Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00104-2020 de 10 de julio de 2020
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 10/07/2020
Num. Resolución: PS-00104-2020
Cuestión
Sector:1 / 14
936-031219
Procedimiento Nº: PS/00104/2020
RESOLUCIÓN R/00297/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00104/2020, instruido por la Agencia
Española de Protección de Datos a XFERA MÓVILES, S.A. (YOIGO...
Contestacion
1/14
936-031219
? Procedimiento Nº: PS/00104/2020
RESOLUCIÓN R/00297/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00104/2020, instruido por la Agencia
Española de Protección de Datos a XFERA MÓVILES, S.A. (YOIGO), vista la
denuncia presentada por A.A.A., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 1 de abril de 2020, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a XFERA MÓVILES,
S.A. (YOIGO) (en adelante, el reclamado), mediante el Acuerdo que se transcribe:
Procedimiento Nº: PS/00104/2020
935-090320
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos
y en base a los siguientes
HECHOS
PRIMERO: El 26/12/2018 tiene entrada en la Agencia Española de Protección de
Datos la reclamación formulada por D. A.A.A. (en adelante, el reclamante) frente a
XFERA MÓVILES, S.A., con NIF A82528548 -nombre comercial YOIGO- (en adelante,
la reclamada o YOIGO).
El motivo de su reclamación es la conducta de la reclamada que, con ocasión de
que el reclamante y su cónyuge suscribieran presencialmente en un distribuidor de
YOIGO el cambio de titularidad de una línea móvil de la esposa a favor del reclamante,
procedió a vincular ese número de teléfono a los datos de un tercero. El reclamante
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/14
manifiesta que, como consecuencia de tal actuación, cuando accede a
?miyoigo.yoigo.com? puede visualizar los datos del tercero -datos personales
completos, facturas, números de teléfono a los que llama- y tendría la capacidad de
modificarlos. Afirma que, del mismo modo, esa tercera persona podría, utilizando su
propia contraseña, gestionar los datos del reclamante.
Añade que, pese a las reclamaciones a YOIGO, a las visitas al establecimiento
del distribuidor y a la reclamación ante la OMIC de ***LOCALIDAD, en la fecha de su
denuncia no ha logrado aún que rectifiquen la irregularidad, limitándose la reclamada y
su distribuidor a responsabilizarse mutuamente.
Anexa a su reclamación copia del ejemplar para el cliente del documento
denominado ?Cambio de Titular? que lleva el anagrama de YOIGO. En él figura como
fecha de la solicitud el 29/11/2018. En el apartado ?Datos del punto de venta? figura
?***DATOS?; como ?Datos del titular actual? B.B.B. y su NIF; en el apartado ?Datos del
nuevo titular? consta el nombre, dos apellidos y NIF del reclamante, su domicilio, la
fecha de nacimiento y la dirección electrónica. En el apartado ?Servicios? la indicación:
?Número YOIGO que cambia de titular ***TELÉFONO.1?. ?Tipo de contrato/Tarifa
actual?, ?La SINFÍN 5 GB?. Se incluyen también en el documento los veinte dígitos de
la cuenta bancaria del reclamante en la que se domicilia el pago de facturas y el
número de mandato de domiciliación.
SEGUNDO: A.- A la vista de la reclamación, la AEPD, en el marco del expediente
E/01044/2019, mediante escrito de fecha 01/02/2019 dio traslado de la reclamación al
Delegado de Protección de Datos (DPD) de YOIGO y le solicitó información sobre el
origen de los hechos denunciados y sobre las medidas que hubiera adoptado para
poner fin a la situación irregular generada. El documento se notificó electrónicamente
y, tal como lo acredita el certificado de la FNMT que obra en el expediente, se puso a
disposición en la sede electrónica el día 01/02/2019 siendo aceptada la notificación por
la reclamada el 5/02/2019.
