Resolución de la Agencia ...il de 2022

Última revisión
09/02/2023

Texto

Resolución de la Agencia Española de Protección de Datos REPOSICION-PS-00322-2021 de 12 de abril de 2022

Resolución

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Legislación

Tiempo de lectura: 33 min

Órgano: Agencia Española de Protección de Datos

Fecha: 12/04/2022

Num. Resolución: REPOSICION-PS-00322-2021

Cuestión

Sector:

1 / 13

Procedimiento nº.: PS/00322/2021

Recurso de reposición Nº RR/00135/2022

Examinado el recurso de reposición interpuesto por SEGURCAIXA ADESLAS, S.A.

DE SEGUROS Y REASEGUROS contra la resolución dictada por la Directora de la

Agencia Española...

Contestacion

1/13

? Procedimiento nº.: PS/00322/2021

Recurso de reposición Nº RR/00135/2022

Examinado el recurso de reposición interpuesto por SEGURCAIXA ADESLAS, S.A.

DE SEGUROS Y REASEGUROS contra la resolución dictada por la Directora de la

Agencia Española de Protección de Datos en el procedimiento sancionador

PS/00322/2021, y en base a los siguientes

HECHOS

PRIMERO: Con fecha 1 de febrero de 2022, se dictó resolución por la Directora de la

Agencia Española de Protección de Datos en el procedimiento sancionador

PS/00322/2021.

El motivo en que se basaba la reclamación que dio lugar al PS/00322/2021 objeto del

presente recurso, es que el reclamante había solicitado la supresión de sus datos

personales vía correo electrónico al reclamado, (ahora recurrente), con copia a

"dpd@segurcaixaadeslas.es" y a atención al cliente "adeslas@segurcaixaadeslas.es"

en las siguientes fechas 19/05/2016, 21/05/2019,15/07/2019, 04/02/2020 y 25/08/2020

y pese a ello no había recibido contestación y seguía recibiendo publicidad.

El reclamante señalaba además que los hechos reclamados acontecieron desde el 19

de mayo de 2016, hasta el 25 de agosto de 2020, y que la dirección electrónica en la

que recibe la publicidad (info@aquospeluqueros.es) está dada de alta en la Lista Robinson.

La resolución del PS/00322/2021 impuso al recurrente tres sanciones de 100.000

euros cada una, por la vulneración de lo dispuesto en los artículos 6, 28 y 17

respectivamente, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos datos y por

el que se deroga la Directiva 95/46/CE (en lo sucesivo RGPD), infracciones tipificadas

en los artículos 83.5 a), 83.5 b) y 83.4 a) del RGPD respectivamente y calificadas las

dos primeras de muy graves según el artículo 72 y la tercera de carácter leve según el

artículo 74 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales

y garantía de los derechos digitales (en adelante, LOPDGDD).

Dicha resolución, que fue notificada al recurrente en fecha 3 de febrero de 2022, fue

dictada previa la tramitación del correspondiente procedimiento sancionador, de

conformidad con lo dispuesto en la LOPDGDD, y supletoriamente en la LPACAP, en

materia de tramitación de procedimientos sancionadores.

SEGUNDO: Del citado procedimiento sancionador, PS/00322/2021, quedó constancia

de los siguientes:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/13

HECHOS PROBADOS

PRIMERO: El reclamante solicita la supresión de sus datos personales el 19/05/2016,

el 21/05/2019, el 15/07/2019, el 04/02/2020 y el 25/08/2020 y pese a ello no ha recibido

contestación y sigue recibiendo publicidad.

Se constata además que el reclamante inscribió la dirección de correo electrónico

info@aquospeluqueros.es en la Lista Robinson, en fecha 29 de marzo de 2020.

SEGUNDO: La entidad reclamada, manifiesta que las comunicaciones que motivan la

queja han sido efectuadas por agentes de seguros (mediadores) de nuestra Compañía

, lo cuales mantienen con SEGURCAIXA ADESLAS una relación mercantil al amparo

de lo previsto en la Ley 12/1992 de contrato de agencia.

Dicha actividad de promoción o captación de clientes se lleva a cabo por el agente de

seguros, conforme establece el artículo 2 de la Ley 12/1992 de contrato de agencia,

con carácter independiente y autónomo, sin que medie dependencia o subordinación a

la aseguradora (en este caso SEGURCAIXA ADESLAS) que lo contrata, motivo por el

cual considera que los agentes de seguros deben ser considerados responsables y no

meros encargados del tratamiento de datos de carácter personal.

