Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos REPOSICION-PS-00251-2018 de 14 de noviembre de 2019
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 70 min
Órgano: Agencia Española de Protección de Datos
Fecha: 14/11/2019
Num. Resolución: REPOSICION-PS-00251-2018
Cuestión
Sector:1 / 26
Procedimiento nº.: PS/00251/2018
180-100519
Recurso de reposición Nº RR/00063/2019
Examinado el recurso de reposición interpuesto por XFERA MÓVILES, S.A . ,
con NIF A82528558, contra la resolución dictada por la Directora de la Agencia
Española...
Contestacion
1/26
Procedimiento nº.: PS/00251/2018
180-100519
Recurso de reposición Nº RR/00063/2019
Examinado el recurso de reposición interpuesto por XFERA MÓVILES, S.A.,
con NIF A82528558, contra la resolución dictada por la Directora de la Agencia
Española de Protección de Datos en el procedimiento sancionador PS/00251/2018 y
en consideración a los siguientes
HECHOS
PRIMERO: Con fecha 12 de diciembre de 2018 se dictó resolución por la Directora de
la Agencia Española de Protección de Datos en el procedimiento sancionador
PS/00251/2018 en virtud de la cual se le impusieron dos sanciones -de 60.000 euros y
70.000 euros cada una- por sendas infracciones de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD). La resolución estimó
vulnerados, respectivamente, los artículos 6.1 -infracción tipificada en su artículo
44.3.b)- y 4.3, en relación con el 29.4 de la citada Ley Orgánica y en relación con el
artículo 38.1.a) de su Reglamento de desarrollo -infracción tipificada en el artículo
44.3.c) LOPD-.
Dicha resolución, que fue notificada a XFERA MÓVILES, S.A., en fecha
18/12/2018, fue dictada previa la tramitación del correspondiente procedimiento
sancionador, de conformidad con lo dispuesto en el artículo 127 del reglamento de
desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
SEGUNDO: Como hechos probados del citado procedimiento sancionador,
PS/00251/2018, se dejó constancia en la resolución recurrida de los siguientes:
PRIMERO: A.A.A., con NIF ***NIF.1 y dirección electrónica ***EMAIL.1, denuncia que
XFERA MÓVILES ha dado de alta varias líneas telefónicas a su nombre sin su
consentimiento las cuales han generado deudas cuyo impago ha motivado que sus
datos hayan sido comunicados a ficheros de solvencia patrimonial.
SEGUNDO: El denunciante ha aportado copia de una denuncia formulada ante la
Generalitat de Cataluña (CAT12), relativa al alta sin su consentimiento de varias líneas
telefónicas en una tienda de THE PHONE HOUSE en ***LOCALIDAD.1.
En escrito adjunto indica que al solicitar una tarjeta de crédito a su entidad
bancaria le ha sido denegada por estar incluido en el fichero de morosos ASNEF,
averiguando posteriormente que la inclusión la realiza XFERA por una deuda de 3.064
euros, consiguiendo que le envíen las facturas e informándose que la contratación de
las líneas se realizó en ***LOCALIDAD.2 en una tienda de THE PHONE HOUSE.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/26
TERCERO: El denunciante aportó en fecha 15/09/2017, en respuesta al requerimiento
de información de la Inspección de Datos, la copia de su DNI; dicho documento tiene
como fecha límite de validez el 13/07/2020 e incorpora como domicilio la
***DIRECCION.1.
En escrito de 22/09/2017 el denunciante aporta su DNI ?antiguo no caducado?.
El documento tiene como fecha límite de validez el 28/02/2018 e incorpora como
domicilio ***DIRECCION.2. El denunciante explica que ?en las facturas he visto que
han puesto esta dirección en alguna. Entiendo que tienen una fotocopia de mi DNI
antiguo. Mi DNI nuevo ya lo adjunté con dirección en ***LOCALIDAD.3 (aunque ahora
vivo en ***LOCALIDAD.4)?.
El denunciante mediante escrito de 16/06/2018 comunica un cambio de domicilio
que radica ahora en ***LOCALIDAD.4 (***LOCALIDAD.3).
CUARTO: Consta que el denunciante se dirigió a EQUIFAX el 19/04/2017 ejercitando
el derecho de acceso a los datos que figuraban en el fichero ASNEF.
La entidad le respondió el 20/04/2017 aportando la información asociada a su
identificador (NIF) en la que figuraba la inclusión de sus datos personales en el citado
fichero como consecuencia de una deuda por importe de 3.064,91 euros, dada de alta
el 24/06/2016, constando como entidad informante XFERA MOVILES, S.A. (Folio 32)
QUINTO: En los sistemas informáticos de XFERA figuran registrados los datos
personales del denunciante: nombre y apellidos, NIF, dirección electrónica ***EMAIL.2
y como teléfono de contacto la línea asociada al número ***TELEFONO.4; como
dirección postal la ***DIRECCION.3-***LOCALIDAD.2, ***LOCALIDAD.1.
Asimismo, figuran vinculados al denunciante tres líneas de telefonía móvil
asociadas a los números ***TELEFONO.1 (i) ***TELEFONO.2 (ii) y ***TELEFONO.3
(iii):
SEXTO: XFERA no ha aportado copia del contrato de la línea de telefonía móvil
asociada al número ***TELEFONO.1 (i) señalando que ?ha sido solicitado al
distribuidor The Phone House, S.L.U. sin que a fecha del presente escrito haya sido
remitido por él?.
XFERA ha aportado copia de los contratos de las líneas ***TELEFONO.2 (ii) y
***TELEFONO.3 (iii). Estos contratos fueron suscritos en el Distribuidor THE PHONE
HOUSE el 03/03/2016 y el 07/03/2016 respectivamente. Se aporta copia del DNI del
denunciante con fecha de validez hasta el 13/07/2020 y cuya firma no parece coincidir
con la que consta en los contratos.
SÉPTIMO: XFERA manifestó, en respuesta al requerimiento de la Inspección de la
AEPD, que se emitieron a nombre del denunciante las facturas que relaciona en el
punto 1.3 de su escrito:
1- ***FACTURA.1, marzo de 2016, con un importe de 311,11 euros
2 - ***FACTURA.2, abril de 2016, con un importe de 200,84 euros
3 - ***FACTURA.3, mayo de 2016, con un importe de 191,96 euros
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/26
4 - ***FACTURA.4, junio de 2016, con un importe de 177,00 euros
5 - ***FACTURA.5, julio de 2016, con un importe de 177,00 euros
6 - ***FACTURA.6, agosto de 2016, con un importe de 2.007,00 euros
Añadió que en la actualidad todas ellas se encuentran ?condonadas en los
sistemas de YOIGO por cesión de créditos realizada en fecha 19 de abril de 2017 a la
empresa SALUS INVERSIONES Y RECUPERACIONES, S.L.? (Folio 425)
OCTAVO: XFERA manifestó en su escrito de respuesta al requerimiento informativo
de la Inspección de la AEPD que ?las facturas que motivaron la inclusión de los datos
en ficheros de solvencia y crédito son las que aparecen relacionadas en el apartado
1.3 del presente escrito?. (Folio 428)
NOVENO: Obran en el expediente, aportadas por el denunciante, la copia de las
facturas mencionadas en el Hecho Probado séptimo de las que XFERA facilitó a esta
Agencia únicamente una relación. Identificadas por el número de orden, la 1 obra al
folio 37, la 2 en el folio 38, la 3 en el 39, la 4 en el 40, la 5 en el 41 y la 6 en el folio 11.
En todas ellas existen importes facturados por el servicio prestado por la línea
número ***TELEFONO.1 (i)
DÉCIMO: XFERA ha aportado copia del contrato suscrito con THE PHONE HOUSE el
22/02/2010. En su Clausula 7, Procedimientos Operativos, se señala que TPH en
nombre de XFERA formalizará con el cliente el formulario de alta asegurando su
debida cumplimentación y deberá solicitar, en caso de personas físicas:
? ? Fotocopia del Número de Identificación Fisca del firmante, o fotocopia de
Pasaporte ?.vigentes a la fecha del contrato.
? Solo para pospago: documentos acreditativos de los datos de cobro: adeudo
domiciliado de antigüedad anterior a tres meses en el que figuren identificados
los 20 dígitos de la cuenta y su titular o titulares o Fotocopia de portada de
cartilla bancaria con más de tres meses de antigüedad y fotocopia de
movimientos domiciliados de menos de tres meses (?)
7. Verificar la documentación a presentar por el cliente (?)
En el momento de la contratación, The Phone House verificará
inexcusablemente los datos de identificación del cliente, y en su caso, los del
firmante con los documentos originales.
En ningún caso se procederá a dar un Alta para un cliente cuyos datos y/o
documentación presenten alguna duda en cuanto a su veracidad/vigencia.
