Resolución de la Agencia Española de Protección de Datos PS-00104-2020 de 10 de julio de 2020

Cuestión

1 / 14

936-031219

Procedimiento Nº: PS/00104/2020

RESOLUCIÓN R/00297/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

En el procedimiento sancionador PS/00104/2020, instruido por la Agencia

Española de Protección de Datos a XFERA MÓVILES, S.A. (YOIGO...

Contestacion

1/14

936-031219

? Procedimiento Nº: PS/00104/2020

RESOLUCIÓN R/00297/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

En el procedimiento sancionador PS/00104/2020, instruido por la Agencia

Española de Protección de Datos a XFERA MÓVILES, S.A. (YOIGO), vista la

denuncia presentada por A.A.A., y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha 1 de abril de 2020, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a XFERA MÓVILES,

S.A. (YOIGO) (en adelante, el reclamado), mediante el Acuerdo que se transcribe:

Procedimiento Nº: PS/00104/2020

935-090320

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos

y en base a los siguientes

HECHOS

PRIMERO: El 26/12/2018 tiene entrada en la Agencia Española de Protección de

Datos la reclamación formulada por D. A.A.A. (en adelante, el reclamante) frente a

XFERA MÓVILES, S.A., con NIF A82528548 -nombre comercial YOIGO- (en adelante,

la reclamada o YOIGO).

El motivo de su reclamación es la conducta de la reclamada que, con ocasión de

que el reclamante y su cónyuge suscribieran presencialmente en un distribuidor de

YOIGO el cambio de titularidad de una línea móvil de la esposa a favor del reclamante,

procedió a vincular ese número de teléfono a los datos de un tercero. El reclamante

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/14

manifiesta que, como consecuencia de tal actuación, cuando accede a

?miyoigo.yoigo.com? puede visualizar los datos del tercero -datos personales

completos, facturas, números de teléfono a los que llama- y tendría la capacidad de

modificarlos. Afirma que, del mismo modo, esa tercera persona podría, utilizando su

propia contraseña, gestionar los datos del reclamante.

Añade que, pese a las reclamaciones a YOIGO, a las visitas al establecimiento

del distribuidor y a la reclamación ante la OMIC de ***LOCALIDAD, en la fecha de su

denuncia no ha logrado aún que rectifiquen la irregularidad, limitándose la reclamada y

su distribuidor a responsabilizarse mutuamente.

Anexa a su reclamación copia del ejemplar para el cliente del documento

denominado ?Cambio de Titular? que lleva el anagrama de YOIGO. En él figura como

fecha de la solicitud el 29/11/2018. En el apartado ?Datos del punto de venta? figura

?***DATOS?; como ?Datos del titular actual? B.B.B. y su NIF; en el apartado ?Datos del

nuevo titular? consta el nombre, dos apellidos y NIF del reclamante, su domicilio, la

fecha de nacimiento y la dirección electrónica. En el apartado ?Servicios? la indicación:

?Número YOIGO que cambia de titular ***TELÉFONO.1?. ?Tipo de contrato/Tarifa

actual?, ?La SINFÍN 5 GB?. Se incluyen también en el documento los veinte dígitos de

la cuenta bancaria del reclamante en la que se domicilia el pago de facturas y el

número de mandato de domiciliación.

SEGUNDO: A.- A la vista de la reclamación, la AEPD, en el marco del expediente

E/01044/2019, mediante escrito de fecha 01/02/2019 dio traslado de la reclamación al

Delegado de Protección de Datos (DPD) de YOIGO y le solicitó información sobre el

origen de los hechos denunciados y sobre las medidas que hubiera adoptado para

poner fin a la situación irregular generada. El documento se notificó electrónicamente

y, tal como lo acredita el certificado de la FNMT que obra en el expediente, se puso a

disposición en la sede electrónica el día 01/02/2019 siendo aceptada la notificación por

la reclamada el 5/02/2019.