El 05/04/2019 tiene entrada en esta Agencia un escrito del DPD de la reclamada
en el que afirma que ha ?recibido simplemente un impreso de cambio de titular y que
no se aprecia cual puede ser la reclamación?. Sin embargo, se verificó que en el
documento que la AEPD notificó a la entidad se incluía el relato de hechos
denunciados además de solicitársele determinada información y, como documento
anexo, se facilitaba la copia del documento de cambio de titular. No obstante, la
Agencia reiteró la solicitud informativa al DPD de YOIGO mediante escrito firmado el
12/04/2019, puesto a disposición en la sede electrónica en esa fecha y cuya
notificación fue aceptada por la reclamada el 15/04/2019. El DPD de la reclamada no
respondió a la solicitud de información que le notificó esta Agencia.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/14
También en fecha 01/02/2019 se notificó al reclamante el traslado de su
reclamación a la entidad reclamada.
De conformidad con lo dispuesto en el artículo 65.5 de la Ley Orgánica 3/2018,
de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), en fecha
18/06/2019 se firmó el acuerdo de admisión a trámite de la presente reclamación.
B.- Bajo la referencia E/6279/2019 y al amparo del artículo 67.1 de la
Inspección de Datos de la AEPD llevó a cabo actuaciones de inspección que
finalizaron con el Informe de Actuaciones Previas de Inspección, firmado por el
inspector actuante, del que se reproduce el fragmento relativo al resultado de tales
actuaciones:
Con fecha 12 de abril de 2019, se da traslado de la denuncia a XFERA
MÓVILES, S.A. (YOIGO), en las actuaciones con referencia E/01044/2019. No se
recibe contestación.
Con fecha 19 de junio de 2019 se inician las presentes actuaciones.
Con fecha 5 de julio de 2019, se envía requerimiento de información a XFERA
MÓVILES, S.A. (YOIGO). La notificación se realiza electrónicamente a través de
notific@. Según este sistema de notificación, se ha producido el rechazo automático al
haber transcurrido diez días naturales desde su puesta a disposición.
Con fecha 23 de agosto de 2019, el denunciante remite a esta Agencia la
siguiente información y manifestaciones:
1 Aporta copia de movimientos bancarios entre el 4 de julio de 2018 y el 5 de
febrero de 2019 donde se visualizan trece cargos con concepto ?Recibo /yoigo?
que, según manifiesta, están relacionados con las líneas ***TELÉFONO.2 y
***TELÉFONO.1, tres de ellos con fecha valor ?05/12/2018?, ?04/01/2019?,
?05/02/2019?.
2 Aporta captura de pantalla de MIYOIGO con los siguientes datos:
a. En el apartado de ?información personal? consta: C.C.C. ***NIF.3
b. Enel apartado de ?dirección de contacto? consta: CALLE
***DIRECCIÓN.1
c. En el apartado de ?líneas de tu contrato? constan las líneas:
***TELÉFONO.1, ***TELÉFONO.3, ***TELÉFONO.4
Con fecha 29 de agosto de 2019, el denunciante remite a esta Agencia la
siguiente información y manifestaciones:
1. Que la empresa no solucionó el cambio de titularidad ni que al acceder con la
contraseña de su mujer a MIYOIGO apareciesen todos los datos a nombre de
C.C.C.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/14
2. Que, gracias a conversaciones amistosas con C.C.C., el denunciante y su
mujer pudieron darse de baja.
3. Aporta capturas de pantalla de las conversaciones con YOIGO:
a. Mensaje del denunciante a YOIGO:
?Buenas tardes, el Jueves 29 desde la tiendo yoigo de majadahonda
pedí un cambio de titular de la línea de mi mujer B.B.B. DNI ***NIF.2 tlf.
***TELÉFONO.1 a mi nombre, A.A.A. DNI ***NIF.1 tlf. ***TELÉFONO.2
la dependiente de la tienda nos hizo firmar un papel y nos hizo
fotocopia de los DNIs, y le enviamos por gmail un recibo bancario en
ese mismo momento, ?pues bien, alguien apretando mal alguna tecla
ha puesto el tlf de mi mujer a nombre de un tal C.C.C. DNI ***NIF.3 tlf.