Las verificaciones que siempre deben realizarse son las siguientes:
a Que las fotocopias de los documentos coinciden con los originales
presentados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/26
b Que los datos de los documentos acompañados coinciden con los
cumplimentados en el contrato de abono.
c Que la firma del DNI, Pasaporte, etc., coincide con la del
formulario de alta.
d Que la persona que firma coincide con la del documento de
identidad y es mayor de dieciocho años
The Phone House no comercializará el servicio bajo ningún concepto a alguien
que se niegue a identificarse o no presente alguno de los documentos
mencionados en la presente estipulación?.>>
TERCERO: XFERA MÓVILES, S.A. (en lo sucesivo la recurrente) formuló recurso de
reposición que tuvo entrada en el Registro de la AEPD el 18 de enero de 2019. En él
solicita que se revoque la resolución sancionadora dictada por cuanto, dice, no se
ajusta al ordenamiento jurídico. Con carácter subsidiario -para el caso de que no se
estime la pretensión anterior- solicita que se reduzca el importe de la sanción impuesta
hasta el mínimo legal.
La recurrente fundamenta su recurso de reposición en los motivos siguientes:
1º: La nulidad de la resolución con arreglo al artículo 47.1.a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (LPACAP) por infracción del artículo 24.2 de la Constitución Española. A juicio
de la recurrente la vulneración del precepto constitucional se materializó en la
desestimación por la AEPD de la práctica de la prueba propuesta en el curso del
procedimiento sancionador.
2º: Con carácter subsidiario, y al amparo de los artículos 48.1 y 77.3 de
LPACAP, en relación con los artículos 1.265.2 de la Ley de Enjuiciamiento Civil 1/2000
y 470.IV y análogos de la Ley de Enjuiciamiento Criminal, invoca la anulabilidad de la
resolución dictada.
3.º: Con carácter subsidiario respecto al motivo anterior, la anulabilidad de la
resolución dictada, al amparo del artículo 48.1 y 77.3 de la LPACAP en relación con el
artículo 386.1 de la Ley de Enjuiciamiento Civil 1/2000.
Para el caso de que no estimar ninguno de los motivos de nulidad/anulabilidad
que se invocan solicita que se rectifique el criterio seguido en la resolución
sancionadora y no se califiquen como agravantes las circunstancias descritas en los
apartados a) y f) del artículo 45.4 LOPD.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1
de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/26
los Derechos Digitales (LOPDPGDD)
II
A) Los hechos que dieron origen al procedimiento sancionador PS251/2018, del
que trae causa la resolución impugnada, versaron, por una parte, sobre el tratamiento
de los datos personales del denunciante efectuado por XFERA vinculado a tres líneas
telefónicas que el denunciante negó haber contratado: línea i (***TELEFONO.1) línea ii
(***TELEFONO.2) y línea iii (***TELEFONO.3).
No obstante, la conducta de la que se responsabilizó a XFERA en la resolución
impugnada afectaba, exclusivamente, al tratamiento de los datos personales del
denunciante asociados a la línea de teléfono móvil i (***TELEFONO.1) pues, respecto
a las líneas ii y iii la entidad sí aportó a la AEPD en el curso de las actuaciones previas
al procedimiento sancionador la copia del DNI del denunciante y la copia de los
contratos firmados. Esto, pese a que, como se hizo constar en la resolución
impugnada, se apreciara una evidente falta de coincidencia entre la firma del
denunciante y la que se recogía en tales documentos.
La conducta infractora consistió, además, en la vulneración del principio de
calidad de los datos, en su manifestación del principio de exactitud o veracidad, habida
cuenta de que la infractora, ahora recurrente, incluyó los datos del denunciante en
ficheros de solvencia patrimonial asociados a la deuda derivada del citado contrato
(línea i), por lo que la deuda informada no era, respecto a la persona del afectado, ni
cierta, ni vencida ni exigible.
XFERA ha argumentado en su recurso de reposición -apoyándose en el hecho
de que facilitó a esta Agencia, en relación con la contratación de las líneas de móvil ii y
iii, tanto la copia del DNI del denunciante como la copia de los respectivos contratosque
esta circunstancia acreditaba que también había contado con el consentimiento
del titular de los datos para el tratamiento vinculado a la línea de teléfono móvil
controvertida, línea i. Y en esa línea argumental manifiesta su discrepancia con la
decisión de la Agencia de analizar y valorar ese tratamiento -el de los datos personales
del afectado asociado a la línea de móvil i- ?de forma aislada?.
Sobre ese mismo extremo afirma en el recurso que ? (?) los datos personales
atendidos fueron tratados en virtud del consentimiento que fue recabado por YOIGO al
realizar la contratación presencial, a través del distribuidor The Phone House (en
adelante TPH), de las líneas de teléfono móvil con número ***TELEFONO.1,
***TELEFONO.2 y ***TELEFONO.3, el 01/03/2016,03/03/2016 y 06/03/2016
respectivamente, ante una persona que se identificó como el denunciante y que para
acreditarlo aportó copia de su DNI?.
Además, añade que la resolución recurrida no ha tenido en cuenta que los
contratos de las líneas ii y iii fueron celebrados el 03/03/2016 y el 06/03/2016, esto es,
apenas dos y cinco días después de que se celebrara el contrato de la línea i
-***TELEFONO.1- de fecha 01/03/2016 en relación con la cual se concreta la conducta
infractora de la recurrente. Todo lo cual, a juicio de la recurrente, evidencia que la
contratación gozaba ? de apariencia de legitimidad, puesto que existen contrataciones
documentadas regularmente?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/26
Subraya también que ha aportado ?la descripción del protocolo de validación de
la identidad del contratante que tenía implementado TPH en su establecimiento y que
fue debidamente aplicado?.
Muy relevante es la afirmación de la recurrente según la cual ha sido,
exclusivamente, la negativa de la Agencia a practicar la prueba que ella propuso en el
curso del expediente sancionador PS/251/2018 el motivo por el cual no obran en el
procedimiento los documentos que demuestren que, con ocasión de la contratación de
la línea de telefonía móvil i (***TELEFONO.1), obró con la diligencia que era
procedente a fin de verificar que quien se identificó con los datos personales del
denunciante era quien decía ser.
Por tanto, concluye la recurrente, ?el centro del debate viene a circunscribirse a
apreciar si estaba justificada o no la denegación de prueba?.
B) Antes de entrar en el examen de los motivos invocados por la recurrente
como fundamento al presente recurso corresponde hacer algunas consideraciones
sobre las afirmaciones de las que se vale para justificar la impugnación de la
resolución.
Frente a la manifestación de la recurrente de que la AEPD ?ha valorado de forma
aislada? la contratación de la línea controvertida (línea i ), pues a su juicio tal
contratación debe conectarse con las contrataciones que se efectuaron días después
para las líneas ii y iii -y respecto a las que la entidad sí aportó documentos de los que
se infiere que obró con la diligencia que era procedente para identificar a la persona
que facilitó como suyos los datos personales del afectado, pues aportó copia del DNI
del denunciante y contratos firmados- se debe recordar que, según reiterada doctrina
de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, incumbe al
responsable del tratamiento de los datos de un tercero la carga de asegurarse de que
aquél a quien se solicita el consentimiento es efectivamente el titular de los datos y
que debe conservar la prueba del cumplimiento de la obligación a disposición de esta
Agencia.
A lo anterior se ha de añadir que los contratos i, ii, y iii, que XFERA suscribió a
nombre del denunciante, eran contratos independientes entre sí; que se celebraron en
diferentes días (respectivamente el 1,3 y 6 de marzo de 2016) y que es precisamente
respecto al primero de los contratos celebrados -del 01/03/2016- relativo a la línea i
sobre el que la entidad recurrente no ha aportado ningún documento del que pueda
inferirse que fue el denunciante quien contrató o al menos que la entidad observó la
diligencia mínima imprescindible para identificar a la persona que facilitó como suyos
determinados datos personales.
Igualmente, parece necesario recordar que la contratación de la línea i se realizó
a través de THE PHONE HOUSE, con quien XFERA tenía suscrito un contrato de
Agencia, por lo que aquella actuaba en calidad de encargada de tratamiento de la
ahora recurrente. A la luz de las estipulaciones del contrato de Agencia, TPH debía dar
traslado a XFERA con una periodicidad trimestral del original del contrato suscrito
firmado por su titular, de la copia del DNI o pasaporte que se hubiera solicitado al
cliente para validar su identidad y del resguardo bancario que hiciera prueba de su
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/26
condición de titular de la cuenta bancaria de domiciliación de pagos.
