Inicio
Resoluciones
Resolución de la Agencia ...io de 2023

Última revisión
01/09/2023

Resolución de la Agencia Española de Protección de Datos PS-00524-2022 de 02 de junio de 2023

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 29 min

Órgano: Agencia Española de Protección de Datos

Fecha: 02/06/2023

Num. Resolución: PS-00524-2022

Cuestión

1 / 14

Expediente N.º: EXP202103457

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 24 de agosto de 2021, A.A.A. (en adelante, la parte reclamante)

interpuso...

Contestacion

1/14

? Expediente N.º: EXP202103457

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 24 de agosto de 2021, A.A.A. (en adelante, la parte reclamante)

interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra QUALITY-PROVIDER S.A. con NIF A87407243 (en

adelante, la parte reclamada).

Los motivos en que basa la reclamación son los siguientes:

El reclamante manifiesta haber recibido en su domicilio una llamada telefónica (no

identifica el número) de la inmobiliaria TEMPOCASA. Al preguntar cómo habían

obtenido los datos, les responden que proceden de INGLOBALY, entidad con la que

ha contactado para solicitar que eliminen los datos personales del reclamante.

Aporta una impresión de pantalla de la base de datos de INGLOBALY.

En la imagen se aprecian los datos personales de las personas convivientes en el

domicilio sobre el que se ha realizado la búsqueda.

La parte reclamante se ha dirigido al responsable para solicitar la supresión de los

datos, y se le ha redirigido a usar los servicios de un tercero, viadenuncia.net, para

hacerlo.

Le han solicitado la copia del DNI y como se ha negado a facilitarla no han tramitado la

supresión.

SEGUNDO: Con fecha 22 de noviembre de 2021, de conformidad con el artículo 65 de

la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

TERCERO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

El reclamante efectuó, en fecha 16 de agosto de 2021, una comunicación anónima en

el buzón de infracciones y denuncias de QUALITY PROVIDER, en el sistema

Viadenuncia, una solicitud de supresión de sus propios datos personales que

figuraban en los ficheros de Inglobaly.com.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/14

Debido a que Inglobaly.com es un dominio que pertenece a QUALITY PROVIDER

S.A., la comunicación se introdujo a través del buzón de denuncias de QUALITY

PROVIDER S.A.

Dicha comunicación y denuncia indicaba lo siguiente:

?Mis datos personales salen en su página web y yo no les he dado estos datos ni

tampoco he dado consentimiento para que los publiquen. No sé cómo han conseguido

mis datos, pero si no los retiran tomare acciones legales.?

Según indican los representantes de la entidad reclamada, la denuncia era anónima,

no existía un correo electrónico a través del cual contactar ni tampoco aparecía el

nombre y apellidos del denunciante, por lo que no era posible identificar al solicitante

ni tampoco qué datos se interesaba que fueran suprimidos.

El mismo día 16 de agosto de 2021, el gestor e instructor del buzón de QUALITY

PROVIDER, respondió a dicha denuncia poniendo de manifiesto que sin la

identificación de la persona solicitante resultaba excesivamente complejo poner en

marcha la gestión de supresión de los datos personales solicitada.

CUARTO: Con fecha 2 de noviembre de 2022, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,

con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre,

del Procedimiento Administrativo Común de las Administraciones Públicas (en

adelante, LPACAP), por la presunta infracción del artículo 6 del RGPD y artículo 17 del

RGPD, tipificada en el artículo 83.5 del RGPD.

QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en

la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito

de alegaciones en el que, en síntesis, expresa lo siguientes:

Considera la manifiesta incompetencia de la Agencia Española de Protección de Datos

para la tramitación del presente procedimiento en virtud de lo estipulado por la

Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de

2019, relativa a la protección de las personas que informen sobre infracciones del

Derecho de la Unión, la cual entró en vigor el 17 de diciembre de 2019, por lo que

solicita que la Agencia se declare incompetente y se inhiba de la tramitación del

presente expediente.

En segundo lugar, señala que, en respuesta a la solicitud de supresión de los datos,

se contestó que dicho ejercicio requiere que se remita copia del DNI de los datos cuya

supresión se interesaba, puesto que sin ello no era posible cursar la orden de

supresión, y que al no aportarse no pudo llevarse a cabo.