El 05/04/2019 tiene entrada en esta Agencia un escrito del DPD de la reclamada

en el que afirma que ha ?recibido simplemente un impreso de cambio de titular y que

no se aprecia cual puede ser la reclamación?. Sin embargo, se verificó que en el

documento que la AEPD notificó a la entidad se incluía el relato de hechos

denunciados además de solicitársele determinada información y, como documento

anexo, se facilitaba la copia del documento de cambio de titular. No obstante, la

Agencia reiteró la solicitud informativa al DPD de YOIGO mediante escrito firmado el

12/04/2019, puesto a disposición en la sede electrónica en esa fecha y cuya

notificación fue aceptada por la reclamada el 15/04/2019. El DPD de la reclamada no

respondió a la solicitud de información que le notificó esta Agencia.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/14

También en fecha 01/02/2019 se notificó al reclamante el traslado de su

reclamación a la entidad reclamada.

De conformidad con lo dispuesto en el artículo 65.5 de la Ley Orgánica 3/2018,

de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), en fecha

18/06/2019 se firmó el acuerdo de admisión a trámite de la presente reclamación.

B.- Bajo la referencia E/6279/2019 y al amparo del artículo 67.1 de la LOPDGDD, la

Inspección de Datos de la AEPD llevó a cabo actuaciones de inspección que

finalizaron con el Informe de Actuaciones Previas de Inspección, firmado por el

inspector actuante, del que se reproduce el fragmento relativo al resultado de tales

actuaciones:

Con fecha 12 de abril de 2019, se da traslado de la denuncia a XFERA

MÓVILES, S.A. (YOIGO), en las actuaciones con referencia E/01044/2019. No se

recibe contestación.

Con fecha 19 de junio de 2019 se inician las presentes actuaciones.

Con fecha 5 de julio de 2019, se envía requerimiento de información a XFERA

MÓVILES, S.A. (YOIGO). La notificación se realiza electrónicamente a través de

notific@. Según este sistema de notificación, se ha producido el rechazo automático al

haber transcurrido diez días naturales desde su puesta a disposición.

Con fecha 23 de agosto de 2019, el denunciante remite a esta Agencia la

siguiente información y manifestaciones:

1 Aporta copia de movimientos bancarios entre el 4 de julio de 2018 y el 5 de

febrero de 2019 donde se visualizan trece cargos con concepto ?Recibo /yoigo?

que, según manifiesta, están relacionados con las líneas ***TELÉFONO.2 y

***TELÉFONO.1, tres de ellos con fecha valor ?05/12/2018?, ?04/01/2019?,

?05/02/2019?.

2 Aporta captura de pantalla de MIYOIGO con los siguientes datos:

a. En el apartado de ?información personal? consta: C.C.C. ***NIF.3

b. Enel apartado de ?dirección de contacto? consta: CALLE

***DIRECCIÓN.1

c. En el apartado de ?líneas de tu contrato? constan las líneas:

***TELÉFONO.1, ***TELÉFONO.3, ***TELÉFONO.4

Con fecha 29 de agosto de 2019, el denunciante remite a esta Agencia la

siguiente información y manifestaciones:

1. Que la empresa no solucionó el cambio de titularidad ni que al acceder con la

contraseña de su mujer a MIYOIGO apareciesen todos los datos a nombre de

C.C.C.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/14

2. Que, gracias a conversaciones amistosas con C.C.C., el denunciante y su

mujer pudieron darse de baja.

3. Aporta capturas de pantalla de las conversaciones con YOIGO:

a. Mensaje del denunciante a YOIGO:

?Buenas tardes, el Jueves 29 desde la tiendo yoigo de majadahonda

pedí un cambio de titular de la línea de mi mujer B.B.B. DNI ***NIF.2 tlf.

***TELÉFONO.1 a mi nombre, A.A.A. DNI ***NIF.1 tlf. ***TELÉFONO.2

la dependiente de la tienda nos hizo firmar un papel y nos hizo

fotocopia de los DNIs, y le enviamos por gmail un recibo bancario en

ese mismo momento, ?pues bien, alguien apretando mal alguna tecla

ha puesto el tlf de mi mujer a nombre de un tal C.C.C. DNI ***NIF.3 tlf.