Sin embargo, en relación con la línea controvertida (línea i) XFERA no facilitó a
la AEPD ningún documento, lo que supone, en definitiva, que no verificó si la
Distribuidora había actuado conforme a lo estipulado en el contrato y si le había
remitido la documentación que estaba obligada a facilitarle. Omitió la diligencia mínima
que resulta exigible tanto al tiempo de dar de alta la línea i; como en el curso de los
tres meses siguientes, plazo en el que XFERA tenía que haber recabado de su
encargada de tratamiento la documentación acreditativa de la identidad del cliente y
del consentimiento prestado a la contratación de la línea. También omitió toda
diligencia en ese sentido más adelante: al tiempo de comunicar a un fichero de
solvencia los datos del reclamante asociados a una deuda derivada de la línea móvil
controvertida (recordemos que el artículo 43.1 del RLOPD establece que el acreedor o
quien actúe por su cuenta o interés deberá asegurarse que concurren todos los
requisitos exigidos en los artículos 38 y 39 en el momento de notificar datos adversos
al responsable del fichero común). Comprobación que tampoco efectuó con ocasión
de ceder a Salus Inversiones y Recuperaciones, S.L., una deuda atribuida a la
denunciante derivada de la vinculación a su nombre de la línea de móvil i objeto de la
controversia.
C) Entrando en el examen de los motivos de impugnación en los que el
recurrente funda su recurso, hemos de subrayar que de su lectura se constata que los
tres motivos invocados giran en torno a un mismo hecho: la denegación por la AEPD
en el curso del procedimiento PS/251/2018 de la práctica de la prueba que el
recurrente propuso en el momento procesal oportuno, en el trámite de alegaciones al
acuerdo de inicio.
Así pues, el recurrente articula en tres motivos de impugnación -uno de nulidad
(artículo 47.1.a, de la LPACAP) y dos de anulabilidad (artículo 48.1 de la LPACAP) -
las consecuencias jurídicas que en su opinión se derivan de una actuación de la AEPD
que entiende que no fue ajustada a Derecho: la negativa de la instructora del
expediente sancionador a practicar la prueba que la denunciada había propuesto.
La ahora recurrente había manifestado en su escrito de alegaciones al acuerdo
de inicio, alegación sexta (folio 475), que ?a efectos de demostrar la ausencia de
tipicidad o, en su caso, la ausencia de culpabilidad de mi representada en el presente
expediente, YOIGO propone la práctica de las siguientes pruebas?.
?(ii) Esta parte estima necesario que se requiera a The Phone House Spain,
S.L.U., con domicilio en (?) para que aporte toda la documentación e información que
conserve, bien directamente, bien a través de cualquiera de sus contratistas y
proveedores en relación con el contrato de alta de la línea de teléfono móvil con
número ***TELEFONO.1 celebrado el 1 de marzo de 2016 entre YOIGO y A.A.A. con
NIF ***NIF.1, incluyendo una copia del citado contrato? (El subrayado es de la AEPD)
La instructora del expediente denegó la práctica de tal prueba en el escrito en el
que acordó la apertura del periodo probatorio. El escrito se firmó el 31/10/2018, fue
notificado a XFERA electrónicamente y consta recibido por la entidad en fecha
02/11/2018 (folios 477 y 479). En él se razonaba la denegación de la prueba propuesta
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/26
en los siguientes términos (folio 478):
de la denunciada que, a tenor del artículo 77.3 de la LPACAP, se acuerda
rechazar su práctica debido a su manifiesta improcedencia.
A través de la prueba que se propone -el requerimiento que desea que la
Agencia dirija a THE PHONE HOUSE (TPH) para que facilite el contrato
celebrado entre YOIGO y el denunciante relativo a la línea ***TELEFONO.1- se
pretende trasladar a este organismo la carga probatoria que única y
exclusivamente incumbe a XFERA.
XFERA en su condición de responsable del tratamiento de los datos
personales del denunciante debería estar en condiciones de poder acreditar ante
la Agencia Española de Protección de Datos que el tratamiento de datos
efectuado, vinculado a la línea móvil controvertida, fue legítimo y acorde con el
principio de exactitud y veracidad.
La prueba que solicita que la Agencia lleve a cabo es la que permitiría a
esa entidad corroborar sus alegaciones, conforme a las cuales había observado
en el tratamiento de los datos personales del denunciante la diligencia que era
procedente para cumplir las obligaciones que le impone la Ley Orgánica
15/1999, de Protección de Datos de Carácter Personal>>
En la propuesta de resolución del PS/251/2018, que se firmó y notificó el
22/11/2018 y que consta recibida por la recurrente el 26/11/2018, en el Fundamento
Jurídico II B), se advertía que XFERA no había aportado ningún documento que
acreditara la contratación por el denunciante de la línea móvil controvertida y se
añadía que la denunciada había justificado la omisión de ese documento en el hecho
de que TPH no se lo había facilitado. Nos remitimos a estos efectos a la respuesta de
XFERA al requerimiento informativo que le hizo la Inspección de Datos en el curso de
las actuaciones de investigación previa, E/5110/2017 (folio 426). En el punto 2.1 del
documento la entidad contesta en estos términos a la solicitud que se le hizo para que
aportara la copia del contrato correspondiente a la línea controvertida (i):
?(?) El contrato relativo al número ***TELEFONO.1 ha sido solicitado al
distribuidor The Phone House, S.L., sin que a fecha del presente escrito haya sido
remitido por él. No obstante, lo anterior, en el momento en que sea recibido por
YOIGO será aportada sin dilación?.
La recurrente no presentó dentro del plazo otorgado por la Ley alegaciones a la
propuesta de resolución del expediente sancionador PS/251/2018. La propuesta de
resolución fue recibida por la ahora recurrente el 26/11/2018, por lo que el plazo de
diez días para formular alegaciones concluyó el 11/12/2018 (ex artículo 73 LPACAP)
toda vez que la ampliación de plazo solicitada electrónicamente el 09/11/2018 le fue
denegada en fecha 10/12/2018. Cuando el escrito de alegaciones de XFERA se
presentó en la sede electrónica de la AEPD, el 17/12/2018, habían transcurrido cinco
días desde la finalización del plazo concedido para alegar.
En la resolución sancionadora que ahora se impugna la AEPD manifestó
respecto a la denegación de la prueba que la denunciada había solicitado lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/26
PS/251/2018 que la AEPD practicara la siguiente prueba: (?)
En el mismo escrito en el que la instructora del expediente comunicaba a
XFERA MÓVILES la apertura del periodo de prueba y las diligencias probatorias
a las que debía responder se le informó -razonando el porqué de tal decisión- de
que la prueba que había propuesto (alegación sexta de su escrito de
alegaciones al acuerdo de inicio) había sido rechazada debido a su manifiesta
improcedencia.
La prueba propuesta por XFERA MÓVILES ?que consistía en que la
Agencia requiriese a THE PHONE HOUSE (TPH) para que le facilitara el
contrato celebrado entre YOIGO y el denunciante relativo a la línea
***TELEFONO.1? implicaba trasladar a esta Agencia la carga probatoria que
única y exclusivamente a ella le incumbe.
XFERA, en su condición de responsable del tratamiento de los datos
personales del denunciante, quien figura en sus sistemas como titular de un
servicio contratado con ella a través del Distribuidor TPH y vinculado a la línea
***TELEFONO.1, necesariamente debía tener en su poder la documentación
que le permitiera acreditar ante la Agencia Española de Protección de Datos que
ese tratamiento fue legítimo y respetuoso con el principio de exactitud y
veracidad.
La falta de diligencia de la denunciada resulta más evidente a la luz del
contrato de Agencia que tenía suscrito con TPH. En él se estipulaba que, en un
plazo máximo de tres meses desde la fecha de cada uno de los contratos que se
realizaran a nombre de XFERA a través del Distribuidor, éste debía remitir a
XFERA -responsable del fichero- los documentos recabados del cliente: la copia
del contrato firmado, la copia del DNI y de un documento acreditativo de la
titularidad de los datos bancarios facilitados para la domiciliación del pago de
facturas (estipulación 7.1.1.6, folio 378).
Se pone de manifiesto, por tanto, que XFERA MÓVILES no efectuó ningún
control ni verificó si esa documentación le había sido remitida por TPH y obraba en su
poder o si, por el contrario, faltaba la documentación vinculada al contrato que la
Distribuidora debió de haberle enviado, lo que le habría permitido reclamar la
documentación en un plazo prudencial.>> (Antecedente Quinto apartado B) de la
resolución)
Por otra parte, parece conveniente recordar que el Contrato de Agencia
celebrado entre TPH y XFERA, en la cláusula 7, ?Procedimientos operativos?, apartado
7.1.1., dice que ?De forma obligatoria, The Phone House deberá llevar a cabo los
siguientes pasos en la tramitación del contrato de abono a los Servicios. Todos ellos
resultan aplicables tanto a pospago como a prepago, salvo que se indique
expresamente lo contrario: (?)
6. Enviar documentación a XFERA: la documentación original deberá estar en
poder de XFERA, con periodicidad trimestral a partir de la fecha de la firma del
formulario de alta. La falta de documentación será objeto de las correspondientes
penalizaciones. Sin perjuicio del referido plazo trimestral, ante una petición de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/26
Administración o de una autoridad judicial, la documentación se remitirá a la mayor
brevedad y cumpliendo en todo caso con el plazo establecido por la autoridad en
cuestión?.