SEXTO: Con fecha 15 de diciembre de 2022, el instructor del procedimiento acordó

practicar las siguientes pruebas:

Se dan por reproducidos a efectos probatorios la reclamación interpuesta por A.A.A. y

su documentación, los documentos obtenidos y generados durante la fase de admisión

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/14

a trámite de la reclamación, y el informe de actuaciones previas de investigación que

forman parte del procedimiento E/12442/2021.

Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de

inicio del procedimiento sancionador referenciado, presentadas por QUALITYPROVIDER

S.A., y la documentación que a ellas acompaña.

De las actuaciones practicadas en el presente procedimiento y de la documentación

obrante en el expediente, han quedado acreditados los siguientes:

SEPTIMO: Con fecha 17 de enero de 2023 se dicta propuesta de resolución

proponiendo que la Directora de la Agencia Española de Protección de Datos sancione

a QUALITY-PROVIDER S.A., por las infracciones de los artículos 6 y 17 del RGPD,

tipificadas en el artículo 83.5 del RGPD imponga una multa de 10.000 euros por

sanción, lo que hace un total de 20.000 euros.

OCTAVO: Con fecha 14 de febrero de 2023 la parte reclamada en respuesta a la

propuesta de resolución dictada por esta Agencia el 17 de enero de 2023, nuevamente

expresa la manifiesta incompetencia de la AEPD para conocer del presente

procedimiento sancionador, en base a la Directiva (UE) 2019/1937, del Parlamento

Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las

personas que informen sobre infracciones del Derecho de la Unión, la cual entró en

vigor el 17 de diciembre de 2019.

Señala que la entidad cuenta con un canal de denuncias como indica la Directiva que

es externo a INGLOBALY sujeto al deber de secreto que es el que solicitó el DNI del

reclamante.

Pone de manifiesto que los datos fueron adquiridos por QUALITY PROVIDER SA y

obtenidos de la entidad TELEFÓNICA a través de fuente accesibles al público desde

el año 2004

Reitera que existió una imposibilidad fáctica de llevar a cabo la supresión solicitada, al

no haber sido proporcionados los datos cuya supresión se pretendía, ni tampoco

autorización alguna para que la solicitante efectuará la solicitud de supresión de datos

a nombre de su padre. Ante ello, esta parte intentó, a través de los medios que se

hallaban a su alcance, obtener la necesaria identificación del solicitante, quien se negó

rotundamente a identificarse fehacientemente para que esta parte pudiera llevar a

cabo la solicitud efectuada relativa a la supresión de sus datos.

NOVENO: Con fecha 7 de marzo de 2023 la entidad reclamada presenta nuevas

alegaciones y solicita copia del expediente y ampliación de plazo para presentar

nuevas alegaciones a la propuesta de resolución.

DÉCIMO: Con fecha 23 de marzo de 2023 la entidad reclamada presenta escrito en

respuesta a la propuesta de resolución dictada por esta Agencia el 17 de enero de

2023, manifestando que esta Agencia al abrir el presente procedimiento sancionador

está vulnerando el artículo 24 de la Constitución Española de 29 de diciembre de 1078

y la Directiva (UE) 2019/1937 del parlamento europeo y del 2 consejo de 23 de octubre

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/14

de 2019 relativa a la protección de las personas que informen sobre infracciones del

Derecho de la Unión.

En concreto, la entidad reclamada expresa la falta de competencia de la Agencia

Española de Protección de Datos manifestando lo siguiente:

?Mantenemos y ratificamos todos los escritos presentados en este procedimiento, no

queremos extendernos en repetir todo lo anterior, queda demostrado que la AEPD, no

es competente y que dicha Ley Orgánica de Protección de datos española, esta sin

efecto alguno en todos sus articulados. Fue declarada inconstitucional, por el Tribunal

Constitucional en determinados artículos, donde los beneficiados eran los partidos

políticos y empresas privadas de encuestas (Se tenía que haber propuesto otra Ley

Orgánica nueva, por parte del Gobierno en el Congreso y Senado, hecho este que no

se ha producido, hasta el momento). Nos encontramos que también el Tribunal

Supremo declara ilegal, por motivos políticos, todos los nombramientos nuevos, hecho

ratificado por el Tribunal de Justicia de la Unión Europea y donde se establece que la

AEPD es un nido de CORRUPCIÓN en todos los nombramientos.?