***TELÉFONO.3. Desde el lunes 3, cuando esta persona se da cuenta

de que le han añadido un teléfono que él no ha tramitado, ha

presentado un escrito a Uds. y nos llama paro decírnoslo y mi mujer

envió una reclamación vía correo electrónico con respuesta, pero sin

solución.?

a. Mensaje de 10 de diciembre de 2018 del denunciante:

??Solicitando también mediante este escrito la inmediata restitución del

nombre de contrato de B.B.B. a su número de teléfono

***TELÉFONO.1?

a. Con fecha 10 de diciembre de 2018 a las 11:41 YOIGO

responde:

?El cambio de titular se gestiona en la tienda, y han sido ellos los

responsables del error, por lo que son ellos los que tienes que

corregirlo. Desde aquí no podemos hacer nada. ?

a. Con fecha 10 de diciembre de 2018 a las 16:36 el denunciante

responde:

?Buenas tardes, esta Ud. afirmando que el personal de la tienda es el

que vuelca los datos de cambio de titular al sistema? Porque la señorita

de tardes de la tienda afirma que ellos dan traslado por valija y que lo

han hecho bien y que no pueden hacer nada.?

a. Con fecha 11 de diciembre de 2018 YOIGO responde:

?El cambio de titular es un trámite que únicamente se realiza desde la

tienda, por tanto son ellos los encargados de tomar todos los datos y

realizar la gestión correspondiente, cualquier duda o problema son ellos

quienes pueden ayudarte a solucionarlo.?

a. Con fecha 21 de diciembre de 2018 a las 14:23 el denunciante

escribe a YOIGO:

?Buenos días, estoy en la tienda de yoigo de gran plaza 2.

Majadahonda, este asunto no se arregla y me dicen que hace muchos

días que se han enviado los contratos. Hay abierta una incidencia. ?

podrían tener la deferencia de hacer un seguimiento y responderme por

qué no se resuelve correctamente el cambio de titularidad??

a. Con fecha 21 de diciembre de 2018 a las 14:26 YOIGO

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/14

responde:

??cómo te hemos indicado anteriormente el cambio de titular

solamente se tramita por tienda, si tienen algún problema con el

trámite, tendrías indicarle a tienda que hablen con su master para poder

solucionarlo??>>

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada

autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD,

la Directora de la Agencia Española de Protección de Datos es competente para iniciar

y para resolver este procedimiento.

II

El RGPD se ocupa en su artículo 5 de los principios que han de regir el

tratamiento de los datos personales y menciona entre ellos los de ?integridad y

confidencialidad?. El precepto dispone:

?1. Los datos personales serán:

(?)

f) Tratados de tal manera que se garantice una seguridad adecuada de los

datos personales, incluida la protección contra el tratamiento no autorizado o ilícito,

contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas

técnicas u organizativas apropiadas (>)?

El principio de integridad se desarrolla a través de los artículos 32 a 34 del

RGPD encuadrados en la sección II del capítulo IV que lleva por rúbrica ?Seguridad de

los datos personales?. El artículo 32, ?Seguridad del tratamiento?, dispone:

?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza

, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad

y gravedad variables para los derechos y libertades de las personas físicas, el

responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas

apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso

incluya, entre otros:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/14

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia

permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personalesde forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia

de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en

cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia

de la destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados

a dichos datos.

3. (?)

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar

que cualquier persona que actúe bajo la autoridad del responsable o del encargado

y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones

del responsable, salvo que esté obligada a ello en virtud del Derecho de la

Unión o de los Estados miembros.? (El subrayado es de la AEPD)

La infracción de los principios de integridad y confidencialidad de la que se

responsabiliza a la reclamada se tipifica, respectivamente, en los artículos 83.4.a) y

83.5.a) del RGPD, preceptos que establecen:

Artículo 83.4: ?Las infracciones de las disposiciones siguientes se sancionarán,

de acuerdo con el apartado 2, con multas administrativas de 10.000.000 Eur como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8,11,

25 a 39,42 y 43;?.