***TELÉFONO.3. Desde el lunes 3, cuando esta persona se da cuenta
de que le han añadido un teléfono que él no ha tramitado, ha
presentado un escrito a Uds. y nos llama paro decírnoslo y mi mujer
envió una reclamación vía correo electrónico con respuesta, pero sin
solución.?
a. Mensaje de 10 de diciembre de 2018 del denunciante:
??Solicitando también mediante este escrito la inmediata restitución del
nombre de contrato de B.B.B. a su número de teléfono
***TELÉFONO.1?
a. Con fecha 10 de diciembre de 2018 a las 11:41 YOIGO
responde:
?El cambio de titular se gestiona en la tienda, y han sido ellos los
responsables del error, por lo que son ellos los que tienes que
corregirlo. Desde aquí no podemos hacer nada. ?
a. Con fecha 10 de diciembre de 2018 a las 16:36 el denunciante
responde:
?Buenas tardes, esta Ud. afirmando que el personal de la tienda es el
que vuelca los datos de cambio de titular al sistema? Porque la señorita
de tardes de la tienda afirma que ellos dan traslado por valija y que lo
han hecho bien y que no pueden hacer nada.?
a. Con fecha 11 de diciembre de 2018 YOIGO responde:
?El cambio de titular es un trámite que únicamente se realiza desde la
tienda, por tanto son ellos los encargados de tomar todos los datos y
realizar la gestión correspondiente, cualquier duda o problema son ellos
quienes pueden ayudarte a solucionarlo.?
a. Con fecha 21 de diciembre de 2018 a las 14:23 el denunciante
escribe a YOIGO:
?Buenos días, estoy en la tienda de yoigo de gran plaza 2.
Majadahonda, este asunto no se arregla y me dicen que hace muchos
días que se han enviado los contratos. Hay abierta una incidencia. ?
podrían tener la deferencia de hacer un seguimiento y responderme por
qué no se resuelve correctamente el cambio de titularidad??
a. Con fecha 21 de diciembre de 2018 a las 14:26 YOIGO
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/14
responde:
??cómo te hemos indicado anteriormente el cambio de titular
solamente se tramita por tienda, si tienen algún problema con el
trámite, tendrías indicarle a tienda que hablen con su master para poder
solucionarlo??>>
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del
autoridad de control, y según lo establecido en los artículos 47 y 48 de la
la Directora de la Agencia Española de Protección de Datos es competente para iniciar
y para resolver este procedimiento.
II
El
tratamiento de los datos personales y menciona entre ellos los de ?integridad y
confidencialidad?. El precepto dispone:
?1. Los datos personales serán:
(?)
f) Tratados de tal manera que se garantice una seguridad adecuada de los
datos personales, incluida la protección contra el tratamiento no autorizado o ilícito,
contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas
técnicas u organizativas apropiadas (>)?
El principio de integridad se desarrolla a través de los artículos 32 a 34 del
los datos personales?. El artículo 32, ?Seguridad del tratamiento?, dispone:
?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza
, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad
y gravedad variables para los derechos y libertades de las personas físicas, el
responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas
apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso
incluya, entre otros:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/14
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personalesde forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos.
3. (?)
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar
que cualquier persona que actúe bajo la autoridad del responsable o del encargado
y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones
del responsable, salvo que esté obligada a ello en virtud del Derecho de la
Unión o de los Estados miembros.? (El subrayado es de la AEPD)
La infracción de los principios de integridad y confidencialidad de la que se
responsabiliza a la reclamada se tipifica, respectivamente, en los artículos 83.4.a) y
83.5.a) del
Artículo 83.4: ?Las infracciones de las disposiciones siguientes se sancionarán,
de acuerdo con el apartado 2, con multas administrativas de 10.000.000 Eur como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como
máximo del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,11,
25 a 39,42 y 43;?.