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes

HECHOS PROBADOS

PRIMERO: La parte reclamante manifiesta haber recibido una llamada telefónica, y

que el llamante le informó que había cancelado sus datos de QUALITY.

Se ha constatado que la entidad reclamada no ha dado de baja los datos personales

del reclamante pese a su solicitud.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/14

II

En relación con el tratamiento lícito de los datos personales, el artículo 6 del RGPD,

establece lo siguiente:

?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al

responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos

intereses no prevalezcan los intereses o los derechos y libertades fundamentales del

interesado que requieran la protección de datos personales, en particular cuando el

interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento

realizado por las autoridades públicas en el ejercicio de sus funciones.?

III

El artículo 72.1 b) de la LOPDGDD señala que ?en función de lo que establece el

artículo 83.5 del Reglamento (UE) 2016/679, se consideran muy graves y prescribirán

a los tres años las infracciones que supongan una vulneración sustancial de los

artículos mencionados en aquel y en particular, las siguientes:

b) El tratamiento de datos personales sin que concurra alguna de las condiciones de

licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.?

IV

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/14

En el presente supuesto, aunque la entidad reclamada ha demostrado que está

acreditada para el tratamiento de los datos del reclamante a través de la impresión de

pantalla aportada por el reclamante del registro de sus datos en el fichero de

QUALITY-PROVIDER S.A. el reclamado no ha justificado la base de legitimación

ni ha aportado la ponderación necesaria para que el tratamiento de los datos del

reclamante pueda basarse en el interés legítimo, ni consta que el reclamante haya

sido informado del interés legítimo del reclamado a fin de que pudiera ejercer su

derecho de oposición.

Debe señalarse que el concepto de ?fuentes de acceso público? no figura en el vigente

RGPD, con lo que se aplica en todo caso la necesidad de acreditar una base

legitimadora conforme establece el artículo 6.1 del RGPD.

En este sentido ha de indicarse que, en todo caso, la parte reclamada para actuar

acorde a derecho, debió comunicar la obtención de los datos al reclamante, ya sea en

el momento en que los obtuvieron o bien cuando los utilizaron con fines comerciales.

Como consecuencia de ello, la entidad reclamada ha vulnerado el artículo 6 del

RGPD, de conformidad con el fundamento de derecho II, por entender que nos

encontramos ante un tratamiento ilegítimo de datos.

V

Por otro lado, el artículo 17 del RGPD, establece lo siguiente que:

?1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del

tratamiento la supresión de los datos personales que le conciernan, el cual estará

obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna

de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que

fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad

con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se

base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no

prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al

tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/14

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal

establecida en el Derecho de la Unión o de los Estados miembros que se aplique al

responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la

sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo

dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento,

teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará

medidas razonables, incluidas medidas técnicas, con miras a informar a los

responsables que estén tratando los datos personales de la solicitud del interesado de

supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de

los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos

impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al

responsable del tratamiento, o para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con

el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o

fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que

el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar

gravemente el logro de los objetivos de dicho tratamiento, o e) para la formulación, el

ejercicio o la defensa de reclamaciones.?

VI

El artículo 72.1 b) de la LOPDGDD señala que ?en función de lo que establece el

artículo 83.5 del Reglamento (UE) 2016/679, se consideran muy graves y prescribirán

a los tres años las infracciones que supongan una vulneración sustancial de los

artículos mencionados en aquel y en particular, las siguientes:

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los

derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.?

VII

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/14

La entidad reclamada considera la manifiesta incompetencia de la AEPD para conocer

del presente procedimiento sancionador, en base a la Directiva (UE) 2019/1937, del

Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección

de las personas que informen sobre infracciones del Derecho de la Unión, la cual entró

en vigor el 17 de diciembre de 2019.