La estipulación 7.2 del contrato dice en uno de sus párrafos:
?The Phone House deberá enviar los formularios de alta y su documentación
asociada directamente al Centro de Activaciones XFERA que le sea indicado por
XFERA en cada momento, acompañados de la documentación referida en las
secciones anteriores. La remisión deberá hacerse trimestralmente?.
La cláusula 15 del Contrato, punto 15.4 indica:
?Una vez finalice la prestación del servicio objeto de este contrato, The Phone
House deberá proceder a la devolución o en su caso, si así se lo indica por escrito
XFERA, a la destrucción, salvo que exista una previsión legal que exija su
conservación, de los datos de carácter personal y de los soportes o documentos en
que conste algún dato que provengan del fichero proporcionado, sin conservar copia
del mismo?.
(Los subrayados son de la AEPD)
Por lo que respecta a los motivos de impugnación invocados, indicar que la
recurrente, a propósito del primero de ellos -referente a la nulidad ?conforme al artículo
47.1.a) de la Ley 39/2015 por infracción del artículo 24.2 de la Constitución Española?-
apoya su pretensión en numerosas citas jurisprudenciales del Tribunal Constitucional.
Especial atención merece la mención a la STC 80/2011, de 6 de junio, respecto
al derecho a utilizar los medios de prueba pertinentes para la defensa (ex artículo 24.2
C.E.). Del tenor de la referida STC se concluye que, para poder afirmar que se ha
vulnerado el derecho a utilizar los medios de prueba pertinentes para la defensa que
garantiza el artículo 24.2 de la C.E., es necesario que concurran los siguientes
elementos:
1) Que la prueba no admitida o no practicada se haya solicitado en la forma y
momento legalmente establecido; 2) que, puesto que el derecho a utilizar los medios
de prueba pertinentes para la defensa no tiene carácter absoluto, la facultad que
confiere es la de exigir la recepción y práctica de aquellas pruebas que sean
?pertinentes?, correspondiendo a los órganos judiciales el examen sobre la legalidad y
pertinencia de las solicitadas; 3) que el órgano judicial deberá ?motivar
razonablemente? la denegación de las pruebas propuestas, pudiendo entender
vulnerado el derecho cuando las pruebas relevantes para la resolución final del litigio
se inadmitan o no se ejecuten sin motivación o con una motivación insuficiente o
cuando la motivación que se ofrezca suponga una interpretación de la legalidad
manifiestamente arbitraria o irrazonable; 4) que la prueba en cuestión sea decisiva en
términos de defensa; 5) que el recurrente demuestre la indefensión sufrida, lo que
implica demostrar, por una parte, la relación entre los hechos que se quisieron probar y
no se pudieron probar y las pruebas inadmitidas o no practicadas y, por otra,
argumentar el modo en el que habría incidido favorablemente en la estimación de sus
pretensiones la admisión y práctica de la prueba objeto de la controversia.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/26
Al amparo de la precitada STC la recurrente argumenta que la prueba que la
instructora del expediente le denegó había sido propuesta por ella en el momento
procesal oportuno, el escrito de alegaciones al acuerdo de inicio; que la prueba se
refería al proceso de contratación de la línea móvil, por lo que -dice- era claramente
pertinente; que -a su juicio- no se ajusta a la lógica jurídica la explicación que dio la
AEPD para denegar la prueba, pues esta parte ?carece de facultades para forzar su
aportación por el tercero poseedor de la documentación? y que la prueba propuesta
tiene plena relevancia para acreditar que sí obró con la diligencia mínima exigible al
tiempo de la contratación de la línea móvil a fin de identificar a la persona que facilitó
como suyos los datos personales del denunciante.
Sin embargo, a la luz igualmente de los criterios fijados en la STC 80/2011, a
juicio de esta Agencia, no ha existido en el supuesto que nos ocupa ninguna
vulneración del derecho de defensa que la Constitución garantiza. En ningún caso se
ha cercenado el derecho de defensa de la denunciada.
Lo que la recurrente califica de limitación de los medios de prueba para su
defensa no es sino el resultado de aplicar a la conducta de XFERA que fue objeto de
la denuncia las reglas que rigen sobre la carga de la prueba del cumplimiento de la
obligación impuesta por el artículo 6 LOPD, habida cuenta de que tenía la condición de
responsable del tratamiento de los datos personales del tercero (el denunciante)
Se debe insistir en que, la recurrente, como responsable del tratamiento, estaba
obligada a recabar el consentimiento del titular de los datos y a conservar la
documentación necesaria para acreditar ese extremo ante esta Agencia. Con arreglo
al artículo 6.2 LOPD la responsable del tratamiento queda dispensada de recabar el
consentimiento inequívoco al tratamiento cuando el titular de los datos sea parte en un
contrato y el tratamiento de los datos sea necesario para su ejecución o cumplimiento,
lo que presupone, para que tal dispensa opere, que la entidad responsable debe
aportar la documentación que acredite el consentimiento prestado por el afectado a
esa contratación y que quien otorgó el consentimiento a la contratación era
efectivamente el titular de los datos personales tratados o, al menos, que la entidad
actuó con la diligencia mínima exigible para asegurarse de la identidad de la persona
que facilitó como propios los datos personales que fueron objeto de tratamiento.
Ese ha sido el criterio seguido por la Sala de lo Contencioso Administrativo de la
Audiencia Nacional sin vacilaciones del que es exponente, por todas, la SAN de
31/05/2006, Rec. 539/2004, que en su Fundamento de Derecho cuarto dice:
?Por otra parte es al responsable del tratamiento (por todas, sentencia de esta
Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de
que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa
persona que está dando el consentimiento es efectivamente el titular de esos datos
personales, debiendo conservar la prueba del cumplimiento de la obligación a
disposición de la Administración, encargada de velar por el cumplimiento de la Ley?.(El
subrayado es de la AEPD)
Se ha de destacar también que el argumento esgrimido por la recurrente según
el cual esa entidad ?carece de facultades para forzar su aportación por el tercero
poseedor de la documentación? está fuera de lugar. La razón es que es a esta entidad
a quien le correspondía verificar que el tratamiento de los datos personales era
ajustado a Derecho y articular los medios necesarios para asegurarse de que estaba
en condiciones de acreditar ese extremo ante la AEPD. Y en esta línea argumental
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/26
habría que añadir que la responsabilidad en la que pudiera haber incurrido su
encargada de tratamiento -TPH- no exime en ningún caso de responsabilidad a
XFERA, en la medida en que -como sucede en el supuesto analizado- no obró con la
diligencia que era procedente, dada su condición de responsable del tratamiento y
atendidas las circunstancias del caso, para de cumplir las obligaciones impuestas por
la LOPD y normas de desarrollo.
Se concluye,por tanto, que ni la prueba propuesta por XFERA en sus
alegaciones al acuerdo de inicio era pertinente; ni esta Agencia -la instructora del
expediente- dejó de nunca de ?motivar razonablemente? la denegación de la prueba
propuesta y que el razonamiento con el que se justificó la denegación de la prueba no
puede calificarse de arbitrario o irrazonable sino, por el contrario, de plenamente
ajustado a las exigencias que la LOPD imponía al responsable del tratamiento de
datos personales de terceros.
Las reflexiones precedentes sirven también de respuesta al segundo de los
motivos de impugnación que la recurrente esgrime y que justifica en argumentos que
ya han sido analizados. A saber, que ?la recurrente carece de fuerza ejecutiva para
imponer una conducta a terceros cual era la de aportar al expediente la
documentación requerida? y que ?indiciariamente, la contratación discutida se hallaría
en la misma situación? que las otras contrataciones (ii y iii) sujetas a idénticas
condiciones.
Idéntica consideración cabe hacer respecto al tercer motivo de impugnación.
Motivo de impugnación que se funda en el artículo 386.1 de la Ley de Enjuiciamiento
Civil, en relación con el artículo 77.3 y 48.1 de la LPACAP, por entender que la AEPD
?ha extraído una conclusión que no se sigue del hecho probado? sino que es contraria
?al acreditado?. Y a su juicio, el hecho acreditado, hecho probado o hecho base
consiste en que ?es impensable que se hubiera verificado una contratación adicional
sin contar con la documentación pertinente? ?presupuesta la concurrencia de
circunstancias comunes a todas ellas?. En definitiva, el tercer motivo de impugnación
parte de una afirmación gratuita que la recurrente califica de hecho probado.
La recurrente, con carácter subsidiario, solicita que no se aprecien las
circunstancias modificativas de la responsabilidad descritas en los apartados a) y f) del
artículo 45.4 LOPD que la resolución recurrida apreció como agravantes y se
impongan las sanciones en su grado mínimo. Petición que justifica en que ?el grado de
intencionalidad, ?, se ve muy disminuido ya que, en último término, se está hablando
de una misma conducta que frente al mayor número de casos no sancionables, resta
uno sancionable al fallar un documento del que se carece de disposición por estar en
posesión de un tercero?.
