Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00066-2022 de 12 de septiembre de 2022
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 12/09/2022
Num. Resolución: PS-00066-2022
Cuestión
1 / 10Expediente N.º: EXP202104917
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 24 de septiembre de
2021 interpuso...
Contestacion
1/10
? Expediente N.º: EXP202104917
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 24 de septiembre de
2021 interpuso reclamación ante la Agencia Española de Protección de Datos.
La reclamación se dirige contra SOPHIE ET VOILA, S.L. con NIF B95827952 (en
adelante, la parte reclamada).
El motivo en que basa la reclamación es que la parte reclamada ha publicado en
Instagram una foto en la que figura la parte reclamante vestida con su traje de boda.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), el 29 de noviembre de 2021, se dio traslado de dicha
reclamación a la parte reclamada, para que procediese a su análisis e informase a
esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a
los requisitos previstos en la normativa de protección de datos.
El 14 de enero de 2022, en respuesta al citado requerimiento, la parte reclamada
indica que en ningún momento se identifica a los reclamantes, ya que, las fotografías
solo mostraban las figuras de dos personas, hombre y mujer, con la cara totalmente
tapada por un círculo negro que no hacía identificable a las mismas.
Dicha entidad considera que para que exista una infracción de los derechos conferidos
en el RGPD, deberá existir un tratamiento de los datos personales de los reclamantes,
y la publicación de una fotografía, que ha sido deliberadamente modificada para no
hacer reconocible a los integrantes de la misma, no puede considerarse un tratamiento
ilícito, al revés, podría ser prueba de las medidas de seguridad adoptadas, en este
caso, la anonimización de los datos y garantizar la confidencialidad de los mismos.
Apoya sus manifestaciones alegando que el artículo 4 del citado RGPD bajo la rúbrica
?Definiciones? entiende por dato personal ?toda información sobre una persona física
identificada o identificable («el interesado»); se considerará persona física identificable
toda persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios elementos
propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o
social de dicha persona?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/10
Se afirma que las imágenes anonimizadas de los reclamantes no pueden considerarse
datos personales y, por tanto, su publicación no puede ser considerada un tratamiento
sometido al RGPD.
Asimismo considera que en el sorprendente caso de que se entendiera que las
imágenes que aparecen en la fotografía son datos personales, serían de aplicación los
términos y condiciones de la red social (Instagram) que contemplan la posibilidad de
que un usuario pueda publicar fotos en los que aparecen terceros, ofreciendo una vía
para reportar tales usos en caso de no estar de acuerdo con ellos, vía que los
reclamantes no ejercitaron.
Concluye señalando que las imágenes se publicaron durante menos de una hora, por
lo que de nuevo en el caso de que se estimara la existencia de un tratamiento de
datos personales contrario al RGPD, la infracción carecería de entidad suficiente y
que, en cualquier caso, si se tuvieran en cuenta los argumentos de la reclamante,
quizás convendría entrar a valorar el artículo 76.2.d) de la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de derechos digitales.
TERCERO: Con fecha 24 de diciembre de 2021, de conformidad con el artículo 65 de
la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 1 de abril de 2022, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
por la presunta infracción del Artículo 6 del RGPD, tipificada en el Artículo 83.5 del
RGPD.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito
de alegaciones en el que, en síntesis, manifiesta que la denunciante publicó su
fotografía el día 29 de agosto y etiquetó a Sophie et Voilá.
La entidad reclamada considera que el etiquetado por la reclamante a la entidad
reclamada en Instagram, sin duda resulta una acción clara en la que la propia
denunciante tiene interés en hacer público que nuestra representada es la responsable
de la confección de su vestido.
Como se puede apreciar en los hechos, Sophie et Voilá repostea la publicación de la
denunciante el 29 de Agosto, sin que la denunciante haya mostrado ningún tipo de
molestia, es más el 25 de septiembre nuevamente publica otra fotografía y también
etiqueta a Sophie et Voilá, lo que demuestra su completa conformidad con el trabajo
de mi representada y por supuesto con el reposteo de las mismas.
Esta acción, es una acción afirmativa libre y en positivo por parte de la parte
reclamante al etiquetar a mi representada que debe ser 11 considerado como un
consentimiento en la publicación de las imágenes por parte de mi representada.
