HECHOS
Procedimiento nº.: TD/01523/2014
ASUNTO: Recurso de Reposición Nº RR/00265/2015
Examinado el Recurso de Reposición interpuesto por la entidad PAYPAL SPAIN,
S.L. contra la resolución dictada por el Director de la Agencia Española de Protección de Datos, en el expediente TD/01523/2014, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 19 de febrero de 2015, se dictó resolución por el Director de la Agencia Española de Protección de Datos, en el expediente TD/01523/2014, en la que se acordó desestimar la reclamación de Tutela de Derechos, formulada por D. A.A.A. contra la entidad PAYPAL SPAIN, S.L.
SEGUNDO: En el procedimiento que dio lugar a la Resolución impugnada se tuvieron por probados los siguientes hechos:
PRIMERO: Con fecha 16 xx xxxxxx de 2014, D. A.A.A. (en lo sucesivo, el reclamante) ejercitó el derecho de cancelación de sus datos personales ante la entidad PAYPAL SPAIN SL.
SEGUNDO: En fecha 20 xx xxxxxx de 2014, la entidad PAYPAL SPAIN SL contestó a la solicitud del reclamante, manifestando que para cumplir con las regulaciones de su sector, guardan el registro de todos los pagos realizados en PayPal durante un período aproximado de 7 años. Si ha realizado un pago con PayPal no pueden borrar el registro del mismo aunque cierre su cuenta.
TERCERO: Con fecha 20 xx xxxxxx de 2014, D. A.A.A. formuló reclamación, ante esta Agencia, contra la entidad PAYPAL SPAIN SL, por no haber sido debidamente atendido su derecho de cancelación.
CUARTO: Trasladadas sucesivamente la reclamación y los escritos de descargos que se produjeron en la tramitación de este expediente, y por lo que a efectos de la resolución de la presente reclamación interesa, se realizaron, en síntesis, las siguientes alegaciones:
Por parte de la entidad PAYPAL SPAIN SL se pone de manifiesto que ellos no actúan como el responsable (controlador) de los datos del reclamante.
Que la parte contratante para todos los servicios de pagos de PayPal es empresa de su grupo en Luxemburgo. Esta entidad actúa como el encargado de los datos para el procesamiento de cualquier dato personal de los clientes de PayPal, y es identificada como el encargado (controlador) de los datos en la versión española de su política de privacidad.
Que han transferido su solicitud a PayPal (Europe) S.à.r.l. et Cie, S.C.A.,
quien proporcionará contestación sobre el tema.
PAYPAL (EUROPE) SÀRL ET CIE, XXX hace saber que son un responsable (controlador) de datos basado en Luxemburgo. Por lo tanto se encuentran exclusivamente sometidos a la ley de protección de datos de Luxemburgo, y la Commission nationale pour la protection des données (CNPD) de Luxemburgo es la autoridad con competencia para supervisarles en temas relacionados con protección de datos.
Que piden que esta Agencia se ponga en contacto con la CNPD para cualquier pregunta que tenga relativa a su procesamiento de datos personales.
El reclamante no ha presentado alegaciones en el trámite de audiencia.
QUINTO: Son conocidos por las partes de forma completa todos los hechos, alegaciones y demás documentación aportada por los interesados para su defensa, al haberse dado traslado por la instrucción del expediente a cada uno de los interesados en este procedimiento y constado todo ello en el expediente que obra en esta Agencia Española de Protección de Datos.
TERCERO: La resolución ahora recurrida fue notificada fehacientemente a la entidad PAYPAL SPAIN, S.L. el 27 de febrero de 2015, según consta en el acuse de recibo emitido por el Servicio de Correos.
Por la parte recurrente se ha presentado Recurso de Reposición el 20 xx xxxxx de 2015, con entrada en esta Agencia en la misma fecha, en el que señala la inaplicabilidad de la normativa española de protección de datos a PAYPAL SPAIN, S.L. con respecto a los datos del denunciante, y que resulta evidente que la Agencia Española de Protección de Datos se debería haber declarado no competente para resolver el procedimiento de tutela TD/01523/2014, en la medida en que:
i) PayPal Spain, S.L. no es responsable de los datos del Denunciante;
ii) PayPal Spain, S.L. no trata datos personales del Denunciante en el marco de su propia actividad y;
iii) PayPal Spain, S.L. solo trata datos de vendedores.
FUNDAMENTOS DE DERECHO
PRIMERO: Es competente para resolver el presente recurso el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC).
SEGUNDO: En la Resolución ahora impugnada ya se advertía suficientemente sobre el alcance de las normas contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), y en el Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
En base a estas normas y en consideración a los hechos tenidos por probados,
se determinó:
SÉPTIMO: En el supuesto aquí analizado, ha quedado acreditado que el reclamante ejercitó su derecho de cancelación ante la entidad demandada, y que, trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud obtuvo la respuesta legalmente exigible, al informarle la entidad de que:
Para cumplir con las regulaciones de su sector, guardan el registro de todos los pagos realizados en PayPal durante un período aproximado de 7 años. Además de ser un requerimiento legal, es una medida para prevenir el fraude y ayudar en Investigaciones de Infracciones. Si ha realizado un pago con PayPal no podrán borrar el registro del mismo aunque cierre su cuenta PayPal. Sin embargo, solo utilizarían su información de acuerdo a su Política de Privacidad, que dice: “Si cierra la cuenta PayPal, marcaremos la cuenta en nuestra base de datos como "Cerrada", pero mantendremos la información de la cuenta en la base de datos. Esto resulta necesario para evitar los fraudes al garantizar que las personas que intentan cometer fraudes no pueden evitar los sistemas de detección con tan sólo cerrar la cuenta y abrir una nueva. No obstante, si cierra la cuenta, la información personal identificable no se utilizará con ningún otro fin ni será vendida o compartida con terceros salvo que sea necesario para evitar fraudes, hacer cumplir la ley o si la ley así lo exige”.Y finalmente, le indican que si desea cerrar su cuenta le dan los pasos para que complete el proceso.