A ese respecto, basta indicar, por una parte, lo expuesto en la resolución
impugnada (Fundamento de Derecho III, C) con la finalidad de desvirtuar idéntica
alegación:
?? estamos en presencia de tres contratos independientes entre sí celebrados
en días distintos, a través de un mismo Distribuidor y que respecto al más antiguo de
los tres la operadora no ha aportado ningún documento que acredite la contratación y,
por tanto, el consentimiento para el tratamiento de los datos personales asociados a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/26
aquél. Tampoco documento o elemento alguno del que pueda inferirse una actuación
diligente de la denunciada en el cumplimiento de las obligaciones que le imponen la
LOPD y normas de desarrollo. Pretender justificar que el tratamiento de los datos del
denunciante asociados a la línea ***TELEFONO.1 (i) es legítimo porque XFERA ha
aportado copia de los contratos firmados y del DNI del denunciante en relación con
otras dos líneas distintas que fueron contratadas unos días después por una persona
que también se identificó con el nombre, apellidos y NIF del denunciante y con el
mismo domicilio, carece de soporte jurídico.?
Por otra, a propósito de la reiterada afirmación de la recurrente según la cual
carece del documento probatorio ?por estar en posesión de un tercero?, nos limitamos
a remitirnos a las consideraciones que se hacen en párrafos precedentes respecto a
los motivos invocados por el recurrente como fundamento de la impugnación de la
resolución sancionadora del PS/251/2018.
III
En relación con las manifestaciones efectuadas por el recurrente, en las que
básicamente reitera las alegaciones ya presentadas en el curso del procedimiento
sancionador, debe señalarse que todas fueron analizadas y desestimadas en los
Fundamentos de Derecho II a VI, ambos inclusive, de la resolución recurrida, tal como
se transcribe a continuación:
Los principios generales de protección de datos regulados en los artículos 4 a 12
de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD),
que integran el Título II de la citada Ley Orgánica, constituyen el contenido esencial de
este derecho fundamental.
La Audiencia Nacional, en diversas sentencias (entre otras SSAN de 24/03/2004
y 7/07/2006) ha señalado que los principios generales descritos en dicho Título
definen las pautas a las que debe atenerse la recogida, tratamiento y uso de los datos
de carácter personal.
El artículo 6 de la LOPD se refiere al principio del consentimiento en el
tratamiento de los datos de carácter personal y dispone bajo la rúbrica
?Consentimiento del afectado?:
?1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de funciones propias de las Administraciones Públicas en el
ámbito de sus competencias; cuando se refieran a las partes de una relación negocial,
laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;...?.
El artículo 4 de la LOPD se ocupa de la ?Calidad de los datos? y establece en el
apartado 3:
?Los datos de carácter personal serán exactos y puestos al día de forma que
responsan con veracidad a la situación actual del afectado?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/26
El artículo 29 de la Ley Orgánica 15/1999 señala en sus apartados 2 y 4:
?Podrán tratarse también datos de carácter personal relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe
por su cuenta o interés. En estos casos se notificará a los interesados respecto de los
que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta
días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les
informará de su derecho a recabar información de la totalidad de ellos, en los términos
establecidos en la presente Ley?.
?Sólo se podrán registrar y ceder los datos de carácter personal que sean
determinantes para enjuiciar la solvencia económica de los interesados y que no se
refieran, cuando sean adversos, a más de seis años, siempre que respondan con
veracidad a la situación actual de aquellos?.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la LOPD se ocupa (capítulo I del Título IV) de los
?Ficheros de información sobre solvencia patrimonial y crédito? y dispone en el artículo
38, bajo la rúbrica ?Requisitos para la inclusión de los datos?:
?1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal
que sean determinantes para enjuiciar la solvencia económica del afectado, siempre
que concurran los siguientes requisitos: a) Existencia previa de una deuda cierta,
vencida, exigible, que haya resultado impagada (?.)
El artículo 38 apartado 3 añade que ?El acreedor o quien actúe por su cuenta o
interés estará obligado a conservar a disposición del responsable del fichero común y
de la Agencia Española de Protección de Datos documentación suficiente que acredite
el cumplimiento de los requisitos establecidos en este artículo y del requerimiento
previo al que se refiere el artículo siguiente?. (El subrayado es de la AEPD).
El artículo 44.3. de la LOPD tipifica como infracciones graves:
?b) Tratar datos de carácter personal sin recabar el consentimiento de las
personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta
Ley y sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación
de los principios y garantías establecidos en el artículo 4 de la presente Ley y las
disposiciones que lo desarrollan, salvo que sea constitutivo de infracción muy grave?.
III
Se atribuye a XFERA la comisión de dos infracciones de la LOPD, artículos 6.1 y
4.3, materializadas en haber tratado los datos personales del denunciante asociados a
un contrato de telefonía móvil vinculado al número ***TELEFONO.5 (i) sin su
consentimiento y en la posterior inclusión en ficheros de morosidad de sus datos
personales asociados a una deuda derivada también del citado contrato, por lo que la
deuda informada no era cierta, ni vencida ni exigible respecto a su persona.
Por lo que concierne a la infracción del artículo 6.1 de la LOPD se hacen las
siguientes reflexiones:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/26
A. A tenor del artículo 6 de la LOPD el tratamiento de datos personales exige
recabar el consentimiento de su titular; consentimiento que la ley obliga a que sea
?inequívoco?, esto es, que no admita duda o equivocación.
A través del consentimiento al tratamiento de los datos personales que otorga su
titular éste ejerce de forma efectiva el poder de control y de disposición sobre ellos. En
esa línea, el Tribunal Constitucional, en su STC 292/2000, de 30 de noviembre
(Fundamento Jurídico 7), señala que ?(?)Estos poderes de disposición y control sobre
los datos personales, que constituyen parte del contenido del derecho fundamental a
la protección de datos se concretan jurídicamente en la facultad de consentir la
recogida, la obtención y el acceso a los datos personales, su posterior
almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el
estado o un particular (?)? (El subrayado es de la AEPD)
La LOPD prevé que sea el titular de los datos quien otorgue su consentimiento
inequívoco al tratamiento, pues a él, y no a un tercero, le corresponde el poder de
disposición sobre ellos. Con toda claridad el artículo 3.h) de la LOPD, al definir el
consentimiento, se refiere a la manifestación de voluntad que el interesado hace
respecto a los ?datos que le conciernan?.
El tratamiento de los datos personales sin contar con el consentimiento
inequívoco de su titular, o sin otra habilitación amparada en la Ley, constituye una
vulneración de este derecho fundamental. Sólo el consentimiento, con las excepciones
contempladas en la ley, legitima el tratamiento de los datos personales. No obstante,
el apartado 2 del artículo 6 LOPD dispensa de la necesidad de recabar el
consentimiento del afectado cuando el tratamiento se refiere a las partes de un
contrato o precontrato y es necesario para su mantenimiento o cumplimiento. Esto,
porque el consentimiento para tratar los datos personales está implícito en el
consentimiento otorgado a la contratación, pero, únicamente, en la medida en que el
referido tratamiento sea el preciso para la ejecución del contrato y si quien facilita los
datos personales con ocasión de la contratación ha sido efectivamente su titular.
B. La documentación que obra en el expediente demuestra que XFERA incorporó a
sus ficheros y trató los datos personales del denunciante (nombre, dos apellidos y
NIF) vinculados a la línea móvil ***TELEFONO.5 (i).
Como se recoge en el Hecho Probado quinto, en los sistemas informáticos de
XFERA se encuentran registrados los datos personales del denunciante, nombre,
apellidos y NIF, asignándole como dirección postal la ***DIRECCION.3-
***LOCALIDAD.2, ***LOCALIDAD.1 (que no coincide con ninguna de las que él nos
ha facilitado), asociados a la línea ***TELEFONO.1 (i). Sus datos aparecen también
vinculados a otras dos líneas: ***TELEFONO.2 (ii) y ***TELEFONO.3 (iii).
El denunciante ha negado haber contratado con XFERA ninguna de las tres
líneas precitadas, por lo que se debe tener en cuenta que la Audiencia Nacional viene
considerando que cuando el titular de los datos niega la contratación corresponde la
carga de la prueba a quien afirma su existencia. Reiteradamente ha manifestado que
el responsable del tratamiento de datos de terceros debe recabar y conservar la
documentación necesaria para acreditar el consentimiento del titular. Citamos, por
todas, la SAN de 31/05/2006 (Rec. 539/2004) que en su Fundamento de Derecho
Cuarto dice:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/26
?Por otra parte es al responsable del tratamiento (por todas, sentencia de esta
Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de
que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa
persona que está dando el consentimiento es efectivamente el titular de esos datos
personales, debiendo conservar la prueba del cumplimiento de la obligación a
disposición de la Administración, encargada de velar por el cumplimiento de la Ley?
