Resolución de la Agencia Española de Protección de Datos REPOSICION-PS-00334-2022 de 13 de noviembre de 2023

Cuestión

Expediente nº.: EXP202104450

RESOLUCIÓN DE RECURSO DE REPOSICIÓN

Examinado el recurso de reposición interpuesto por el ***CARGO.1- COLEGIO MENOR

NUESTRA SEÑORA DE LORETO (MINISTERIO DE DEFENSA, EJÉRCITO DEL AIRE Y

DEL ESPACIO ) (en lo sucesivo, la...

Contestacion

1/9

? Expediente nº.: EXP202104450

RESOLUCIÓN DE RECURSO DE REPOSICIÓN

Examinado el recurso de reposición interpuesto por el ***CARGO.1- COLEGIO MENOR

NUESTRA SEÑORA DE LORETO (MINISTERIO DE DEFENSA, EJÉRCITO DEL AIRE Y

DEL ESPACIO ) (en lo sucesivo, la parte recurrente) contra la resolución dictada por la

Directora de la Agencia Española de Protección de Datos de fecha 29 de agosto de 2023, y

en base a los siguientes

HECHOS

PRIMERO: Con fecha 29/08/2023, se dictó resolución por la Directora de la Agencia

Española de Protección de Datos en el expediente EXP202104450, en virtud de la cual se

imponía al ***CARGO.1- COLEGIO MENOR NUESTRA SEÑORA DE LORETO

(MINISTERIO DE DEFENSA, EJÉRCITO DEL AIRE Y DEL ESPACIO)

?una sanción de apercibimiento por cada una de las infracciones del RGPD, de los artículos:

-28, de conformidad con el articulo 83.4 a) del RGPD, tipificada como grave a efectos de

prescripción en el artículo 73.k) de la LOPDGDD.

-13, de conformidad con el articulo 83.5 b) del RGPD, tipificada como leve a efectos de

prescripción en el artículo 74.a) de la LOPDGDD.?

Dicha resolución, que fue notificada a la parte recurrente en fecha 30/08/2023, fue dictada

previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo

dispuesto en la Ley Orgánica 3/2018, de 5/12, de Protección de Datos Personales y garantía

de los derechos digitales (LOPDGDD), y supletoriamente en la Ley 39/2015, de 1/10, del

Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo,

LPACAP), en materia de tramitación de procedimientos sancionadores.

SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00334/2022,

quedó constancia de los siguientes:

?1-El Colegio Menor Nuestra Señora de Loreto (CMNSL) se adscribe al Ministerio de Defensa

a través del Patronato de Huérfanos del Ejército del Aire ?Nuestra Señora de Loreto?. Según

el reclamado, el responsable de tratamiento de los datos que se llevan a cabo por el

Colegio es el ***CARGO.1. El CMNSL no es un Colegio Público.

2-El 5/7/2021, curso 21/22, el reclamante, con (?) hijos menores de 14 años en el CMNSL,

recibió de este, una información por correo electrónico sobre la implantación a comienzos

del curso de los recursos electrónicos facilitados por Google mediante la plataforma

"GOOGLE WORKSPACE FOR EDUCATION" (GW), implicando la creación de una dirección

de correo electrónico con el nombre de cada alumno en su cuenta Gmail, bajo el dominio

colegiomenorloreto.es.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/9

El reclamado indica que para dar de alta el e mail de cada usuario/alumno, para fines

educativos, instó la petición de autorización a las familias, y que recibidas estas fue cuando

se crearon los correos de los alumnos bajo el dominio: @colegiomenorloreto.es. Se

acredita que el reclamante firma el 19/11/2021 una nota meramente informativa del colegio

sobre lo que es, e implica el uso de GW, las herramientas que lo integran, y ?el uso para

completar tareas, comunicarse con sus profesores, a través de un proveedor contratado por

el Colegio, necesario para un correcto seguimiento escolar y una correcta prestación de los

servicios educativos. El escrito se acompaña de una casilla para marcar: ?He leído y

comprendo la información?, a lo que el reclamante en forma manuscrita añade´: ?no

comprendo?, y ?no conforme con la cesión de datos a GOOGLE o a cualquiera de su filiales

o dependientes o vinculadas?, entendiendo el reclamado que no autorizaba el uso del

sistema, y rechazaba su uso.