TERCERO: SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS (en lo

sucesivo el recurrente) ha presentado en fecha 2 de marzo de 2022, en esta Agencia

Española de Protección de Datos, recurso de reposición fundamentándolo en que el

formato info@... no identifica a ninguna persona o cargo de la empresa en particular,

sino que hace referencia a una dirección de correo electrónico genérica donde, en

principio, cualquier usuario o empleado de esta tiene acceso.

FUNDAMENTOS DE DERECHO

Es competente para resolver el presente recurso la Directora de la Agencia Española

de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1 de la

LOPDGDD.

En relación con las manifestaciones efectuadas por el recurrente, reiterándose

básicamente en las alegaciones ya presentadas a lo largo del procedimiento

sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en

los Fundamentos de Derecho del II y III ambos inclusive, de la Resolución recurrida, tal

como se transcribe a continuación:

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales, en su artículo 4.11 define el consentimiento del interesado

como ?toda manifestación de voluntad libre, específica, informada e inequívo-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/13

ca por la que el interesado acepta, ya sea mediante una declaración o una clara acción

afirmativa, el tratamiento de datos personales que le conciernen?.

En este sentido, el artículo 6.1 del RGPD, establece que:

?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al

responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses

no prevalezcan los intereses o los derechos y libertades fundamentales del interesado

que requieran la protección de datos personales, en particular cuando el interesado

sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado

por las autoridades públicas en el ejercicio de sus funciones.?

En relación con la legitimación para el tratamiento de datos personales, hemos de

señalar también el artículo 19 de la LOPDGDD establece una presunción «iuris

tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo

con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos

cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en

este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al

no presumirse la prevalencia de su interés legítimo, en concreto dicho precepto

establece lo siguiente:

?1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo

6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su

caso los relativos a la función o puesto desempeñado de las personas físicas que

presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización

profesional.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/13

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier

índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios

individuales y a los profesionales liberales, cuando se refieran a ellos únicamente

en dicha condición y no se traten para entablar una relación con los mismos como

personas físicas.

3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1

de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados

anteriores cuando ello se derive de una obligación legal o sea necesario para el

ejercicio de sus competencias.?

Así las cosas, hemos de señalar que, al encontrarse el reclamante registrado en la

lista Robinson, no concurre la presunción «iuris tantum» de prevalencia del interés

legítimo del responsable.

III

En el análisis jurídico que nos ocupa, debemos tener en cuenta además el Real

Decreto Ley 3/2020 de 4 de febrero, de medidas urgentes por el que se incorporan al

ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de

la contratación pública en determinados sectores; de seguros privados; de planes y

fondos de pensiones; del ámbito tributario y de litigios fiscales en su artículo 135 y

siguientes, regula la figura de los mediadores de seguros.

Así, en el artículo 135 de dicho texto legal se señala lo siguiente en relación con las

clases de mediadores de seguros.

1. Los mediadores de seguros se clasifican en:

a) Agentes de seguros.

b) Corredores de seguros.

Los agentes de seguros y los corredores de seguros podrán ser personas físicas o

jurídicas.

2. La condición de agente de seguros y de corredor de seguros son incompatibles

entre sí, en cuanto a su ejercicio simultáneo por las mismas personas físicas o

jurídicas. Sin perjuicio de lo anterior, cualquier mediador de seguros podrá solicitar la

modificación de su inscripción en el registro administrativo de distribuidores de

seguros y reaseguros previsto en el artículo 133, con la finalidad de ejercer la

actividad de distribución de seguros mediante otra forma de mediación, previa

acreditación del cumplimiento de los requisitos que sean exigidos para ella.

3. Las denominaciones «agente de seguros», y «corredor de seguros» quedan

reservadas a los mediadores de seguros definidos en el título I.

4. Las entidades de crédito, los establecimientos financieros de crédito y, en su caso,

las sociedades mercantiles controladas o participadas por las entidades de crédito o

establecimientos financieros de crédito, cuando ejerzan la actividad de agente de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/13

seguros a través de las redes de distribución de cualquiera de ambas, adoptarán la

denominación de «operador de banca-seguros», que quedará reservada a ellas, y se

ajustarán al régimen específico regulado en los artículos 150 a 154.

5. Los mediadores de seguros mencionados en el apartado 1 podrán servirse de sitios

web u otras técnicas de comunicación a distancia, mediante los que se proporcione al

cliente información comparando precios o coberturas de un número determinado de

productos de seguros de distintas compañías?.