(El subrayado es de la AEPD)
En el curso de las actuaciones de investigación previa, con la finalidad de que
XFERA pudiera demostrar que recabó y obtuvo del afectado el consentimiento para el
tratamiento de sus datos personales, se requirió a la entidad para que aportara algún
documento que probara la supuesta contratación por el afectado.
La operadora aportó, respecto a las líneas ii y iii la copia de sendos contratos
suscritos a nombre del denunciante (nombre, dos apellidos y NIF) en fechas 3 y 7 de
marzo de 2016 (folios 364 a 367)
Ambos contratos -que incluyen terminales móviles financiados Apple IPH 6S- se
celebraron en un punto de venta del Distribuidor TPH. En ellos constan como datos
del titular el nombre, dos apellidos y NIF del denunciante y una dirección postal en
***DIRECCION.3 de ***LOCALIDAD.1. Los datos bancarios para la domiciliación de
los pagos en ambos contratos pertenecen a la entidad 2100 y a una cuenta finalizada
en 000 que el denunciante no reconoce como suya. La denunciada facilitó, asimismo,
la copia de un DNI del denunciante (idéntico al que el denunciante remitió a la AEPD)
con fecha límite de validez 13/07/2020 (folios 361 y 362) pudiendo constatar que
existe a simple vista una diferencia importante entre la firma que nos ofrece el DNI y la
de los contratos.
Como se expuso en el acuerdo de inicio, habida cuenta de que XFERA adoptó
una mínima diligencia con ocasión de la contratación de esos servicios a fin de
acreditar la identidad del contratante, y pese a que la conducta en sí misma pudiera
ser antijurídica -como sucedería en el caso de que, como parece haber ocurrido, un
tercero suplantara la identidad del denunciante- no cabría exigir a la entidad
responsabilidad administrativa sancionadora.
Sin embargo, XFERA no ha aportado, en relación con la línea ***TELEFONO.1
(i), ningún contrato que legitime el tratamiento de los datos personales del denunciante
que la entidad llevó a cabo vinculado a aquélla. La entidad se ha limitado a afirmar
que esta línea se dio de alta a través del mismo Distribuidor, TPH, en fecha
01/03/2016. Según éstos sería la primera contratación de las tres que XFERA efectuó
a nombre del denunciante, pues las otras dos datan del 03/03/2016 y del 07/03/2016
(Hecho probado sexto)
XFERA MÓVILES no ha podido aportar ningún documento, en ningún soporte,
del que se infiera que recabó y obtuvo el consentimiento del denunciante a la
contratación del servicio que dio de alta a su nombre, ***TELEFONO.1 (i), ni tampoco
documento alguno del que se pueda concluir que obró, en el presente caso, con la
diligencia mínima exigible a fin de identificar a la persona que facilitó como suyos los
datos personales que han sido objeto de tratamiento.
La denunciada ha justificado la omisión de ese documento en que TPH se ha
negado a facilitárselo. Por tal motivo solicitó en sus alegaciones al acuerdo de inicio
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/26
que la AEPD recabara en pruebas esta documentación a TPH, prueba que fue
desestimada por considerarla manifiestamente improcedente ya que implicaba
trasladar a esta Agencia la carga probatoria que incumbe exclusivamente a la
denunciada.
En definitiva, XFERA MÓVILES carecía de legitimación para el tratamiento de
los datos del denunciante que llevó a cabo en relación con la línea ***TELEFONO.1 (i)
No cabe amparar el tratamiento efectuado en el artículo 6.2 LOPD, pues ni ha
acreditado que existiera un contrato a nombre del afectado ni que él fuese la persona
que otorgó el consentimiento a la contratación. Tampoco acredita haber obrado
diligentemente y haber verificado la identidad de quien facilitó como suyos el nombre,
apellidos y NIF del denunciante.
C. XFERA ha alegado en su defensa que la ausencia de documentación
acreditativa de la contratación de la referida línea no puede analizarse ni valorarse,
dice, ?de forma aislada? ?sin tener en cuenta las otras contrataciones? que se hicieron
unos días después en el mismo Distribuidor y, en su opinión, por la misma persona.
Efectivamente la línea ***TELEFONO.1 (i) se habría contratado, a tenor de la
información facilitada por XFERA, el 01/03/2016 en tanto que las otras dos son de
fechas 3 y 7 de marzo de 2016.
Lo único cierto, sin embargo, es que estamos en presencia de tres contratos
independientes entre sí celebrados en días distintos, a través de un mismo Distribuidor
y que respecto al más antiguo de los tres la operadora no ha aportado ningún
documento que acredite la contratación y, por tanto, el consentimiento para el
tratamiento de los datos personales asociados a aquél. Tampoco documento o
elemento alguno del que pueda inferirse una actuación diligente de la denunciada en
el cumplimiento de las obligaciones que le imponen la LOPD y normas de desarrollo.
Pretender justificar que el tratamiento de los datos del denunciante asociados a la
línea ***TELEFONO.1 (i) es legítimo porque XFERA ha aportado copia de los
contratos firmados y del DNI del denunciante en relación con otras dos líneas distintas
que fueron contratadas unos días después por una persona que también se identificó
con el nombre, apellidos y NIF del denunciante y con el mismo domicilio, carece de
soporte jurídico.
D. El nacimiento de responsabilidad sancionadora presupone la existencia del
elemento de la culpabilidad en cualquiera de sus manifestaciones: dolo, culpa o culpa
levísima. En el ámbito del Derecho Administrativo Sancionador no es posible imponer
sanciones basadas en la responsabilidad objetiva del presunto infractor dado que las
sanciones administrativas participan de la misma naturaleza que las penales, al ser
una de las manifestaciones de la potestad punitiva del Estado y, como exigencia
derivada de los principios de seguridad jurídica y legalidad penal consagrados en los
artículos 9.3 y 25.1 de la CE, es imprescindible que este elemento esté presente como
presupuesto para su imposición (STC 76/1999)
La entidad ha omitido la diligencia que, con carácter mínimo, es exigible para
poder acreditar su legitimación para el tratamiento de los datos personales del
denunciante vinculados a la contratación de la línea ***TELEFONO.1 (i).
Llegados a este punto procede recordar que según el contrato de Agencia
suscrito entre XFERA MÓVILES y la Distribuidora TPH ésta debía darle traslado con
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/26
periodicidad trimestral de los originales de los contratos que celebraran los clientes,
firmados por el titular, así como de la copia del DNI o pasaporte solicitado al cliente
para validar su identidad y del resguardo bancario que hiciera prueba de su condición
de titular de la cuenta bancaria de domiciliación de pagos.
La omisión, en relación con la línea controvertida, de toda la documentación
precitada evidencia que XFERA MÓVILES no verificó si la Distribuidora había actuado
con arreglo a las estipulaciones contractuales y si, efectivamente, le había remitido los
documentos vinculados al contrato de telefonía. Documentos que constituían una
prueba indispensable de la legitimidad del tratamiento de datos efectuado; prueba que
XFERA debía obtener y conservar en su poder para estar en condiciones de
demostrar que actuó con arreglo a la normativa de protección de datos al vincular los
datos del denunciante a la línea controvertida.
Es más, a la luz de los hechos que constan en el expediente XFERA no sólo no
verificó si tenía en su poder los medios necesarios para demostrar la legitimidad del
tratamiento de datos personales efectuado al tiempo de dar de alta la línea de
telefonía -del protocolo descrito en el contrato con TPH se desprende que bastaba con
que la Distribuidora incorporase los datos a los sistemas de la operadora-. Tampoco
hizo esa comprobación en los tres meses siguientes (plazo máximo previsto para que
los documentos pasaran de TPH a XFERA) ni más adelante, cuando tomó la decisión
de vender la deuda atribuida al denunciante a SALUS INVERSIONES Y
RECUPERACIONES, S.L. Recordemos que XFERA MÓVILES ha declarado que la
deuda fue cedida a esta entidad y que ese fue el motivo por el cual en fecha
19/04/2017 canceló la incidencia del fichero ASNEF.
En definitiva, en tanto XFERA MÓVILES trató los datos del denunciante
vinculados al alta de una línea móvil sin recabar su consentimiento y sin actuar con la
diligencia mínima exigible en el cumplimiento de la obligación impuesta por la LOPD,
vulneró el artículo 6.1 LOPD, conducta subsumible en el tipo infractor del artículo
44.3.b) de dicha Ley Orgánica.
III
Por lo que respecta a la presunta infracción del artículo 4.3 de la LOPD que se
imputa a XFERA han hacerse las siguientes consideraciones:
Las normas jurídicas reproducidas en el Fundamento de Derecho I ponen de
manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia
patrimonial exige que la deuda sea cierta, vencida, exigible y que haya resultado
impagada.
Como se expone en el Fundamento precedente, XFERA no ha acreditado que el
denunciante fuera la persona que contrató el servicio de la línea ***TELEFONO.1 (i),
lo que implica que tampoco ha acreditado su condición de deudor; esto es, que él sea
el titular de la deuda que deriva de dicho contrato.