Se acredita que el 12/07/2021, el Colegio envía al reclamante un correo electrónico bajo el

título: ?Usuario y contraseña plataforma GW?, en el que se aprecia que Google da la

bienvenida al haberse creado (?) en colegiomenorloreto.es, a (?) del reclamante, invitando

a ?iniciar sesión en la cuenta GOOGLE para acceder a los servicios?. Figura el usuario, que

es nombre.primerapellido@colegiomenroloreto.es, así como contraseña. No se acredita

que, desde esa creación, se hubiera utilizado la cuenta.

El reclamado manifestó en el traslado, que las cuentas de uso de GOOGLE WORKSPACE

(?) del reclamante no fueron dadas de alta y no se les dio clases con GW ni utilizó ninguna

de sus herramientas. Añade que, al recibir el primer correo de bienvenida, con usuario y

contraseña, se obligaba a los usuarios a establecer una nueva contraseña que solo el

conocerá, siendo un trámite para ?que su creación sea efectiva?.

Según indica el reclamado en pruebas, el documento informativo sobre uso de GW y lo que

implica con el ?he leído y comprendo la información?, se entregó a las familias en septiembre

de 2021.

3-El reclamante ejerció el 12/07/2021 su derecho de acceso, y de oposición al tratamiento

de datos mediante la herramienta GW ante la DPD del Ministerio de Defensa (anexo 2 de

reclamación). Además, a dicho escrito, añade diversas cuestiones sobre información de

recogida de datos.

4- El reclamante recibió contestación en correo electrónico de 2/8/2021, indicando que se

utilizaría en el curso 21/22 la solución GW para poder afrontar posibles contingencias derivadas

de la COVID 19 y que previa a la inclusión de datos en dicha plataforma, se solicitará

autorización expresa para ello a los padres o tutores de los alumnos menores de 14 años, si

bien de lo que se ha tratado fue de informar de la aplicación, sin que figure en ningún documento

un consentimiento de uso de datos de la aplicación conforme al RGPD y la LOPDGDD

,

5- El reclamado formuló una consulta a la AEPD el 7/10/2021, en la que se indica el uso de

GW al amparo del Convenio suscrito por la Consejería de Educación de la CCAA de Madrid

y GOOGLE de 10/06/2021. La AEPD responde el 15/11/2021 que la prestación del servicio

de cloud computing implicaba la obligación de suscribir un contrato u otro tipo de acto jurídico

con arreglo a derecho, con las previsiones del artículo 28 del RGPD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/9

El reclamado manifiesta que, tras recibir esta respuesta, suspendió cautelarmente el uso de

GW, existiendo escritos del Colegio a su mando de 2/12/2021 sobre los problemas de no

disponer de plataforma para impartir las clases telemáticamente caso de que se confinara al

alumnado. Mientras, en 13/01/2022, se acredita por un escrito que el Colegio manda a la

oficina LOPD del EA, que el Colegio contrató una consultora para analizar las cláusulas

contractuales tipo de GOOGLE y las transferencias internacionales, informando que volvería

la semana que viene a utilizar GW.

También manifiesta que, a finales de mayo 2022, se cesó en el uso de la plataforma en el

Colegio y no se ha vuelto a usar.

El reclamado manifestó que en el curso 20/21 no utilizó la plataforma GW.

7-Solicitado en pruebas copia del acuerdo suscrito con GOOGLE para la implantación del

servicio GW, se respondió que el contrato se suscribe por el Colegio, on line, aceptando los

términos de uso. La plataforma GW según se respondió en pruebas, comenzó a utilizarse en

septiembre de 2021 en el CMNSL.