Artículo 83.5: ?Las infracciones de las disposiciones siguientes se sancionarán,
de acuerdo con el apartado 2, con multas administrativas de 20.000.000 Eur como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como
máximo del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5,6,7 y 9.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/14
Respecto a la prescripción de las infracciones se ha de estar a las previsiones de
la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los
Derechos Digitales (LOPDGDD) cuyo artículo 73, g) considera infracción grave, siendo
su plazo de prescripción de dos años, ?El quebrantamiento, como consecuencia de la
falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen
implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE)
2016/679.?Por su parte, el artículo 72, 1.i) de la
grave, siendo en este caso el plazo de prescripción de tres años, ?La vulneración del
principio de confidencialidad establecido en el artículo 5 de esta ley orgánica?.
III
La documentación que obra en el expediente ofrece evidencias sólidas de que la
reclamada trató los datos personales del reclamante vulnerando el principio de
integridad, artículo 5.1.f) en relación con el artículo 32.1. b) y c), ambos del
cuando gestionó el cambio de titularidad de una línea móvil que habían solicitado el
reclamante, en calidad de nuevo titular, y su hasta entonces titular, D.ª B.B.B.
Igualmente, existen evidencias de que, como consecuencia de tal actuación se vulneró
el principio de confidencialidad (artículo 5.1.f, del
tercero, también cliente de la reclamada, datos personales del reclamante, al menos
el número de teléfono móvil objeto del cambio de titularidad que la operadora vinculó a
esa persona.
Está acreditado que en fecha 29/11/2018 el reclamante y D.ª B.B.B. solicitaron
ante un distribuidor de YOIGO el cambió de titularidad a favor del primero de la línea
móvil ***TELÉFONO.1 que pertenecía a esta última. Obra en el expediente copia del
ejemplar para el cliente del documento, con el anagrama de YOIGO, de cambio de
titularidad en el que constan los datos personales del antiguo y del nuevo titular.
Respecto al reclamante, además de NIF, nombre y dos apellidos, la dirección postal y
correo electrónico y los veinte dígitos de la cuenta bancaria para la domiciliación del
pago de facturas.
Además, diversos extremos evidencian que, con ocasión del cambio de
titularidad de la línea solicitado por el reclamante, la reclamada no aplicó las medidas
organizativas y técnicas necesarias para garantizar la seguridad de los datos tratados.
Ni se garantizó la disponibilidad de sus datos por el reclamante ni la capacidad de la
operadora reclamada para reponer al reclamante en la disponibilidad de los datos
personales que le conciernen de forma rápida, una vez que la entidad estuvo
informada suficientemente de la irregularidad.
En ese sentido está acreditado a través de las capturas de pantalla del terminal
móvil aportadas por el reclamante referentes a las comunicaciones que mantuvo con
el SAC de YOIGO, que la reclamada se limitó a responder en reiteradas ocasiones
-pese a la abundante información que le había facilitado el reclamante- que las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/14
irregularidades surgidas por el cambio de titularidad de la línea ***TELÉFONO.1 eran
competencia del distribuidor. Esos documentos aportados por el reclamante
evidencian también que la reclamada tuvo conocimiento de los hechos, al menos,
desde el 08/12/2018. Circunstancia que, unida a la declaración del reclamante en la
fecha en que interpone su reclamación, el 26/12/2018, de que la operadora aún no ha
resuelto la irregularidad, pone de manifiesto que carecía de mecanismos para reponer
con rapidez al afectado en la disponibilidad de sus datos, en definitiva, para garantizar
la integridad de los datos personales tratados.
Por otra parte, queda probado que el reclamante facilitó al SAC de YOIGO el
nombre, apellidos, DNI y número de teléfono del tercero -también cliente de la
operadora- al que vinculó el número de línea móvil objeto de la solicitud de cambio de
titularidad. Fueran visibles estos datos por el reclamante, tal y como afirma, o no,
parece evidente que sí se reveló al tercero el número de teléfono móvil del reclamante
que fue objeto de un cambio de titularidad. Como el reclamante ha explicado el tercero
se puso en contacto telefónico el día 03/12/2018 para informarles de que la línea
***TELÉFONO.1 se había vinculado a sus datos personales.
IV
El artículo 58 del
?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
(?)
?i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar
de las medidas mencionadas en el presente apartado, según las circunstancias de
cada caso particular;?