Artículo 83.5: ?Las infracciones de las disposiciones siguientes se sancionarán,

de acuerdo con el apartado 2, con multas administrativas de 20.000.000 Eur como

máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como

máximo del volumen de negocio total anual global del ejercicio financiero anterior,

optándose por la de mayor cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5,6,7 y 9.?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/14

Respecto a la prescripción de las infracciones se ha de estar a las previsiones de

la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los

Derechos Digitales (LOPDGDD) cuyo artículo 73, g) considera infracción grave, siendo

su plazo de prescripción de dos años, ?El quebrantamiento, como consecuencia de la

falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen

implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE)

2016/679.?Por su parte, el artículo 72, 1.i) de la LOPDGDD considera infracción muy

grave, siendo en este caso el plazo de prescripción de tres años, ?La vulneración del

principio de confidencialidad establecido en el artículo 5 de esta ley orgánica?.

III

La documentación que obra en el expediente ofrece evidencias sólidas de que la

reclamada trató los datos personales del reclamante vulnerando el principio de

integridad, artículo 5.1.f) en relación con el artículo 32.1. b) y c), ambos del RGPD,

cuando gestionó el cambio de titularidad de una línea móvil que habían solicitado el

reclamante, en calidad de nuevo titular, y su hasta entonces titular, D.ª B.B.B.

Igualmente, existen evidencias de que, como consecuencia de tal actuación se vulneró

el principio de confidencialidad (artículo 5.1.f, del RGPD) pues se revelaron a un

tercero, también cliente de la reclamada, datos personales del reclamante, al menos

el número de teléfono móvil objeto del cambio de titularidad que la operadora vinculó a

esa persona.

Está acreditado que en fecha 29/11/2018 el reclamante y D.ª B.B.B. solicitaron

ante un distribuidor de YOIGO el cambió de titularidad a favor del primero de la línea

móvil ***TELÉFONO.1 que pertenecía a esta última. Obra en el expediente copia del

ejemplar para el cliente del documento, con el anagrama de YOIGO, de cambio de

titularidad en el que constan los datos personales del antiguo y del nuevo titular.

Respecto al reclamante, además de NIF, nombre y dos apellidos, la dirección postal y

correo electrónico y los veinte dígitos de la cuenta bancaria para la domiciliación del

pago de facturas.

Además, diversos extremos evidencian que, con ocasión del cambio de

titularidad de la línea solicitado por el reclamante, la reclamada no aplicó las medidas

organizativas y técnicas necesarias para garantizar la seguridad de los datos tratados.

Ni se garantizó la disponibilidad de sus datos por el reclamante ni la capacidad de la

operadora reclamada para reponer al reclamante en la disponibilidad de los datos

personales que le conciernen de forma rápida, una vez que la entidad estuvo

informada suficientemente de la irregularidad.

En ese sentido está acreditado a través de las capturas de pantalla del terminal

móvil aportadas por el reclamante referentes a las comunicaciones que mantuvo con

el SAC de YOIGO, que la reclamada se limitó a responder en reiteradas ocasiones

-pese a la abundante información que le había facilitado el reclamante- que las

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/14

irregularidades surgidas por el cambio de titularidad de la línea ***TELÉFONO.1 eran

competencia del distribuidor. Esos documentos aportados por el reclamante

evidencian también que la reclamada tuvo conocimiento de los hechos, al menos,

desde el 08/12/2018. Circunstancia que, unida a la declaración del reclamante en la

fecha en que interpone su reclamación, el 26/12/2018, de que la operadora aún no ha

resuelto la irregularidad, pone de manifiesto que carecía de mecanismos para reponer

con rapidez al afectado en la disponibilidad de sus datos, en definitiva, para garantizar

la integridad de los datos personales tratados.

Por otra parte, queda probado que el reclamante facilitó al SAC de YOIGO el

nombre, apellidos, DNI y número de teléfono del tercero -también cliente de la

operadora- al que vinculó el número de línea móvil objeto de la solicitud de cambio de

titularidad. Fueran visibles estos datos por el reclamante, tal y como afirma, o no,

parece evidente que sí se reveló al tercero el número de teléfono móvil del reclamante

que fue objeto de un cambio de titularidad. Como el reclamante ha explicado el tercero

se puso en contacto telefónico el día 03/12/2018 para informarles de que la línea

***TELÉFONO.1 se había vinculado a sus datos personales.

IV

El artículo 58 del RGPD, ?Poderes?, dice en su punto 2:

?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos

indicados a continuación:

(?)