8- La base legitimadora del tratamiento de datos del reclamado, según manifestó en su

respuesta al reclamante el 2/08/2021 y que concurre para el tratamiento de los datos de

GW, es el artículo 6.1.e) del RGPD, ?necesario para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable

del tratamiento? consolidado a través del derecho a la educación del artículo 27 de la

Constitución Española y la Ley Orgánica 2/2006, de 3/05, de Educación, para facilitar la

digitalización de la educación y el acceso a la misma a todos los ciudadanos durante la

crisis sanitaria de COVID19.

9-El Registro de las actividades de Tratamientos-RAT- del Ministerio de Defensa- en el que

se contiene el referido a los centros educativos, denominado: ?EA. Gestión de Centros Docentes?

, versión junio 22, describe en sus FINES, (gestión de plazas, matriculas y cobros,

historial académico, orientación y apoyo académico, garantía de la salud, tareas complementarias

), sin mencionar expresamente la función educativa.

Como Bases jurídicas, constan: ?artículo 6.1b) del RGPD´: tratamiento necesario para la ejecución

de un contrato en el que interesado es parte o para la aplicación a petición de éste

de medidas precontractuales? y con base al servicio público esencial de la educación, en el

artículo 6.1 e) del RGPD: ?tratamiento necesario para el cumplimiento de una misión realizada

en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento?

citando diversas normas legales, y el ?consentimiento explícito en cuanto a temas

relacionados con menores.?, igualmente sin detallar con que tratamientos se relacionaría.

10-El reclamado en respuesta al traslado de la AEPD, el 7/12/2021, aportó copia en

evidencia 5 de la ?cláusula informativa actualizada sobre Protección de Datos y

consentimiento que se entrega en el período de matriculación a los alumnos, destacándose:

a) Como responsable del tratamiento figura el Ministerio de Defensa- Ejército del Aire y del

Espacio. Sin embargo, tanto en el registro de actividades de tratamiento, como

manifestaciones del reclamado, el responsable del tratamiento es el ***CARGO.1.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/9

b) Menciona que sus actividades de tratamiento comprenden distintas finalidades, entre

otras, la función educativa, la gestión de la matricula, la del expediente escolar y datos

médicos. A efectos de base legitimadora del tratamiento, todas las finalidades quedan

encuadradas como función educativa, informando que les resultaría aplicable el artículo

6.1.c) del RGPD: ?el tratamiento es necesario para el cumplimiento de una obligación legal

aplicable al responsable del tratamiento?

c) Para las actividades de tratamiento que requieren consentimiento: (actividades

extraescolares o uso de imagen/voz en eventos y actividades) no se informa de la

posibilidad de su retirada del consentimiento y sus efectos.

Tras el inicio del procedimiento, el reclamado ha aportado la modificación de la ?clausula

informativa sobre protección de datos y consentimiento?, introduciendo la especificidad de la

denominación del responsable del tratamiento, siguiendo la definición de las variadas

finalidades. Tras la recepción de la propuesta la reclamada ha ajustado cada base

legitimadora a cada finalidad, integrando como base legitimadora la de la misión de interés

público, artículo 6.1.e) del RGPD respecto a la función educativa y la opción de la retirada

del consentimiento en los tratamientos con esta base.?

TERCERO: La parte recurrente ha presentado en fecha 26/09/2023, en esta Agencia

Española de Protección de Datos, recurso de reposición, fundamentándolo, básicamente,

en:

1) Se imputa la comisión de la infracción al responsable del tratamiento, ***CARGO.1 - de

haber encargado el tratamiento de datos válidamente tratados por el Colegio a un tercero,

GOOGLE, sin la formalización de un contrato u otro acto jurídico escrito previamente, con el

contenido requerido por el artículo 28.3 del RGPD. La afirmación en la resolución de que

?desconoce los términos en que se produce la prestación de servicios firmados por el

Director del Colegio" reconocería que sí existe un acto jurídico escrito firmado entre el (?)