Por otro lado, ha de destacarse el artículo 144 del citado Real Decreto Ley 3/2020,

donde se regula la publicidad y documentación mercantil de distribución de seguros

privados de los agentes de seguros, indicándose lo siguiente:

?1. En la publicidad y en la documentación mercantil de distribución de seguros de los

agentes de seguros, deberá figurar de forma destacada la expresión «agente de

seguros exclusivo», «agente de seguros vinculado», «agencia de seguros exclusiva»

o «agencia de seguros vinculada», seguida de la denominación social de la entidad

aseguradora para la que esté realizando la operación de distribución de que se trate,

en virtud del contrato de agencia con ella celebrado, o del contrato suscrito entre

entidades aseguradoras de prestación de servicios para la distribución por medio de la

cesión de sus redes, así como el número de inscripción en el registro administrativo

previsto en el artículo 133 y, en su caso, tener concertado un seguro de

responsabilidad civil u otra garantía financiera.

2. Asimismo, en la publicidad que realicen con carácter general o a través de medios

telemáticos, deberán hacer mención a las entidades aseguradoras con las que hayan

celebrado un contrato de agencia de seguros?.

En relación con la condición de responsable o encargado del tratamiento, el artículo

203 de dicho texto legal, establece lo siguiente:

1. A los efectos previstos en la Ley Orgánica 3/2018, de 5 de diciembre, así como en

el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril

de 2016, relativo a la protección de las personas físicas en lo que respecta al

tratamiento de datos personales y a la libre circulación de estos datos:

a) Los agentes de seguros y los operadores de banca-seguros tendrán la condición de

encargados del tratamiento de la entidad aseguradora con la que hubieran celebrado

el correspondiente contrato de agencia, en los términos previstos en el título I.

b) Los corredores de seguros y los corredores de reaseguros tendrán la condición de

responsables del tratamiento respecto de los datos de las personas que acudan a

ellos.

c) Los colaboradores externos a los que se refiere el artículo 137 tendrán la condición

de encargados del tratamiento de los agentes o corredores de seguros con los que

hubieran celebrado el correspondiente contrato mercantil. En este caso, solo podrán

tratar los datos para los fines previstos en el artículo 137.1.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/13

2. En el supuesto previsto en la letra a) del apartado 1, en el contrato de agencia

deberán hacerse constar los extremos previstos en el artículo 28.3 del Reglamento

(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Del mismo modo, en el supuesto previsto en el apartado 1.c) deberán incluirse en el

contrato mercantil celebrado con los colaboradores externos los extremos previstos en

el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,

de 27 de abril de 2016.

3. Las entidades aseguradoras no podrán conservar los datos que les faciliten los

mediadores de seguros, y que no deriven en la celebración de un contrato de seguro,

estando obligadas a eliminarlos salvo que exista otra base jurídica que permita un

tratamiento legítimo de los datos conforme al Reglamento (UE) 2016/679 del

Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Además de los preceptos indicados en la normativa específica de contratación de

seguros, hemos de tener en cuenta que en materia de protección de datos, se regula

la figura del encargado del tratamiento, en el artículo 28 del RGPD, señalando lo

1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del

tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes

para aplicar medidas técnicas y organizativas apropiados, de manera que el

tratamiento sea conforme con los requisitos del presente Reglamento y garantice la

protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa

por escrito, específica o general, del responsable. En este último caso, el encargado

informará al responsable de cualquier cambio previsto en la incorporación o

sustitución de otros encargados, dando así al responsable la oportunidad de oponerse

a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con

arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado

respecto del responsable y establezca el objeto, la duración, la naturaleza y la

finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las

obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en

particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones documentadas del

responsable, inclusive con respecto a las transferencias de datos personales a un

tercer país o una organización internacional, salvo que esté obligado a ello en virtud

del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en

tal caso, el encargado informará al responsable de esa exigencia legal previa al

tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés

público;

b) garantizará que las personas autorizadas para tratar datos personales se hayan

comprometido a respetar la confidencialidad o estén sujetas a una obligación de

confidencialidad de naturaleza estatutaria;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/13

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro

encargado del tratamiento;

e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de

medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este

pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto

el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones

establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento

y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales una

vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias

existentes a menos que se requiera la conservación de los datos personales en virtud

del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para demostrar

el cumplimiento de las obligaciones establecidas en el presente artículo, así como

para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por

parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará

inmediatamente al responsable si, en su opinión, una instrucción infringe el presente

Reglamento u otras disposiciones en materia de protección de datos de la Unión o de

los Estados miembros.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo

determinadas actividades de tratamiento por cuenta del responsable, se impondrán a

este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al

Derecho de la Unión o de los Estados miembros, las mismas obligaciones de

protección de datos que las estipuladas en el contrato u otro acto jurídico entre el

responsable y el encargado a que se refiere el apartado 3, en particular la prestación

de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas

de manera que el tratamiento sea conforme con las disposiciones del presente

Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos,

el encargado inicial seguirá siendo plenamente responsable ante el responsable del

tratamiento por lo que respecta al cumplimiento de las obligaciones del otro

encargado.