Debe tomarse en consideración a fin de determinar la sanción a imponer la previsión
del artículo 83.3. del
de tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones
de tratamiento u operaciones vinculadas, diversas disposiciones del presente
Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía
prevista para las infracciones más graves?.
En términos parecidos el artículo 29.5. de la Ley 40/2015, de Régimen Jurídico
del Sector Público indica que ?Cuando de la comisión de una infracción derive necesariamente
la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente
a la infracción más grave cometida?. (El subrayado es de la AEPD)
Sentado lo anterior, se ha de estar a las previsiones de los artículos 83.1 y 83.2
del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/14
?Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas
y disuasorias.?
?Las multas administrativas se impondrán, en función de las circunstancias de
cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa
y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido;
b) la intencionalidad o negligencia de la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en
virtud de los artículos 25 y 32;b) la intencionalidad o negligencia en la infracción
;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento
;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación
con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción.?
Respecto al apartado k) del artículo 83.2 del
y medidas correctivas?, dispone:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también
podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/14
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción
, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) ) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan
controversias entre aquellos y cualquier interesado.?
A tenor de los preceptos transcritos, y sin perjuicio de lo que resulte de la instrucción
del procedimiento, con el fin de fijar el importe de la multa administrativa a imponer a la
reclamada como responsable de sendas infracciones de los artículos 5.1.f, del RGPD
-tipificada en el artículo 83.5.a) de la citada norma- y 5.1.f) en relación con el artículo 32.1.b)
y c) -tipificada en el artículo 83.4.a) del RGPD-, en una valoración inicial, se aprecian los
siguientes factores agravantes de la culpabilidad y/o antijuridicidad de la conducta analizada:
- La circunstancia del apartado b) del artículo 83.2
grave falta de diligencia con ocasión de gestionar un cambio de titularidad de la línea
***TELÉFONO.1 a nombre del reclamante. La falta de diligencia en el cumplimiento de las
obligaciones que le impone la normativa de protección de datos para hacer efectivo el
principio de integridad se evidenció también en la negativa a reaccionar ante la incidencia
provocada perpetuando en el tiempo innecesariamente la lesión del derecho fundamental
del reclamante a garantizar la integridad de sus datos personales. Cuando la reclamación
que nos ocupa entró en esta Agencia, el 26/12/2018, YOIGO aún no había desvinculado de
la línea del reclamante los datos del tercero. Y eso, pese a que, como consta
documentalmente acreditado, el 08/12/2018 el reclamante ya había presentado su queja
ante el servicio de atención al cliente de la compañía.
- La circunstancia del artículo 83.2.e) del
el responsable o el encargado del tratamiento?, cuya aplicación debe de hacerse con arreglo
a lo dispuesto en el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público,
que al citar los criterios que se considerarán en la graduación de la sanción se refiere
(apartado d,) a ?La reincidencia, por comisión en el término de un año de más de una
infracción de la misma naturaleza cuando así haya sido declarado en resolución firme en vía
administrativa?. Cabe citar las resoluciones sancionadoras dictadas por esta Agencia en los
procedimientos PS/385/2019, firmada el 07/02/2020, en la que los hechos sancionados
ocurren el 05/11/2018, y en el PS/237/2019, firmada el 19/11/2019, en la que los hechos
sancionados ocurren el 06/08/2018.
-La circunstancia descrita en el apartado f) del artículo 83.2.,
respondido ni a la petición de información solicitada en la que se le instaba a adoptar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/14
medidas para poner fin a la incidencia -con las matizaciones que se hacen en el Hecho
Segundo- ni al requerimiento efectuado en el curso de las Actuaciones de Investigación
previa.
- La circunstancia descrita en el artículo 83.2.k) del
76.2.b) de la
datos personales. Por su propia naturaleza la actividad que la reclamada desarrolla como
operador de telecomunicaciones lleva implícito el tratamiento de datos personales de sus
clientes.