La entidad reclamada considera que la entrada en vigor de la Directiva (UE)

2019/1937 implicó un cambio legislativo importante, puesto que vino a modificar

directamente, entre otros, el Reglamento General de Protección de Datos. Y las

implicaciones más significatives de esta Directiva son que, en primer lugar, crea un

sistema de resolución de conflictos y de simplificación administrativa diferente; y, en

segundo lugar, su entrada en vigor deja obsoleta la LOPDGDD, que debería de

haberse adaptado desde el momento en que entró en vigor la Directiva (UE)

2019/1937.

En este sentido hemos de señalar que el artículo 288 del Tratado de Funcionamiento

de la UE establece lo siguiente:

?Para ejercer las competencias de la Unión, las instituciones adoptarán reglamentos,

directivas, decisiones, recomendaciones y dictámenes.

El reglamento tendrá un alcance general. Será obligatorio en todos sus elementos y

directamente aplicable en cada Estado miembro.

La directiva obligará al Estado miembro destinatario en cuanto al resultado que deba

conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la

forma y de los medios.

La decisión será obligatoria en todos sus elementos. Cuando designe destinatarios,

sólo será obligatoria para éstos.

Las recomendaciones y los dictámenes no serán vinculantes.?

Por lo tanto, de este precepto se desprende que las directivas, a diferencia de los

reglamentos que son directamente aplicables, son actos jurídicos vinculantes que

implican una obligación de resultado a los Estados miembros destinatarios, es decir,

que implican una obligación de transposición por parte de los Estados de la UE

destinatarios de esta Directiva.

La Directiva que nos ocupa se ha transpuesto al ordenamiento jurídico español, a

través de la ley 2/2023, de 20 de febrero, reguladora de la protección de las personas

que informen sobre infracciones normativas y de lucha contra la corrupción, que, si

bien ha modificado el artículo 24 de la LOPDGDD, no ha supuesto que la AEPD haya

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/14

dejado de ser la autoridad de control independiente con responsabilidad para

supervisar la aplicación del RGPD

VIII

En el presente supuesto, la parte reclamante denuncia a la entidad reclamada porque

pese a su solicitud no da de baja sus datos personales, alegando dicha entidad que tal

acción no es posible al desconocer a qué datos se refiere.

Las Directrices 01/2022 sobre los derechos de los interesados ? Derecho de acceso-

Versión 1.0 adoptadas el 18 de enero de 2022, se recoge, en cuanto a la identificación

de la persona solicitante, que el responsable del tratamiento debe responder a las

solicitudes de los interesados de ejercicio de sus derechos individuales, a menos que

pueda demostrar, mediante una justificación conforme al principio de responsabilidad

proactiva (artículo 5, apartado 2), que no está en condiciones de identificar al

interesado (artículo 11).

Y en particular sobre la evaluación de la proporcionalidad en relación con la

identificación del solicitante, las citadas Directrices disponen lo siguiente:

?69. Como se ha indicado anteriormente, si el responsable del tratamiento tiene

motivos razonables para dudar de la identidad de la persona solicitante, puede

solicitar información adicional para confirmar la identidad del interesado. Sin embargo,

el responsable del tratamiento debe garantizar al mismo tiempo que no recopila más

datos personales de los necesarios para permitir la identificación de la persona

solicitante. Por lo tanto, el responsable del tratamiento llevará a cabo una evaluación

de proporcionalidad, que deberá tener en cuenta el tipo de datos personales que se

están tratando (por ejemplo, categorías especiales de datos o no), la naturaleza de la

solicitud, el contexto en el que se realiza la solicitud, así como cualquier daño que

pueda resultar de una divulgación indebida. Al evaluar la proporcionalidad, debe

recordarse evitar la recopilación excesiva de datos, garantizando al mismo tiempo un

nivel adecuado de seguridad del procesamiento.