5. La adhesión del encargado del tratamiento a un código de conducta aprobado a

tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo

42 podrá utilizarse como elemento para demostrar la existencia de las garantías

suficientes a que se refieren los apartados 1 y 4 del presente artículo.

6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un

contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/13

del presente artículo podrá basarse, total o parcialmente, en las cláusulas

contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive

cuando formen parte de una certificación concedida al responsable o encargado de

conformidad con los artículos 42 y 43. 7. La Comisión podrá fijar cláusulas

contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente

artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93,

apartado 2.

8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los asuntos

a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo

de coherencia a que se refiere el artículo 63. 9. El contrato u otro acto jurídico

a que se refieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento

infringe el presente Reglamento al determinar los fines y medios del tratamiento

, será considerado responsable del tratamiento con respecto a dicho tratamiento.

En el presente supuesto, el reclamante manifiesta que recibe publicidad, pese a que

se encuentra dado de alta en lista Robinson, y pese a haber ejercido su derecho de

supresión.

En su defensa, la entidad reclamada ha manifestado que ha de ser el agente

mediador quien debe observar las prevenciones legales, en este caso tratándose de

comunicaciones electrónicas publicitarias, de conformidad con lo previsto en los

artículos 21 y 22.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la

información y de comercio electrónico por aplicación de lo establecido en el artículo

204 del Real Decreto Ley 3/2020.

Como alegaciones al presente procedimiento sancionador la entidad reclamada aportó

el 9 de noviembre de 2021, contrato de mediación mercantil firmado con varios

agentes de seguros, alegando que los agentes de seguros deben ser considerados

responsables y no meros encargados del tratamiento de datos de carácter personal.

El 22 de diciembre de 2021, aporta alegaciones a la propuesta de resolución

afirmando que no considera que info@aquospeluqueros.com sea un dato de carácter

personal, ya que se trata de una simple dirección de correo electrónico genérica que

impide, notoriamente, identificar a cualquier persona que actúe a través de la misma.

En este sentido ha de indicarse que las direcciones de correo electrónico son

consideradas datos de carácter personal, al igual que un número de teléfono, o que

pese a no estar constituido por el nombre y apellidos de su titular, tienen un vínculo

directo con él de conformidad con el artículo 4 del RGPD, que establece que se

entenderá por dato personal ?toda información sobre una persona física identificada o

identificable («el interesado»); se considerará persona física identificable toda persona

cuya identidad pueda determinarse, directa o indirectamente, en particular mediante

un identificador, como por ejemplo un nombre, un número de identificación, datos de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/13

localización, un identificador en línea o uno o varios elementos propios de la identidad

física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona?

En segundo lugar, la entidad reclamada ha alegado que no hay pruebas de que el

reclamante solicitase la supresión de sus datos, en este sentido, se ha constatado

mediante copia de los correos electrónicos remitidos por el reclamante, que este ha

solicitado reiteradamente la eliminación de todos sus datos en sus sistemas el

19/05/2016, 21/05/2019, 15/07/2019, 04/02/2020 y 25/08/2020, y su solicitud no ha

obtenido respuesta.

En tercer lugar, la entidad reclamada reconoce que el reclamante inscribió la dirección

de correo electrónico info@aquospeluqueros.es en la Lista Robinson, en fecha 29 de

marzo de 2020 y que pese a ello le envió correos electrónicos, aunque lo justifica

alegando que estos no eran de carácter publicitario sino solicitando autorización para

remitirle publicidad, pese a que el objetivo de inscribirse en la Lista Robinson es no

recibir publicidad.

Concluyen las alegaciones de la entidad reclamada, señalando que las infracciones

que se le imputan se encuentran prescritas.

En este sentido ha de señalarse que estamos hablando de una infracción del artículo

6 del RGPD, una segunda infracción del artículo 28 del RGPD y una tercera infracción

del artículo 17 del RGPD, tipificadas en los artículos 83.5 a), 83.5 b), y 83.4 a) del

RGPD.

Por lo tanto, las dos primeras sanciones son consideradas, a efectos de prescripción,

de carácter muy grave, por lo que de conformidad con el artículo 72 de la LOPDGDD

prescriben a los 3 años, y la tercera sanción es considerada a efectos de prescripción

como de carácter leve lo cual implica que de conformidad con el artículo 74 de la

LOPDGDD, tiene un plazo de prescripción de un año.