Colegio Menor "Nuestra Señora de Loreto" y la mercantil GOOGLE (es de suponer que con

el contenido exigido por el artículo 28.3 del Reglamento toda vez que de otra manera la

mercantil no habría permitido el acceso a sus servicios), razón por la que la resolución

termina fundando la sanción que impone en que la contratación del servicio con Google

Ireland Limited no fue efectuada por el responsable del tratamiento (es decir, no fue firmada

(?)) y sí, por alguien (?) que carecía de autorización previa y escrita, específica o general,

del responsable del tratamiento.

A tal efecto, explica se ha de tener en cuenta, la ?singular naturaleza jurídica administrativa?

del Colegio, como privado, integrado en el Ejército del Aire, (?). Le resulta aplicable en

materia educativa la normativa del Estado, y la autonómica, y en control, cuestiones

económicas, o de seguridad depende el Ejército del Aire. Así pues, lo considera con una

doble dependencia, educativa y militar.

La ?Guía para centros educativos? de la AEPD, disponible en la web indica, que ?Cuando se

trate de centros educativos públicos, el responsable del tratamiento será normalmente la

Administración Pública correspondiente, y que cuando se trate de centros concertados y

privados, los responsables del tratamiento de los datos serán los propios centros?, no

tratándose la especificidad del Colegio referido. En la página 13 de la citada Guía, se indica

que: ?No se consideran encargados del tratamiento a las personas físicas que tengan

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/9

acceso a los datos personales en su condición de empleados del centro o de la

Administración educativa que son los responsables del tratamiento...".

La AEPD sanciona al responsable del tratamiento, ***CARGO.1, pero manifiesta que el

Director del Colegio, no siendo responsable del tratamiento, ni tampoco un empleado del

centro, es un militar del Ministerio de Defensa nombrado para el cargo, y en función de la

facultad de recogida de datos a los centros educativos (vinculada a la dipos adic 23 de la LO

2/2006 de educación), considera que su posición es distinta a la de un Director de Centro

educativo privado, estimando que su naturaleza y funciones se ajustan a las de un

encargado de tratamiento, siendo GOOGLE, un segundo encargado del tratamiento con el

que el primer encargo, el Director del Colegio suscribió ?un acto jurídico de los del artículo

28.3 del RGPD?, que entiende válido y previamente autorizado por el responsable del

tratamiento al que le confiere autorización general para recurrir a un segundo encargado,

GOOGLE.

Tanto el responsable del tratamiento, como el encargado, (?), son nombrados (?), y dado

el contenido de la disposición adicional 23 de la LO de educación, es a este Director del

Colegio al que se le habilita a recabar y tratar datos del alumnado del Colegio que son

necesarios para la función educativa.

Estima que la habilitación del primer encargado, el Director del Colegio, a un segundo, viene

integrada por las disposiciones legales y reglamentarias y de actos administrativos

sucesivamente dictados en aplicación de estas disposiciones, que resulta de la distribución

de competencias y asignación de responsabilidades inherentes a la doble dependencia.

De lo expuesto se deriva como consecuencia inevitable que la firma del responsable del

tratamiento no es en modo alguno necesaria en el acto jurídico escrito mediante el que el

primer encargado del tratamiento-el Director del Colegio- encarga el tratamiento de datos a

un segundo encargado GOOGLE, ?puesto que estaríamos en uno de los supuestos

regulados en el 28.2 del RGPD donde un primer encargado del tratamiento ((?) Colegio

Menor "Nuestra Señora de Loreto"), mediando autorización previa por escrito del

responsable, acude a otro segundo encargado (Google Ireland Limited) firmando ambos ese

segundo acto jurídico por escrito perfectamente válido cuya existencia real nadie discute en

el procedimiento cuya resolución final se impugna.

2- En cuanto a la infracción del deber de información, artículo 13 del RGPD, caso de admitir

la interpretación que se acaba de apuntar, ?la responsabilidad correspondería al primer

encargado del tratamiento, (?), nunca al responsable del tratamiento, debiendo recaer la

sanción en el primero.?

