Resolución de la Agencia Española de Protección de Datos PS-00564-2023 de 05 de marzo de 2024

Cuestión

Expediente Nº: EXP202318259

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 8 de febrero de 2024 , la Directora de la...

Contestacion

1/11

? Expediente Nº: EXP202318259

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 8 de febrero de 2024, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a ADADE BURGOS,

S.L. (en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:

<<

Expediente N.º: EXP202318259

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes

HECHOS

PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 13 de agosto de 2021

interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra ADADE BURGOS, S.L. con NIF B09604091 (en

adelante, la parte reclamada).

Los motivos en que basa la reclamación son los siguientes:

El reclamante expone que el ***FECHA.1 fue despedido disciplinariamente de la

entidad reclamada.

El ***FECHA.2 la entidad remitió un correo electrónico a los clientes que eran

atendidos por el reclamante y les comunicó que había dejado de prestar servicio al ser

despedido disciplinariamente por mala praxis profesional.

El ***FECHA.3 el reclamante ejerció el derecho de acceso ante la entidad, solicitando

información sobre los destinatarios a los que se le comunicaron sus datos, por qué

medios y los términos utilizados para informar de las cuestiones relativas a su despido.

El ***FECHA.4 la entidad reclamada atiende el derecho y le informa de que la

extinción de la relación laboral se ha comunicado por correo electrónico a los clientes

con los que mantenía relación profesional el reclamante.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/11

El reclamante considera que esta contestación no satisface su derecho en la medida

en la que no le han indicado los clientes y proveedores a los que se les remitió el

correo electrónico en el que se indicaba que había sido despedido, ni los términos

utilizados para describir la citada situación.

Junto a la reclamación aporta el burofax remitido para ejercitar el derecho y su

contestación.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), el 22 de octubre de 2021, se dio traslado de dicha reclamación a

la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el

plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos

previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), fue recogido en fecha 3 de noviembre de 2021 como

consta en el acuse de recibo que obra en el expediente.

Con fecha 10 de diciembre de 2021, se recibe en esta Agencia escrito de respuesta

indicando la entidad reclamada que únicamente comunicó el nombre, primer apellido y

correo electrónico corporativo del reclamante a los clientes a los que él venía

prestando sus servicios como empleado de la entidad reclamada

El número total de clientes a los que se comunicaron estos datos personales fueron

(...).

Se manifiesta por la entidad reclamada que dicha comunicación del nombre, primer

apellido y correo electrónico corporativo del reclamante se hizo en interés legítimo,

tanto de la entidad reclamada como de los clientes de dicha entidad, a los que el

reclamante prestaba asesoramiento fiscal.

El reclamante manifiesta que no se ha atendido su ejercicio de derecho de acceso de

forma correcta porque no se le ha informado de los clientes a los que se ha

comunicado los datos, clientes de sobra conocidos por él mismo al prestarles el

reclamante sus servicios.

El artículo 15.1. c) del Reglamento (UE) 2016/679 establece que el responsable tiene

que informar de los destinatarios o categoría de destinatarios a los que se han

comunicado datos personales.

La entidad reclamada manifiesta que, en cumplimiento de este artículo, informó de la

categoría de destinatarios (CLIENTES) a los que se habían comunicado su nombre,

primer apellido y correo electrónico corporativo. Se adjunta como Documento 2 la

respuesta al ejercicio de acceso.

No obstante, si así lo estima la Agencia Española de Protección de Datos y no ve

problemas para salvaguardar la privacidad y confidencialidad de los clientes, la entidad

reclamada no tiene ningún problema en comunicar los clientes (de sobra conocidos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/11

por el reclamante porque eran los clientes a los que él prestaba servicios) a los que se

comunicaron el nombre, primer apellido y correo electrónico corporativo del

reclamante.

TERCERO: Con fecha 13 de noviembre de 2021, de conformidad con el artículo 65 de

la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: Con fecha 12 de mayo de 2022, se dictó resolución por la Directora de la

Agencia Española de Protección de Datos, en virtud de la cual se resolvió sancionar a

ADADE BURGOS, S.L. (en adelante, la parte recurrente) porque remitió un correo

electrónico a los clientes que eran atendidos por el reclamante, un total de (...), para

comunicarles que éste había sido despedido disciplinariamente por mala praxis

profesional, cediéndose más datos de los precisos para cumplir con la finalidad

pretendida.

QUINTO: Con fecha 8 de enero de 2024 se procede a la revocación del

PS/00034/2022, al recibir el 17 de mayo de 2022, (cinco días después de dictarse la

resolución), escrito de ADADE BURGOS indicando que no pueden ver la resolución a

través de DEHÚ porque el ?CIF a la que va destinado corresponde a una sociedad

extinguida?.