?i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar

de las medidas mencionadas en el presente apartado, según las circunstancias de

cada caso particular;?

Debe tomarse en consideración a fin de determinar la sanción a imponer la previsión

del artículo 83.3. del RGPD conforme a la cual ?Si un responsable o encargado

de tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones

de tratamiento u operaciones vinculadas, diversas disposiciones del presente

Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía

prevista para las infracciones más graves?.

En términos parecidos el artículo 29.5. de la Ley 40/2015, de Régimen Jurídico

del Sector Público indica que ?Cuando de la comisión de una infracción derive necesariamente

la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente

a la infracción más grave cometida?. (El subrayado es de la AEPD)

Sentado lo anterior, se ha de estar a las previsiones de los artículos 83.1 y 83.2

del RGPD, preceptos que señalan:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/14

?Cada autoridad de control garantizará que la imposición de las multas administrativas

con arreglo al presente artículo por las infracciones del presente Reglamento

indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas

y disuasorias.?

?Las multas administrativas se impondrán, en función de las circunstancias de

cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa

y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza

, alcance o propósito de la operación de tratamiento de que se trate, así

como el número de interesados afectados y el nivel de los daños y perjuicios

que hayan sufrido;

b) la intencionalidad o negligencia de la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para

paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento,

habida cuenta de las medidas técnicas u organizativas que hayan aplicado en

virtud de los artículos 25 y 32;b) la intencionalidad o negligencia en la infracción

;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento

;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio

a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso,

en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación

con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de

certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.?

Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76, ?Sanciones

y medidas correctivas?, dispone:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también

podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/14

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos

personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión

de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción

, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) ) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan

controversias entre aquellos y cualquier interesado.?

A tenor de los preceptos transcritos, y sin perjuicio de lo que resulte de la instrucción

del procedimiento, con el fin de fijar el importe de la multa administrativa a imponer a la

reclamada como responsable de sendas infracciones de los artículos 5.1.f, del RGPD

-tipificada en el artículo 83.5.a) de la citada norma- y 5.1.f) en relación con el artículo 32.1.b)

y c) -tipificada en el artículo 83.4.a) del RGPD-, en una valoración inicial, se aprecian los

siguientes factores agravantes de la culpabilidad y/o antijuridicidad de la conducta analizada:

- La circunstancia del apartado b) del artículo 83.2 RGPD. La reclamada actuó con una

grave falta de diligencia con ocasión de gestionar un cambio de titularidad de la línea

***TELÉFONO.1 a nombre del reclamante. La falta de diligencia en el cumplimiento de las

obligaciones que le impone la normativa de protección de datos para hacer efectivo el

principio de integridad se evidenció también en la negativa a reaccionar ante la incidencia

provocada perpetuando en el tiempo innecesariamente la lesión del derecho fundamental

del reclamante a garantizar la integridad de sus datos personales. Cuando la reclamación

que nos ocupa entró en esta Agencia, el 26/12/2018, YOIGO aún no había desvinculado de

la línea del reclamante los datos del tercero. Y eso, pese a que, como consta

documentalmente acreditado, el 08/12/2018 el reclamante ya había presentado su queja

ante el servicio de atención al cliente de la compañía.

- La circunstancia del artículo 83.2.e) del RGPD, ?toda infracción anterior cometida por

el responsable o el encargado del tratamiento?, cuya aplicación debe de hacerse con arreglo

a lo dispuesto en el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público,

que al citar los criterios que se considerarán en la graduación de la sanción se refiere

(apartado d,) a ?La reincidencia, por comisión en el término de un año de más de una

infracción de la misma naturaleza cuando así haya sido declarado en resolución firme en vía

administrativa?. Cabe citar las resoluciones sancionadoras dictadas por esta Agencia en los

procedimientos PS/385/2019, firmada el 07/02/2020, en la que los hechos sancionados

ocurren el 05/11/2018, y en el PS/237/2019, firmada el 19/11/2019, en la que los hechos

sancionados ocurren el 06/08/2018.

-La circunstancia descrita en el apartado f) del artículo 83.2., RGPD. La entidad no ha

respondido ni a la petición de información solicitada en la que se le instaba a adoptar

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/14

medidas para poner fin a la incidencia -con las matizaciones que se hacen en el Hecho

Segundo- ni al requerimiento efectuado en el curso de las Actuaciones de Investigación

previa.