SEXTO: Con fecha 25 de mayo de 2022, el instructor del procedimiento da por
reproducidos a efectos probatorios la reclamación interpuesta por el reclamante y su
documentación, los documentos obtenidos y generados y se dan por reproducidos a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/10
efectos probatorios, las alegaciones al acuerdo de inicio del procedimiento
sancionador referenciado, presentadas por SOPHIE ET VOILA, S.L., y la
documentación que a ellas acompaña.
SEPTIMO: Con fecha 31 de mayo de 2022 se formuló propuesta de resolución,
proponiendo que la Directora de la Agencia Española de Protección de Datos sancione
a SOPHIE ET VOILA, S.L., con NIF B95827952, por una infracción del artículo 6 del
RGPD, tipificada en el artículo 83.5 del RGPD, con una multa de 10.000? (diez mil
euros).
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: Se ha publicado en Instagram una foto en la que figura la parte reclamante
vestida con su traje de boda, por parte de la entidad que le confeccionó el vestido,
para lograr que se procediese a su abono.
Las imágenes publicadas por la parte reclamada si eran identificables, y el objetivo de
su publicación era cobrar las ventas de los trajes de boda adquiridos.
SEGUNDO: La entidad reclamada alega que dichas fotos fueron colgadas por la
reclamante con carácter previo y que cuando la parte reclamada colgó a su vez tales
imágenes pixeló su rostro.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
El artículo 4.11 del RGPD define el consentimiento del interesado como ?toda
manifestación de voluntad libre, específica, informada e inequívoca por la que el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/10
interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen?.
En este sentido, el artículo 6.1 de la LOPDGDD, establece que ?de conformidad con lo
dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento
del afectado toda manifestación de voluntad libre, específica, informada e inequívoca
por la que este acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen?.
Por su parte el artículo 6 del RGPD, establece lo siguiente:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones
:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses
no prevalezcan los intereses o los derechos y libertades fundamentales del interesado
que requieran la protección de datos personales, en particular cuando el interesado
sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
III
En el presente caso, la parte reclamante denuncia a la parte reclamada porque ha
publicado en Instagram una foto en la que figuran los reclamantes vestidos con sus
trajes de boda
Según la parte reclamada, en la foto la parte reclamante tiene la cara totalmente
tapada por un círculo negro.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/10
La reclamada manifiesta que publica sus diseños desde 2014 en Instagram y que la
base que legitima el tratamiento es el interés legítimo.
Además, afirma que la foto se publicó por un espacio de una hora y se retiró cuando la
novia pagó finalmente su vestido de boda.
La entidad reclamada manifiesta que el considerando 26 del RGPD establece lo
siguiente:
?Los principios de la protección de datos deben aplicarse a toda la información relativa
a una persona física identificada o identificable.
Los datos personales seudonimizados, que cabría atribuir a una persona física
mediante la utilización de información adicional, deben considerarse información sobre
una persona física identificable.
Para determinar si una persona física es identificable, deben tenerse en cuenta todos
los medios, como la singularización, que razonablemente pueda utilizar el responsable
del tratamiento o cualquier otra persona para identificar directa o indirectamente a la
persona física.
Para determinar si existe una probabilidad razonable de que se utilicen medios para
identificar a una persona física, deben tenerse en cuenta todos los factores objetivos,
como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto
la tecnología disponible en el momento del tratamiento como los avances
tecnológicos.
Por lo tanto, los principios de protección de datos no deben aplicarse a la información
anónima, es decir información que no guarda relación con una persona física
identificada o identificable, ni a los datos convertidos en anónimos de forma que el
interesado no sea identificable, o deje de serlo.
En consecuencia, el presente Reglamento no afecta al tratamiento de dicha
información anónima, inclusive con fines estadísticos o de investigación. ?
Pues bien, aplicando dicha definición y el citado considerando, no podemos entender
que las fotografías en las que se cubre el rostro de los que aparecen cumpla con
ninguno de estos requisitos, ya que la vestimenta nupcial de ambos reclamantes no
les hace identificables en ningún caso.
Ha de tenerse en cuenta que la denunciante publicó en Instagram su fotografía el día
29 de agosto de 2020 y etiquetó a la entidad reclamada.