Indica que remite entre otra documentación, de nuevo, el registro de actividades de

tratamiento del Ministerio de Defensa en el que figura designado el ***CARGO.1

responsable del fichero "EA. GESTIÓN DE CENTROS DOCENTES?; la instrucción 37/2021

de 1/07 del Jefe del Estado mayor del Ejército del aire, BOD de 13/07/2021, por la que se

desarrolla la organización del Ejército, hoy del espacio

FUNDAMENTOS DE DERECHO

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/9

I

Es competente para resolver el presente recurso la Directora de la Agencia Española de

Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la LPACAP y el

artículo 48.1 de la LOPDGDD.

II

En relación con las manifestaciones efectuadas por la parte recurrente, se debe partir del

hecho de que en todo el procedimiento, la reclamada defendió que el responsable del

tratamiento es el (?), y que en el período de pruebas se solicitó aportase si existiera, alguna

disposición, del rango que fuese, que atribuyera tal competencia, y la reclamada, reiteró

igual que ahora en el recurso, que en el RAT figura tal responsable, si bien también

manifestó en pruebas que: ?El responsable de tratamiento tuvo conocimiento del uso de la

citada plataforma por parte del CMNSL cuando recibió la notificación a través de la Oficina

del DPD del MINISDEF de la reclamación interpuesta por el interesado ante la AEPD.?

Sobre el rol y el desempeño que se atribuye por ley a los responsables del tratamiento y sus

encargados de tratamiento, se han de mencionar, por lo que no merecen ser citados, los

variados artículos en el RGPD y en la LOPDGDD que les fijan las obligaciones legales, y

sus responsabilidades no trasladables por propia voluntad a otro organismo o centro.

En cuanto a la interpretación de la recurrente del papel que juega el Director del Centro

educativo en este supuesto sobre la contratación del encargo de tratamiento, se ha de

indicar:

a) La recurrente interpreta que la suscripción on line del servicio de GOOGLE por el

Colegio, aunque suscrito por el Director del mismo, cumpliría los requisitos del articulo 28

del RGPD por atribuirle la normativa de educación capacidad para recabar datos. Sin

embargo, la norma indica que son los centros los que podrán recabar los datos de su

alumnado, los necesarios para el ejercicio de su función educativa. A tal efecto, se debe

diferenciar quien recoge los datos, de quien es el responsable del tratamiento. La alusión en

la ?Guía para centros educativos? es una información genérica existiendo luego matices. Así,

aparte de la publicación que menciona la recurrente, y que no se indicaba en la resolución,

en ¿Quién es el responsable del tratamiento de los datos en un centro educativo?, figura

una entrada de 15/09/2021 en la página de la AEPD en la que en una tira informativa pdf, se

indica la distinción entre interesado, responsable, encargado, indicándose en responsable

del tratamiento, que es:

?Persona física o jurídica, autoridad pública, servicio u organismo que determina los fines y

medios del tratamiento que se realiza. El responsable de los tratamientos de datos

personales realizados por los centros educativos públicos es normalmente la Administración

Educativa (Consejería de Educación de la Comunidad Autónoma). Para los centros de

Ceuta, Melilla, y los del Exterior, el responsable es el Ministerio de Educación y Formación

Profesional. En los tratamientos de datos personales realizados por los centros concertados

y privados, el responsable es el propio centro educativo (fundación, congregación religiosa,

cooperativa, etc.)

En el apartado de encargado:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/9

?Persona física o jurídica, autoridad, servicio u organismo que trata los datos por cuenta del

responsable. El responsable determina a quién le encarga el tratamiento que se va a llevar a

cabo. Debe ser elegido por éste únicamente entre los que ofrezcan garantías suficientes de

cumplimiento de la normativa de protección de datos. El encargado siempre debe actuar en

el marco de las instrucciones fijadas por el responsable. El flujo de datos personales entre el

responsable y el encargado no constituye una cesión de datos. Ejemplos de encargados en

el ámbito educativo: prestadores de servicios tecnológicos, empresas que gestionan el

comedor escolar, la ruta escolar, las actividades extraescolares, etc?.