70. El responsable del tratamiento debe aplicar un procedimiento de autenticación

(verificación de la identidad del interesado) para estar seguro de la identidad de las

personas que solicitan el acceso a sus datos28, y garantizar la seguridad del

tratamiento durante todo el proceso de tramitación de una solicitud de acceso de

conformidad con el artículo 32, incluido, por ejemplo, un canal seguro para que los

interesados faciliten información adicional. El método utilizado para la autenticación

debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización

de datos. Si el responsable del tratamiento impone medidas gravosas destinadas a

identificar al interesado, debe justificarlo adecuadamente y garantizar el cumplimiento

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/14

de todos los principios fundamentales, incluida la minimización de datos y la obligación

de facilitar el ejercicio de los derechos de los interesados (art. 12, apartado 2, del

RGPD).

73. Es preciso subrayar que la utilización de una copia de un documento de identidad

como parte del proceso de autenticación crea un riesgo para la seguridad de los datos

personales y puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe

considerarse inadecuada, salvo que sea estrictamente necesario, adecuado y

conforme con el Derecho nacional. En tales casos, los responsables del tratamiento

deben disponer de sistemas que garanticen un nivel de seguridad adecuado para

mitigar los mayores riesgos para los derechos y libertades del interesado al recibir

dichos datos. También es importante tener en cuenta que la identificación mediante un

documento de identidad no ayuda necesariamente en el contexto en línea (por

ejemplo, con el uso de seudónimos) si la persona interesada no puede aportar

ninguna otra prueba, por ejemplo, otras características que coincidan con la cuenta de

usuario.?

Por lo tanto, ha de indicarse que la reclamada debió solicitar a la representante del

reclamante que acreditase su representación y no el DNI del representado, padre de la

representante. La reclamada no ha acreditado la proporcionalidad de su petición que

puede considerarse excesiva y que supone una obstaculización del ejercicio del

derecho de supresión.

Esto es así, porque no se pueden exigir para el ejercicio de derechos, mayores

formalidades que las que se siguieron para obtener tales datos.

Por lo tanto, se habría vulnerado el artículo el artículo 17 del RGPD de conformidad

con el fundamento de derecho V.

VIII

En relación con la infracción del artículo 6 y 17 del RGPD y a fin de determinar la multa

administrativa a imponer se han de observar las previsiones de los artículos 83.1 y

83.2 del RGPD, preceptos que señalan:

?Cada autoridad de control garantizará que la imposición de las multas administrativas

con arreglo al presente artículo por las infracciones del presente Reglamento indicadas

en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y

disuasorias.?

?Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/14

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para

paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento,

habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud

de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué

medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con el

mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de

certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o

indirectamente, a través de la infracción.?

Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,

?Sanciones y medidas correctivas?, dispone:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/14

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión

de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la

infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que

existan controversias entre aquellos y cualquier interesado.?

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las multas a

imponer a QUALITY-PROVIDER S.A. con NIF A87407243, como responsable de dos

infracciones tipificadas en el artículo 83.5.a) y 83.5 b) del RGPD, se estiman

concurrentes en el presente caso, en calidad de agravantes, la vinculación de la

actividad del infractor con la realización de tratamientos de datos personales, según el

artículo 76.2 b) de la LOPDGDD.

Cada una de estas infracciones pueden ser sancionadas con multa de 20 000 000 ?

como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD.

IX

Tras las evidencias obtenidas, se considera que procede graduar las sanciones a

imponer en la cuantía de 10.000 ? (diez mil euros) por la infracción del artículo 6 del

RGPD y 10.000 ? (diez mil euros) por la infracción del artículo 17 de RGPD.

En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y

los hechos que han dado lugar a la vulneración de la normativa de protección de

datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio

de que el tipo de procedimientos, mecanismos o instrumentos concretos para

implementarlas corresponda a la parte sancionada, pues es el responsable del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/14

tratamiento quien conoce plenamente su organización y ha de decidir, en base a la

responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la

LOPDGDD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a QUALITY-PROVIDER S.A., con NIF A87407243, por una

infracción del artículo 6 del RGPD y artículo 17 del RGPD, tipificada en el Artículo 83.5

del RGPD, una multa de 10.000 euros por cada infracción lo que hace un total de

20.000 euros (veinte mil euros)

SEGUNDO: NOTIFICAR la presente resolución a QUALITY-PROVIDER S.A.

TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:

CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en

la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su

recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/14

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-181022

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es