Junto a dicho escrito se aporta ?Comunicación de tarjeta acreditativa del número de

identificación fiscal? dirigida por la AEAT a ADADE BURGOS, S.L., de 18/12/2019,

donde consta que el NIF de dicha entidad es B09604091.

Se accede al Registro Mercantil obteniendo los siguientes datos:

? B09604091: Adade Burgos, S.L., con inicio de operaciones el 12/09/2019. c/

San Lesmes 6, de Burgos.

? B09289679: Adade Burgos, S.L., con inicio de operaciones el 16/11/1994. c/

San Lesmes 6, de Burgos. Extinguida el 21/11/2019.

La Agencia Española de Protección de Datos declara reconocido el error cometido al

realizar las notificaciones a un NIF equivocado, según se ha constatado por la propia

entidad reclamada al aportarse ?Comunicación de tarjeta acreditativa del número de

identificación fiscal? dirigida por la AEAT a ADADE BURGOS, S.L., de 18/12/2019,

donde consta que el NIF de dicha entidad es B09604091.

Por ello se opta por la revocación de la resolución del expediente EXP202103425,

dictada el 12 de mayo de 2022 de conformidad con lo dispuesto en el artículo 109 de

la Ley 39/2015.

SEXTO: Se procede a la apertura de un nuevo procedimiento sancionador, dentro de

un nuevo expediente, EXP202318259, por los hechos del 21/04/2021, que no se

encuentren prescritos, según el artículo 72.1 a) de la LOPDGDD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/11

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora

de la Agencia Española de Protección de Datos es competente para iniciar y para

resolver este procedimiento.

II

El artículo 5 del RGPD establece que ?los datos personales serán:

?a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud,

lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89,

apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en

interés público, fines de investigación científica e histórica o fines estadísticos no se

considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los

que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas

razonables para que se supriman o rectifiquen sin dilación los datos personales que

sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no

más tiempo del necesario para los fines del tratamiento de los datos personales; los

datos personales podrán conservarse durante períodos más largos siempre que se

traten exclusivamente con fines de archivo en interés público, fines de investigación

científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1,

sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que

impone el presente Reglamento a fin de proteger los derechos y libertades del

interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en

el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).?

Hemos de tener en cuenta también que, en relación con el derecho de acceso del

interesado, el artículo 15 del RGPD, establece lo siguiente:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/11

?1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación

de si se están tratando o no datos personales que le conciernen y, en tal caso,

derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán

comunicados los datos personales, en particular destinatarios en terceros u organizaciones

internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no

ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de

datos personales o la limitación del tratamiento de datos personales relativos al interesado

, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control; g) cuando los

datos personales no se hayan obtenido del interesado, cualquier información disponible

sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que

se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa

sobre la lógica aplicada, así como la importancia y las consecuencias previstas

de dicho tratamiento para el interesado.?

III

En el presente caso, se presenta reclamación porque el ***FECHA.2 la entidad

reclamada remitió un correo electrónico a los clientes que eran atendidos por el

reclamante, un total de (...), y se les comunicó que éste había dejado de prestar

servicios para la entidad reclamada al ser despedido disciplinariamente por mala

praxis profesional.

En este sentido ha de señalarse que no es que no haya falta de legitimación, sino que

se han cedido más datos de los precisos para cumplir con la finalidad pretendida, no

resultando justificable que se comunique la causa por la que el reclamante ya no

presta servicios con la entidad reclamada, al considerar que las causas del cese de la

relación laboral entre empleado y empleador es un asunto privado que sólo concierne

a ambas partes y no a terceros.

En la respuesta dada por la parte reclamada al respecto, se reconoce que se ha

comunicado la causa de cese a los clientes, pero no se indica la voluntad de adoptar

medidas para que no vuelva a suceder.

Así las cosas, de conformidad con las evidencias de las que se dispone, se considera

que los hechos denunciados, podrían vulnerar el artículo 5.1 c) del RGPD, indicado en

el fundamento de derecho II, ya que nos encontramos ante un tratamiento ilícito de los

datos personales, al vulnerar el principio de minimización de los datos personales

tratados, el cual exige que el tratamiento de los datos personales sea adecuado,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

[Link]

http://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html#I262

6/11

pertinente y limitado a lo estrictamente necesario en relación con los fines para los que

se requiera su tratamiento, de conformidad con el artículo 5.1 c) del RGPD.

Concluir señalando que, en relación con el derecho de acceso invocado por el

reclamante, este ha sido respondido por la parte reclamada, de conformidad con el

artículo 15 del RGPD, señalado en el fundamento de derecho III.

IV

El artículo 72.1 a) de la LOPDGDD señala que ?en función de lo que establece el

artículo 83.5 del Reglamento (UE) 2016/679, se consideran muy graves y prescribirán

a los tres años las infracciones que supongan una vulneración sustancial de los

artículos mencionados en aquel y en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679.?