Paralelamente, consta en el expediente que XFERA informó los datos
personales del denunciante al fichero ASNEF con fecha de alta 24/06/2016 por un
saldo impagado de 3.064,91 euros y que a fecha 19/04/2017 esa incidencia
permanecía aún incluida en el fichero.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/26
XFERA, con carácter previo a la comunicación de los datos de un tercero a un
fichero común, tenía la obligación de asegurarse de que se cumplían todos los
requisitos a los que las normas de protección de datos supeditan la legalidad de tal
comunicación; por lo que aquí interesa que la deuda informada era cierta, vencida y
exigible respecto a la persona del denunciante (artículo 38.1.a. RLOPD)
Pues bien, en los Hechos Probados séptimo y noveno se contienen una relación
de las facturas que la denunciada emitió a nombre del denunciante (entre marzo de
2016 y agosto de 2016) Del contenido de las facturas (Hecho probado noveno) se
evidencia que, en todas ellas, se incluyen entre los conceptos facturados el servicio de
la línea controvertida, ***TELEFONO.1 (i). Esto implica, por tanto, que en la deuda
que XFERA informó a ASNEF asociada a los datos personales del denunciante estaba
comprendido el importe de los servicios prestados a nombre del denunciante pero
respecto a los cuales la denunciada no ha podido acreditar que fuera él quien prestó el
consentimiento a la contratación ni tampoco que respecto a ella tuviera el denunciante
la condición de deudor.
Insistir, por otra parte, en que el artículo 43 del RLOPD refuerza la diligencia que
es exigible al acreedor que informa al fichero datos adversos de un tercero pues
establece:
?El acreedor o quien actúe por su cuenta o interés deberá asegurarse que
concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de
notificar los datos adversos al responsable del fichero común. 2. El acreedor o quien
actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los
datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos
en la Ley Orgánica 15/1999, de 13 de diciembre?. (El subrayado es de la AEPD)
Se concluye de lo expuesto que los datos personales del denunciante fueron
incluidos por XFERA en un fichero de morosos vinculados a una deuda a la que él era
ajeno; deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado
por cuanto no se ha acreditado su condición de deudor. La información relativa al
denunciante que XFERA comunicó a ASNEF no se ajustó al principio de exactitud y
veracidad, corolario del principio de calidad del dato que proclama el artículo 4.3 de la
LOPD.
La conducta anteriormente descrita, vulnera el principio de calidad del dato
consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD, infracción tipificada
en el artículo 44.3.c) de la citada norma.
V
Parece conveniente hacer una breve referencia a las afirmaciones efectuadas
por la denunciada en sus escritos de respuesta al requerimiento informativo y de
alegaciones al acuerdo de inicio, dada la relevancia que quiere hacer derivar de ellas
en aras de la aplicación del artículo 45.5.b) LOPD. Reacción diligente que a su juicio
se concretaría en una pretendida ?condonación de la deuda? al denunciante y en una
?cancelación de la incidencia? asociada a sus datos en el fichero ASNEF.
La denunciada aduce (folio 6 de su escrito, 471 del expediente administrativo)
que ??anuló las facturas emitidas al denunciante mucho antes de la notificación a
YOIGO del requerimiento de información del Expediente nº E/05110/2017, y procedió
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/26
a la suspensión de todo procedimiento de recobro de la deuda así como a la
finalización de los tratamientos de sus datos, incluidos su comunicación a ASNEF??
Alega también (folio 4 de su escrito, 469 del expediente administrativo) que
?antes de que el requerimiento de información del Expediente nº E/0510/2017 fuese
notificado a YOIGO, mi representada ya había condonado la deuda con el
Denunciante y había dado de baja sus datos en el fichero ?.ASNEF.? Y añade que,
?una vez que el requerimiento de información del Expediente nº E/05110/2017 fuese
notificado a YOIGO, mi representada comunicó la denuncia interpuesta por el
denunciante a la empresa SALUS INVERSIONES?? (El subrayado es de la AEPD)
Esta última afirmación ha de ponerse en relación con lo manifestado en el curso
de las investigaciones previas en las que manifestó que ?las facturas se encuentran
condonadas en los sistemas de YOIGO por cesión de créditos realizada en fecha 19
de abril de 2017 a la empresa SALUS INVERSIONES?? (folio 425)
Hay una evidente la confusión de la entidad cuando se refiere a las
consecuencias de un negocio jurídico lucrativo, como es la venta o cesión de un
crédito -en este caso la deuda atribuida al denunciante y derivada del servicio de la
línea ***TELEFONO.1 (i) que dio de alta a nombre del afectado sin legitimación para
ello-, como ?condonación? de la deuda.
En ningún caso pudo haberse condonado al denunciante la deuda que le
atribuía y, al mismo tiempo, ceder la deuda a un tercer adquirente, SALUS
INVERSIONES. Otra cosa distinta es que, en la medida en que cedió la deuda a una
tercera entidad dejó de figurar en su haber y, en tanto XFERA no era ya formalmente
titular del crédito tuvo que poner fin a las gestiones de cobro y a su comunicación a
ficheros comunes.
La conducta de XFERA antes mencionada no sólo no permite apreciar la
pretendida reacción diligente; más al contrario, lo que se observa es un nuevo
tratamiento de los datos del denunciante -materializado en la comunicación a un
tercero, el cesionario del crédito- sin legitimación para ello. Se añade a lo expuesto
que, iniciadas las actuaciones de investigación previa, la denunciada no ha llegado a
acreditar que, tal y como afirmó, había puesto en conocimiento de SALUS
INVERSIONES la falta de certeza de la deuda vendida, pues de haberlo hecho no
habría tenido ninguna dificultad en probar ese extremo, lo que le fue requerido en fase
de prueba.
VI
El artículo 45 de la LOPD, apartados 1 a 5, según redacción introducida por la
Ley 2/2011, de 4 de marzo, de Economía Sostenible, establece:
?1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000
euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/26
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de
infracción la entidad imputada tenía implantados procedimientos adecuados de
actuación en la recogida y tratamiento de los datos de carácter personal,
siendo la infracción consecuencia de una anomalía en el funcionamiento de
dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los
siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del
imputado o de la antijuridicidad del hecho como consecuencia de la
concurrencia significativa de varios de los criterios enunciados en el apartado 4
de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de
forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a
la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la
infracción fuese anterior a dicho proceso, no siendo imputable a la entidad
absorbente.?
A. XFERA MÓVILES solicitó en sus alegaciones al acuerdo de inicio que se aplicara
el artículo 45.5 LOPD, cuyo efecto jurídico es la imposición de la sanción con arreglo a
la escala que precede en gravedad a aquella prevista para la infracción efectivamente
cometida.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/26
La denunciada ha solicitado que se aplique el apartado b, del precepto, ?Cuando
la entidad infractora haya regularizado la situación irregular de forma diligente?,
pretensión que ha de ser rechazada.
Argumenta XFERA para justificar la estimación de esa atenuante cualificada que
?anuló las facturas emitidas al Denunciante mucho antes de la notificación a YOIGO
del requerimiento de información del Expediente E/5110/2017 y procedió a la
suspensión de todo procedimiento de recobro de la deuda así como a la finalización
de los tratamientos de datos, incluida la comunicación a ASNEF? (folio 471)
Pues bien, el requerimiento informativo de la Inspección se hizo en fecha
08/11/2017. A fecha 20/04/2017 figuraban los datos incluidos en el fichero de
solvencia. Sentado lo anterior no puede obviarse que XFERA manifestó en su
respuesta al requerimiento informativo de la Inspección que dio de baja la anotación
en ASNEF el 19/04/2017 ?con motivo de la cesión de deuda a SALUS INVERSIONES
Y RECUPERACIONES, S.L.?. En esa línea argumental hemos de recordar también
que esta entidad manifestó que las deudas atribuidas al denunciante se encontraban
?condonadas en los sistemas de YOIGO por cesión de créditos realizada el 19 de abril
de 2017? a SALUS INVERSIONES.
Así pues, resulta evidente que el motivo por el que XFERA dio de baja del
fichero de solvencia los datos del denunciante y anuló la deuda que le atribuía no
respondió a una reacción diligente ante la constatación por su parte de que había
vulnerado la normativa de protección de datos sino a su interés empresarial. No existió
en ningún caso -no consta acreditado- la condonación a la que se alude y que
implicaría una extinción del crédito que afirma haber ostentado frente al denunciante.
De ser cierta la pretendida condonación no cabría cesión de crédito alguna ya que la
condonación es causa de extinción de la deuda y esa deuda no podría haber sido
objeto de cesión a SALUS. En definitiva, no están presentes en el asunto examinado
los elementos que integran esa atenuante cualificada.
Respecto a la aplicación del artículo 45.5 a) LOPD que se solicita tampoco
procede su estimación. Nos remitimos a tal fin al examen de las circunstancias
descritas en el artículo 45.4 LOPD cuya aplicación en calidad de atenuantes se
solicita: apartados b, c, d, e, f y h.