- La circunstancia descrita en el artículo 83.2.k) del RGPD en relación con el artículo

76.2.b) de la LOPDGDD: la vinculación de la actividad del infractor con el tratamiento de

datos personales. Por su propia naturaleza la actividad que la reclamada desarrolla como

operador de telecomunicaciones lleva implícito el tratamiento de datos personales de sus

clientes.

Por lo tanto, a tenor de lo anteriormente expuesto,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a XFERA MÓVILES, S.A.,

con NIF A82528548, por la presunta infracción de los artículos 5.1.f) y 32.1.b) y c) del

RGDP tipificadas, respectivamente, en los artículos 83.5.a) y 83.4.a) del Reglamento

(UE) 2016/679.

SEGUNDO: NOMBRAR instructora a D.D.D. y secretario, a E.E.E., indicando que

cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido en los

artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector

Público (LRJSP).

TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la

reclamación interpuesta por el reclamante y su documentación, los documentos

obtenidos y generados por la Subdirección General de Inspección de Datos durante la

fase de investigaciones, así como el informe de actuaciones previas de Inspección.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la

sanción que pudiera corresponder sería de 55.000 euros (cincuenta y cinco mil euros)

sin perjuicio de lo que resulte de la instrucción.

QUINTO: NOTIFICAR el presente acuerdo a la reclamada otorgándole un plazo de

audiencia de diez días hábiles para que formule las alegaciones y presente las

pruebas que considere convenientes. En su escrito de alegaciones deberá facilitar su

NIF y el número de procedimiento que figura en el encabezamiento de este

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/14

documento.

Si en el plazo estipulado no efectuara alegaciones, este acuerdo de inicio podrá

ser considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de

la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de

que la sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro

del plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo

que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en

el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría

establecida en 44.000 euros, resolviéndose el procedimiento con la imposición de esta

sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del

presente procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo

que supondrá la reducción de un 20% de su importe. Con la aplicación de esta

reducción, la sanción quedaría establecida en 44.000 euros y su pago implicará la

terminación del procedimiento.

La reducción por el pago voluntario de la sanción es acumulable a la que

corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este

reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo

concedido para formular alegaciones a la apertura del procedimiento. El pago

voluntario de la cantidad referida en el párrafo anterior podrá hacerse en cualquier

momento anterior a la resolución. En este caso, si procediera aplicar ambas

reducciones, el importe de la sanción quedaría establecido en 33.000 euros.

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas

estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las

cantidades señaladas anteriormente (44.000 euros o 33.000 euros) deberá hacerlo

efectivo mediante su ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta

a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,

S.A., indicando en el concepto el número de referencia del procedimiento que figura en

el encabezamiento de este documento y la causa de reducción del importe a la que se

acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de nueve meses a contar desde

la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la

LPACAP, contra el presente acto no cabe recurso administrativo alguno.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/14

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO : En fecha 11 de junio de 2020, el reclamado ha procedido al pago de la

sanción en la cuantía de 33.000 euros haciendo uso de las dos reducciones previstas

en el Acuerdo de inicio transcrito anteriormente, lo que implica el reconocimiento de la

responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos

es competente para sancionar las infracciones que se cometan contra dicho

Reglamento; las infracciones del artículo 48 de la Ley 9/2014, de 9 de mayo, General

de Telecomunicaciones (en lo sucesivo LGT), de conformidad con lo dispuesto en el

artículo 84.3 de la LGT, y las infracciones tipificadas en los artículos 38.3 c), d) e i) y

38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la

información y de comercio electrónico (en lo sucesivo LSSI), según dispone el artículo

43.1 de dicha Ley.

II

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su

responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción

que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa

imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado

la improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,

el órgano competente para resolver el procedimiento aplicará reducciones de, al

menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables

entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/14

iniciación del procedimiento y su efectividad estará condicionada al desistimiento o

renuncia de cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento PS/00104/2020, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: NOTIFICAR la presente resolución a XFERA MÓVILES, S.A. (YOIGO).

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es