V

El artículo 58.2 del RGPD dispone lo siguiente: ?Cada autoridad de control dispondrá

de todos los siguientes poderes correctivos indicados a continuación:

d) ordenar al responsable o encargado del tratamiento que las operaciones de

tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,

de una determinada manera y dentro de un plazo especificado;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las

medidas mencionadas en el presente apartado, según las circunstancias de cada caso

particular;

Así las cosas, en atención a lo que resulte de la instrucción, se podrá ordenar a la

parte reclamada que en el plazo designado proceda a realizar las actuaciones

necesarias para que el tratamiento de los datos personales utilizados se ajuste a las

disposiciones del RGPD.

VI

Esta infracción puede ser sancionada con multa de 20 000 000 ? como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4% como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD.

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?Cada autoridad de control garantizará que la imposición de las multas administrativas

con arreglo al presente artículo por las infracciones del presente Reglamento

indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas,

proporcionadas y disuasorias.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/11

?Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza

, alcance o propósito de la operación de tratamiento de que se trate así como el número

de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar

los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida

cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los

artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular

si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida

;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con el

mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación

aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente

, a través de la infracción.?

Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,

?Sanciones y medidas correctivas?, dispone:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión

de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la

infracción, que no puede imputarse a la entidad absorbente.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/11

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que

existan controversias entre aquellos y cualquier interesado.?

De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la

instrucción del procedimiento, se considera que procede graduar la sanción a imponer

de acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD,

considerando como agravante la acción intencionada del reclamado de utilizar los

datos personales del reclamante para causarle un perjuicio, al usar sus datos

personales para indicar el cese de la relación laboral entre reclamante y reclamado

(artículo 83.2 b).

A efectos de fijar el importe de la sanción a imponer en el presente caso a la entidad

reclamada por una infracción tipificada en el artículo 83.5.a) del RGPD, en una

valoración inicial, procede graduar la sanción a imponer a la reclamada y fijarla en la

cuantía de 5.000 ? de conformidad con el artículo 58.2 del RGPD.

Por lo tanto, a tenor de lo anteriormente expuesto,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR contra ADADE BURGOS,

S.L. con NIF B09604091de conformidad con lo previsto en el artículo 58.2.b) del

RGPD, por la presunta infracción del artículo 5.1 c) del RGPD, tipificada en el artículo

83.5.a) del RGPD y a efectos de prescripción, por el artículo 72.1 a) de la LOPDGDD.

SEGUNDO: NOMBRAR instructor a B.B.B. y, como secretario, a C.C.C., indicando

que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido en

los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector

Público (LRJSP).

TERCERO: INCORPORAR a este expediente sancionador, a efectos probatorios, la

reclamación interpuesta por los reclamantes y su documentación, los documentos

obtenidos y generados por la Subdirección General de Inspección de Datos obrantes

en el expediente EXP202103425.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la

sanción que pudiera corresponder sería de 5.000 euros (cinco mil euros) sin perjuicio

de lo que resulte de la instrucción.

QUINTO: NOTIFICAR el presente acuerdo a ADADE BURGOS, S.L. con NIF

B09604091, otorgándole un plazo de audiencia de diez días hábiles para que formule

las alegaciones y presente las pruebas que considere convenientes. En su escrito de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/11

alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el

encabezamiento de este documento.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la

sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del

plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo

que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en

el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría

establecida en 4.000? (cuatro mil euros), resolviéndose el procedimiento con la

imposición de esta sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del presente

procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que

supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,

la sanción quedaría establecida en 4.000? (cuatro mil euros), y su pago implicará la

terminación del procedimiento.

La reducción por el pago voluntario de la sanción es acumulable a la que corresponde

aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento

de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular

alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida

en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En

este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría

establecido en 3.000? (tres mil euros).

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará

condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades

señaladas anteriormente 4.000? o 3.000?, deberá hacerlo efectivo mediante su

ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta a nombre de la

Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A., indicando

en el concepto el número de referencia del procedimiento que figura en el

encabezamiento de este documento y la causa de reducción del importe a la que se

acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha

del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese

plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones; de

conformidad con lo establecido en el artículo 64 de la LOPDGDD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/11

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,

contra el presente acto no cabe recurso administrativo alguno.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO: En fecha 23 de febrero de 2024, la parte reclamada ha procedido al pago

de la sanción en la cuantía de 3000 euros haciendo uso de las dos reducciones

previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el

reconocimiento de la responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

FUNDAMENTOS DE DERECHO

I

Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Terminación del procedimiento

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/11

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.?

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento EXP202318259, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: NOTIFICAR la presente resolución a ADADE BURGOS, S.L..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

936-040822

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es