En relación con el apartado b) - volumen de tratamientos efectuados- que se
invoca como atenuante en consideración a que se han visto afectados por la conducta
infractora los datos de una única persona se indica que, por razones lógicas, esta
circunstancia puede operar sólo como agravante y no como atenuante. La vulneración
de la normativa de protección de datos respecto a uno solo de los datos personales o
respecto a una única persona, es presupuesto indispensable para que la conducta
infractora exista. Será a partir de entonces cuando podrá valorarse, atendiendo al
volumen de los datos que han sido objeto de tratamiento, si es exponente de una
mayor antijuridicidad o culpabilidad de la conducta. En cualquier caso, los datos
personales tratados sin consentimiento son el NIF, nombre y dos apellidos, por lo que
de apreciarse en el presente caso sería como agravante de la conducta enjuiciada.
Por lo que atañe a los apartados c), d) y f) del artículo 45.4 LOPD la AEPD
estima que ambas operan como agravantes, por lo que nos remitimos a los
comentarios que más adelante se recogen.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/26
Sobre la pretensión de que se estime como atenuante el apartado e), ausencia
de beneficios, indicar que la Audiencia Nacional, Sala de lo Contencioso
Administrativo, en SAN de 17/04/2018 (Rec. 254/2017) rechazó la pretensión de la
demandante, sancionada por la AEPD, de que se estimara esta circunstancia
explicando que ?En cuanto a la ausencia de beneficios, no cabe sino reiterar lo
argumentado por la resolución recurrida, respecto a que lo relevante es que la
actuación de Abanca sí estuvo motivada por la búsqueda de beneficio económico, por
lo que el hecho de que aquél no llegara finalmente a obtenerse no puede servir de
fundamento a una atenuación de culpabilidad o antijuridicidad de su conducta?. Este
mismo espíritu es el que recoge la SAN de 31/03/2017 (Rec. 845/2015)
Tampoco es admisible estimar como atenuante el apartado h) del artículo 45.4
LOPD, la naturaleza de los perjuicios causados. Basta recordar que el denunciante
conoció su inclusión en ficheros en 2017 cuando le denegaron una financiación; que
ha estado incluido en un fichero de morosidad durante más diez meses y que, como
ha señalado la Audiencia Nacional, SAN 16/02/2002, (Rec 1144/1999) ?...Ha de
decirse que la inclusión equivocada o errónea de una persona en el registro de
morosos, es un hecho de gran trascendencia de la que se pueden derivar
consecuencias muy negativas para el afectado, en su vida profesional, comercial e
incluso personal, que no es necesario detallar. En razón a ello, ha de extremarse la
diligencia para que los posibles errores no se produzcan, ...?
B. En aras a graduar el importe de la sanción que corresponde imponer por las dos
infracciones de la LOPD de las que se responsabiliza a XFERA, además de no
apreciar la aplicación del artículo 45.5 LOPD estimamos que concurren las siguientes
circunstancias del artículo 45.4 LOPD en calidad de agravantes:
-?El carácter continuado de la infracción? (apartado a). Circunstancia que resulta
aplicable tanto respecto a la vulneración del principio del consentimiento como del de
calidad de los datos, pues los datos personales del denunciante (DNI, nombre y dos
apellidos) han sido objeto de tratamiento sin legitimación para ello desde la fecha de
alta de la línea, el 01/03/2016, y hasta al menos el 19/04/2017, cuando, dice la
entidad, dio de baja la incidencia en ASNEF. Respecto al fichero ASNEF, habida
cuenta de que la fecha de alta de la anotación fue el 23/06/2017, los datos del
afectado permanecieron incluidos por XFERA, vulnerando el principio de exactitud y
veracidad en relación con el artículo 38.1.a) RLOPD, durante casi diez meses.
-?La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal? (apartado c,) La actividad empresarial de XFERA, por su
naturaleza, exige un continuo tratamiento de datos de carácter personal.
La Audiencia Nacional, en SAN de 17/10/2007 (Rec. 63/2006), ha exigido a
aquellas entidades en las que el desarrollo de su actividad conlleva un continuo
tratamiento de datos de clientes y terceros que observen un adecuado nivel de
diligencia y precisa que ??el Tribunal Supremo viene entendiendo que existe
imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el
infractor no se comporta con la diligencia exigible. Y en la valoración del grado de
diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no
cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de insistirse en
el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/26
- ?El volumen de negocio o actividad del infractor? (apartado d). Constituye un
hecho notorio, que no precisa prueba, el importante volumen de negocio de esta
entidad, que tiene la consideración de gran empresa del sector de
telecomunicaciones.
- El grado de intencionalidad? (apartado, f) expresión que debe interpretarse
como equivalente a ?grado de culpabilidad?. La SAN de 12/11/2007 (Rec. 351/2006)
indicó sobre esta cuestión que ?(?) Cuando concurre una falta de diligencia, como
aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche
sancionador sin que el hecho de que no exista actuación dolosa deba conllevar
necesariamente una disminución aún mayor de la sanción cuando ésta ha sido
impuesta en su grado mínimo?.
La falta de diligencia demostrada por XFERA en el cumplimiento de la
obligación que le impone la LOPD respecto al tratamiento de los datos de terceros es,
en el supuesto analizado, especialmente significativa. Esto, porque la entidad no sólo
incumplió la obligación de recabar y obtener el consentimiento del titular de los datos
en el momento inicial, sino que además tampoco verificó que el tratamiento efectuado
fuera legítimo cuando procedió a comunicar a una tercera entidad (SALUS
INVERSIONES) el supuesto crédito que decía ostentar frente al afectado derivado de
una línea telefónica que había dado de alta sin recabar su consentimiento.
Se suma a lo expuesto que, por lo que concierne al artículo 4.3 en relación con
el 29.4 y el 38.1.a, del RLOPD, el artículo 43.1 del RLOPD ?refuerza? la diligencia
exigible a quien informa datos de un tercero a un fichero de solvencia patrimonial al
establecer que el acreedor ?deberá asegurarse? que se cumplen esos requisitos
cuando informa los datos personales a un fichero de morosidad.
De aplicación exclusiva a la infracción del principio de calidad de los datos
tipificada en el artículo 44.3.c) LOPD, junto con las ya descritas, se aprecia la
concurrencia de la agravante prevista en el artículo 45.4.g LOPD: ?La reincidencia por
comisión de infracciones de la misma naturaleza?
Disposición que ha de integrarse con el artículo 29.3 de la Ley 40/2015, de
Régimen Jurídico del Sector Público, que al referirse a los criterios que serán objeto
de especial consideración en la graduación de la sanción menciona, apartado d), ?La
reincidencia, por comisión en el término de un año de más de una infracción de la
misma naturaleza cuando así haya sido declarado por resolución firme en vía
administrativa.
Exponente de la agravante de reincidencia que opera en relación con la
infracción tipificada en el artículo 44.3.c) LOPD, cabe citar entre otras resoluciones, las
dictadas por la AEPD en los expedientes sancionadores PS/559/2017, firmada el
26/04/2018; el PS/00097/2017, firmada el 17/11/2017 o PS/00400/2016, firmada el
26/01/2017. En todas ellas se sancionó a XFERA por infracción del artículo 4.3
LOPD.>>
IV
Debido a razones de funcionamiento del órgano administrativo, por ende, no
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/26
atribuibles a la recurrente, hasta el día de la fecha no se ha emitido el preceptivo
pronunciamiento de esta Agencia respecto a la pretensión del interesado.
De acuerdo con lo establecido en el artículo 24 de la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP) el sentido del silencio administrativo en los procedimientos de impugnación
de actos y disposiciones es desestimatorio.
Con todo, y a pesar del tiempo transcurrido, la Administración está obligada a
dictar resolución expresa y a notificarla en todos los procedimientos cualquiera que
sea su forma de iniciación, según dispone el art. 21.1 de la citada LPACAP. Por tanto,
procede emitir la resolución que finalice el procedimiento del recurso de reposición
interpuesto.
V
En atención a la exposición precedente, habida cuenta de que en el presente
recurso de reposición la recurrente no ha aportado nuevos hechos o argumentos
jurídicos que permitan reconsiderar la validez de la resolución impugnada, procede
desestimar el recurso formulado.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por XFERA MÓVILES,
S.A. contra la resolución de esta Agencia Española de Protección de Datos dictada
con fecha 12 de diciembre de 2018, en el procedimiento sancionador PS/00251/2018.
SEGUNDO: NOTIFICAR la presente resolución a la entidad XFERA MÓVILES, S.A.,
con NIF A82528548.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva
una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco
CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período
ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/26
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), los interesados podrán interponer recurso
contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite
la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no
tuviese conocimiento de la interposición del recurso contencioso-administrativo en el
plazo de dos meses desde el día siguiente a la notificación de la presente resolución,
daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es