Si bien es cierto que el Director del colegio Menor Nuestra Señora de Loreto suscribiera el

acuerdo on line con GOOGLE, ya se indicaba en la resolución que no era el responsable del

citado tratamiento, y que además no fue aportado contrato o acto jurídico alguno que

contuviera los elementos del artículo 28 del RGPD,

b) Que el Director de un centro educativo privado, en este caso, no sea considerado

responsable del tratamiento, por existir en este caso ya uno designado, no quiere decir que

sea encargado, pues lo usual es que el centro educativo, sus profesores, resto de personal,

incluyendo en su caso el directivo, remitan y rindan responsabilidades en cuanto a la

responsabilidad del tratamiento al que figure como tal designado.

El Comité europeo de Proteccion de Datos, en desarrollo de las funciones atribuidas por el

artículo 70.1.e) del RGPD, emitió las Directrices 07/2020 sobre los conceptos de

«responsable del tratamiento» y «encargado del tratamiento» en el RGPD. En el punto 76,

se indica:

?Para ser considerado encargado del tratamiento, es necesario reunir dos condiciones

fundamentales:

a) ser un ente independiente del responsable del tratamiento; y

b) tratar datos personales por cuenta del responsable...?

Mientras que en su punto 18 indica que ?Aun cuando se nombre a una persona física

concreta para garantizar el cumplimiento de la normativa sobre protección de datos, esta no

será el responsable del tratamiento, sino que actuará por cuenta de la persona jurídica

(empresa u organismo público), que, en última instancia, responderá, en calidad de

responsable del tratamiento, de las posibles infracciones de la normativa.?, recordando que

aunque el Colegio es en este caso una entidad privada, no se corresponde con una entidad

mercantil sino que se adscribe al Ministerio de Defensa a través del Patronato de Huérfanos

del Ejército del Aire ?Nuestra Señora de Loreto? y las competencias del Director del Colegio

que pueda asumir habrán de ser expresas, sin que figure o se desprenda que pudiera tratar

los datos como encargado del tratamiento en nombre del responsable del tratamiento

2-Tampoco es de aplicación la habilitación automática de un encargado a otro, cuando el

RGPD señala que la subcontratación de un encargo en su artículo 28.2 del RGPD:

?El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por

escrito, específica o general, del responsable. En este último caso, el encargado informará

al responsable de cualquier cambio previsto en la incorporación o sustitución de otros

encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/9

3- Pese a la configuración doble del Colegio que detalla la recurrente, educativa y orgánica,

de la misma no se desprende que el Colegio o su Director se constituya en encargado del

tratamiento de la herramienta informatica titularidad de GOOGLE utilizada en el período de

la pandemia.

Como consecuencia, la responsabilidad también a la hora de informar correctamente de los

datos recogidos y del tratamiento es del mismo responsable, lo que no implica que el Centro

educativo obrando en su nombre instrumente la entrega y puesta a disposición de la citada

documentación.

III

En consecuencia, en el presente recurso de reposición, la parte recurrente no ha aportado

nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución

impugnada.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por ***CARGO.1- COLEGIO

MENOR NUESTRA SEÑORA DE LORETO (MINISTERIO DE DEFENSA, EJÉRCITO DEL

AIRE Y DEL ESPACIO ) con NIF S2801407D, contra la resolución de esta Agencia

Española de Protección de Datos dictada con fecha 29/08/2023, en el expediente

EXP202104450.

SEGUNDO: NOTIFICAR la presente resolución a MINISTERIO DE DEFENSA, (EJÉRCITO

DEL AIRE Y DEL ESPACIO- ***CARGO.1- COLEGIO MENOR NUESTRA SEÑORA DE

LORETO) con NIF S2801407D.

TERCERO: De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo

Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el

artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07,

reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar

desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de

la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá

suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta

su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el

interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia

Española de Protección de Datos, presentándolo a través del Registro Electrónico de la

Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los

restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a

la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/9

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación

de la presente resolución, daría por finalizada la suspensión cautelar.

180-250923

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es