El etiquetado de mi representada sin duda resulta una acción clara en la que la propia
denunciante tiene interés en hacer público que nuestra representada es la responsable
de la confección de su vestido.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/10
Como se puede apreciar en los hechos, la entidad reclamada repostea la publicación
de la denunciante el 29 de Agosto de 2020, sin que la denunciante haya mostrado
ningún tipo de molestia, es más el 25 de septiembre de 2020 nuevamente publica otra
fotografía y también etiqueta a la entidad reclamada, lo que demuestra su completa
conformidad con el trabajo de mi representada y por supuesto con el reposteo de las
mismas.
Esta acción, que comentaremos más adelante, es una acción afirmativa libre y en
positivo por parte del a reclamante al etiquetar a mi representada que debe ser
considerado como un consentimiento en la publicación de las imágenes por parte de
mi representada.
En relación con la acción de anonimización de las imágenes o su pixelado, debemos
tener en cuenta que en repetidas ocasiones la propia Agencia Española de Protección
de Datos recomienda este tipo de técnicas para la publicación de las imágenes en los
medios.
Por ejemplo, recientemente la AEPD, coincidiendo con la situación de confinamiento,
recordaba los riesgos de la difusión de las imágenes de personas en redes sociales y
recomendaba que se utilicen parámetros digitales que impidan discernir rasgos
faciales.
La reclamada manifiesta que publica sus diseños desde 2014 en Instagram y que la
base que legitima el tratamiento es el interés legítimo.
Además, afirma que la foto se publicó por un espacio de una hora y se retiró cuando la
novia pagó finalmente su vestido de boda.
Esta Agencia considera que las imágenes publicadas por la parte reclamada si eran
identificables y por eso fueron publicadas en Instagram por la reclamada con la
finalidad de cobrar por las ventas efectuadas,
En este sentido, ha de indicarse que la falta de pago no legitima a la parte reclamada a
utilizar las imágenes de los reclamantes, si no cuenta con su consentimiento expreso,
por lo tanto se ha incurrido en un tratamiento ilícito de datos personales.
Además, no pueden ser objeto de tratamiento los datos personales obtenidos de una
red social o de internet, sin que concurra alguna de las bases de legitimación previstas
en el art. 6 del RGPD.
Por lo tanto, se considera que estamos ante un tratamiento ilícito de datos personales,
ya que en este caso la parte reclamada ni siquiera intentó obtener el consentimiento
de los reclamantes para el uso de su imagen, dado que consideró que tenía interés
legítimo para su tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/10
Su incumplimiento supone la infracción del artículo 6 del RGPD indicado en el
fundamento de derecho II, ya que los datos personales han sido tratados sin contar
con ningún tipo de legitimación.
IV
El artículo 72.1 b) de la LOPDGDD señala que ?en función de lo que establece el
artículo 83.5 del Reglamento (UE) 2016/679, se consideran muy graves y prescribirán
a los tres años las infracciones que supongan una vulneración sustancial de los
artículos mencionados en aquel y en particular, las siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.?
V
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas,
proporcionadas y disuasorias.?
?Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/10
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.?
Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,
?Sanciones y medidas correctivas?, dispone:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.?
De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción de
multa a imponer a SOPHIE ET VOILA, S.L. con NIF B95827952, como responsable de
una infracción tipificada en el artículo 83.5.a) del RGPD, se estiman concurrentes en el
presente caso, en calidad de agravantes, los siguientes factores:
-ha habido intencionalidad, ya que indican que quitaron las imágenes al abonar el traje
de novia, de conformidad con el artículo 83.2 b del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/10
Esta infracción puede ser sancionada con multa de 20 000 000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD.
Con arreglo a dichos criterios, se estima adecuado imponer a la entidad reclamada
una sanción de 10.000 euros (diez mil euros), por la infracción del artículo 6 del
RGPD, respecto al tratamiento de datos personales, sin el consentimiento del
afectado. A tenor de lo anteriormente expuesto, por la Directora de la Agencia
Española de Protección de Datos
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a SOPHIE ET VOILA, S.L., con NIF B95827952, por una
infracción del artículo 6 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa
de 10.000 euros (diez mil euros).
SEGUNDO: NOTIFICAR la presente resolución a SOPHIE ET VOILA, S.L.
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/10
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-050522
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es