del artículo 17 del RGPD, tipificada en el Artículo 83.5.b) del

RGPD, una multa de 10.000 (diez mil euros).

SEGUNDO: NOTIFICAR la presente resolución a QUALITY-PROVIDER S.A., con NIF

A87407243.

TERCERO: ORDENAR a QUALITY-PROVIDER S.A., con NIF A87407243, que en

virtud del artículo 58.2.d) del RGPD, en el plazo de un mes desde la notificación de la

presente Resolución, acredite haber procedido al cumplimiento de la adopción de

medidas para que no vuelvan a producirse hechos como los que han dado lugar al

procedimiento sancionador al tratar datos de carácter personal sin legitimación alguna

de las contempladas en el artículo 6.1 del RGPD y sin atender el ejercicio del derecho

de supresión contemplado en el artículo 17 del RGPD, pese a que la reclamante

ejercito su derecho.

CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

27/27

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:

CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en

la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su

recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se

encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el

pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si

se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del

pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art.

48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la

LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición

ante la Directora de la Agencia Española de Protección de Datos en el plazo de un

mes a contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la

LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa

si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este

hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,

presentándolo a través del Registro Electrónico de la Agencia

[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes

registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También

deberá trasladar a la Agencia la documentación que acredite la interposición efectiva

del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la

interposición del recurso contencioso-administrativo en el plazo de dos meses desde el

día siguiente a la notificación de la presente resolución, daría por finalizada la

suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

Fórmate con Colex en esta materia. Ver libros relacionados.