Por lo tanto, a tenor de lo anteriormente expuesto,
Por la Directora de la Agencia Española de Protección de Datos,
SE ACUERDA:
PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a XFERA MÓVILES, S.A.,
con NIF A82528548, por la presunta infracción de los artículos 5.1.f) y 32.1.b) y c) del
RGDP tipificadas, respectivamente, en los artículos 83.5.a) y 83.4.a) del Reglamento
(UE) 2016/679.
SEGUNDO: NOMBRAR instructora a D.D.D. y secretario, a E.E.E., indicando que
cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido en los
artículos 23 y 24 de la
Público (LRJSP).
TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la
reclamación interpuesta por el reclamante y su documentación, los documentos
obtenidos y generados por la Subdirección General de Inspección de Datos durante la
fase de investigaciones, así como el informe de actuaciones previas de Inspección.
CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la
sanción que pudiera corresponder sería de 55.000 euros (cincuenta y cinco mil euros)
sin perjuicio de lo que resulte de la instrucción.
QUINTO: NOTIFICAR el presente acuerdo a la reclamada otorgándole un plazo de
audiencia de diez días hábiles para que formule las alegaciones y presente las
pruebas que considere convenientes. En su escrito de alegaciones deberá facilitar su
NIF y el número de procedimiento que figura en el encabezamiento de este
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/14
documento.
Si en el plazo estipulado no efectuara alegaciones, este acuerdo de inicio podrá
ser considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de
la
Administraciones Públicas (en lo sucesivo,
De conformidad con lo dispuesto en el artículo 85 de la
que la sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro
del plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo
que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en
el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría
establecida en 44.000 euros, resolviéndose el procedimiento con la imposición de esta
sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del
presente procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo
que supondrá la reducción de un 20% de su importe. Con la aplicación de esta
reducción, la sanción quedaría establecida en 44.000 euros y su pago implicará la
terminación del procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que
corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este
reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo
concedido para formular alegaciones a la apertura del procedimiento. El pago
voluntario de la cantidad referida en el párrafo anterior podrá hacerse en cualquier
momento anterior a la resolución. En este caso, si procediera aplicar ambas
reducciones, el importe de la sanción quedaría establecido en 33.000 euros.
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas
estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de cualquiera de las
cantidades señaladas anteriormente (44.000 euros o 33.000 euros) deberá hacerlo
efectivo mediante su ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta
a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,
S.A., indicando en el concepto el número de referencia del procedimiento que figura en
el encabezamiento de este documento y la causa de reducción del importe a la que se
acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección para continuar con el procedimiento en concordancia con la cantidad
ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde
la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de
actuaciones; de conformidad con lo establecido en el artículo 64 de la
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la
LPACAP, contra el presente acto no cabe recurso administrativo alguno.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/14
Mar España Martí
Directora de la Agencia Española de Protección de Datos
>>
SEGUNDO : En fecha 11 de junio de 2020, el reclamado ha procedido al pago de la
sanción en la cuantía de 33.000 euros haciendo uso de las dos reducciones previstas
en el Acuerdo de inicio transcrito anteriormente, lo que implica el reconocimiento de la
responsabilidad.
TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a
la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción y el reconocimiento de responsabilidad en relación con
los hechos a los que se refiere el Acuerdo de Inicio.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del
control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
lo sucesivo
es competente para sancionar las infracciones que se cometan contra dicho
Reglamento; las infracciones del artículo 48 de la Ley 9/2014, de 9 de mayo, General
de Telecomunicaciones (en lo sucesivo
artículo 84.3 de la
38.4 d), g) y h) de la
información y de comercio electrónico (en lo sucesivo
43.1 de dicha Ley.
II
El artículo 85 de la
Común de las Administraciones Públicas (en lo sucesivo,
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su
responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción
que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa
imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado
la improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,
el órgano competente para resolver el procedimiento aplicará reducciones de, al
menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables
entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/14
iniciación del procedimiento y su efectividad estará condicionada al desistimiento o
renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00104/2020, de
conformidad con lo establecido en el artículo 85 de la
SEGUNDO: NOTIFICAR la presente resolución a XFERA MÓVILES, S.A. (YOIGO).
De conformidad con lo establecido en el artículo 50 de la
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es