No obstante, en este último caso nos encontramos en un supuesto de infracción

permanente porque el reclamante ha acreditado la recepción de correos electrónicos

de fechas 15/07/2019, 04/02/2020 y 25/08/2020.

En este sentido, el TS dice que ?constituyen infracciones permanentes aquellas

conductas antijurídicas que persisten en el tiempo y no se agotan con un solo acto,

determinando el mantenimiento de la situación antijurídica a voluntad del autor, caso

del desarrollo en el tiempo de actividades sin las preceptivas autorizaciones y otros

supuestos semejantes?, STS de 7 de marzo de 2006.

En este supuesto no es que se sancione la emisión de un solo correo, sino la emisión

sucesiva de correos electrónicos sin contar con el consentimiento del reclamante, y se

ha constatado que el día antes de la denuncia, es decir, el 25/08/2020, dicha acción

continuaba, sin perjuicio de que haya podido continuar tras la presentación de dicha

denuncia, ya que pese a la solicitud reiterada del reclamante de no recibir más correos

electrónicos, la entidad reclamada no respondió al reclamante y por tanto no hay

indicios de que se tomaran medidas para subsanar tales hechos.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/13

Por lo que la sanción no habría prescrito de conformidad con el artículo 30.2 de la ley

39/2015 donde se indica lo siguiente:

?El plazo de prescripción de las infracciones comenzará a contarse desde el día en

que la infracción se hubiera cometido. En el caso de infracciones continuadas o

permanentes, el plazo comenzará a correr desde que finalizó la conducta infractora.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, de un

procedimiento administrativo de naturaleza sancionadora, reiniciándose el plazo de

prescripción si el expediente sancionador estuviera paralizado durante más de un mes

por causa no imputable al presunto responsable.?

Así las cosas, esta Agencia, tras un estudio exhaustivo de los hechos, procede a

valorar que la remisión de publicidad por parte de la entidad reclamada al reclamante

encontrándose este dado de alta en lista Robinson, supone una infracción del artículo

6 del RGPD, (precepto indicado en el fundamento de derecho II) al carecer de

legitimación para su tratamiento.

En segundo lugar, ha quedado acreditado que el reclamante ejercitó reiteradamente

su derecho de cancelación ante el reclamado el 19/05/2016, 21/05/2019, 15/07/2019,

04/02/2020 y 25/08/2020, y su solicitud no obtuvo respuesta, pese al derecho

reconocido en el artículo 16 de la LOPD, vigente hasta el 25 de mayo de 2018,

derecho reconocido en la actualidad en el artículo 17 del RGPD, denominado derecho

de supresión («el derecho al olvido») en cuyo precepto se rige el derecho de

supresión del reclamante, afirmándose que tendrá derecho a obtener sin dilación

indebida del responsable del tratamiento la supresión de los datos personales que le

conciernan.

En tercer lugar, se constata que la entidad reclamada, pese a los contratos aportados

no tiene formalizado con los agentes de seguros un contrato que cumpla con todos los

requisitos exigidos por la normativa de protección de datos en el artículo 28.3 del

RGPD infringiendo por ello dicho precepto, indicado en el fundamento de derecho III,

como por ejemplo la supresión de datos de carácter personal, de conformidad con lo

establecido en el artículo 28.3 en sus apartados f) y g) del RGPD, respecto de ayudar

al responsable a garantizar el cumplimiento de sus obligaciones en la protección de

datos de carácter personal que sean tratados, y respecto a la supresión de los datos

personales una vez finalice la prestación de los servicios.

Por ello, se considera que la entidad reclamada además de vulnerar el artículo 6 del

RGPD, por llevar a cabo un tratamiento de datos personales sin legitimación,

contraviene el artículo 17 del RGPD por no responder al derecho de supresión

ejercido por el reclamante e infringe el artículo 28.3 del RGPD ya que no se ha

acreditado ante esta Agencia, la existencia de contrato entre la entidad reclamada y

sus agentes, que sea acorde a la normativa de protección de datos.>>

En el presente recurso de reposición el recurrente alega la vulneración del principio de

presunción de inocencia, a lo cual ha de indicarse que en el expediente existe

suficiente prueba de cargo para considerar acreditada la infracción, ya que se ha

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/13

constatado mediante copia de los correos electrónicos remitidos por el reclamante,

que este ha solicitado reiteradamente la eliminación de todos sus datos en sus

sistemas el 19/05/2016, 21/05/2019, 15/07/2019, 04/02/2020 y 25/08/2020, y su

solicitud no ha obtenido respuesta.

La entidad recurrente considera que la dirección de correo electrónico, de carácter

corporativo, no tiene la consideración de dato personal, por no identificar a ninguna

persona física.