En consecuencia, procede desestimar la presente reclamación de Tutela de Derechos, dado que la entidad contestó al derecho de cancelación, manifestando que una vez cerrada la cuenta procederían a bloquear sus datos, tal y como establece el artículo 16.3 de la LOPD, anteriormente citado.
TERCERO: En fecha 2 de diciembre de 2014, la Audiencia Nacional dictó sentencia en el recurso 363/2010, con los argumentos que a continuación se reproducen:
<< A la interpretación del artículo 4.1.a) de la Directiva 95/46/CE, de 24 de octubre, se refiere la STJUE de 13 xx xxxx de 2014, cuestión prejudicial Google Spain
S.L. y Google Inc./AEPD, C-131/2012, donde en contestación a la cuestión prejudicial planteada por esta misma Sala se afirma lo siguiente:
“El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”.
El hecho de que la STJUE haga referencia al empleo de una sucursal o filial con la finalidad concreta de garantizar la promoción y la venta de espacios publicitarios propuestos por gestor del motor de búsqueda no constituye obstáculo alguno para aplicar la doctrina que expresa al caso que nos ocupa. […]
Recordemos antes de exponer el fundamento de tal afirmación que el artículo 4, apartado 1, letra a), de la Directiva 95/46, bajo el título «Derecho nacional aplicable», dispone lo siguiente:
“1. Los Estados miembros aplicarán las disposiciones nacionales que haya
aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:
a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro.
Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable”
Asimismo, el artículo 2.1.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), dispone la aplicación de dicha Ley Orgánica a todo tratamiento de datos de carácter personal cuando, entre otros supuestos, “el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento”.
En este mismo sentido, establece el artículo 3.1.a) del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el reglamento de la LOPD, que se regirá por ese reglamento todo tratamiento de datos de carácter personal cuando, entre otros supuestos, “el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español”. […]
[…] resulta especialmente relevante recordar que, conforme a lo previsto en el artículo 28, apartados 3 y 4, de la Directiva 95/46, toda autoridad de control entenderá de las solicitudes de cualquier persona relativas a la protección de sus derechos y libertades en relación con el tratamiento de datos personales y que dispone de poderes de investigación y de poderes efectivos de intervención, que le permiten, en particular, ordenar el bloqueo, la supresión o la destrucción de datos, o prohibir provisional o definitivamente un tratamiento (véase la sentencia Google Spain/AEPD, C-131/12, apartados 77 y 78).
En este mismo sentido, el artículo 37.1.a) de la LOPD atribuye a la Agencia Española de Protección de Datos la función de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
Pues bien, no sería posible garantizar una adecuada tutela del derecho a la protección de datos que tanto la Carta, en su artículo 8, como nuestra Constitución, en su artículo 18.4, consagran, si se negara competencia a la Agencia Española de Protección de Datos para garantizar el derecho de su titular a oponerse al tratamiento de sus datos personales o solicitar su cancelación, antes examinados a la luz de la Directiva y del Derecho español cuando el tratamiento se efectúa por una entidad radicada en otro Estado miembro, en el marco de las actividades de un establecimiento de tal entidad ubicado en territorio español.
Así se pone de manifiesto por los términos en que se expresa el considerando
19 de la Directiva 95/46/CE al establecer lo siguiente: “Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa
aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho nacional aplicable a estas actividades”.
Igualmente, así se desprende del alcance y consecuencias que la Directiva 95/46/CE atribuye al ejercicio de los derechos reconocidos en los artículos 12, letra b), y 14, párrafo primero, letra a), recogidos en los regulados en los artículos 6.4, 16 y 17 de la LOPD, antes expuestos.
Y, así se desprende también con claridad del contenido del artículo 2.1.a) de la LOPD y del artículo 3.1.a) de su reglamento, antes transcritos.
Por último, así se deduce del Dictamen 8/2010 del GT29, de 16 de diciembre, que en interpretación del citado artículo 4.1.a) de la Directiva afirma lo siguiente: “un Estado miembro aplicará su Derecho nacional de protección de datos cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Para la determinación de un establecimiento relevante para los efectos del artículo 4, apartado 1, letra a), es clave que el organismo en cuestión realice un ejercicio efectivo y real de actividades. Además, la referencia a «un» establecimiento significa que la aplicabilidad del Derecho de un Estado miembro se desencadenará por la ubicación de un establecimiento del responsable del tratamiento en ese Estado miembro y los Derechos de otros Estados miembros podrían desencadenarse por la ubicación de otros establecimientos de ese responsable del tratamiento en esos Estados miembros.
La noción de «marco de actividades» –y no la ubicación de los datos– es un factor determinante en la determinación del ámbito del Derecho aplicable. La noción de
«marco de actividades» implica que el Derecho aplicable no es el del Estado miembro en el que esté establecido el responsable del tratamiento, sino en el que un establecimiento del responsable del tratamiento esté implicado en actividades relativas al tratamiento de datos personales. En este contexto, es crucial el grado de implicación del (de los) establecimiento(s) en las actividades en cuyo marco se traten los datos personales.
Además debe considerarse la naturaleza de las actividades de los establecimientos y la necesidad de garantizar una protección efectiva de los derechos de las personas. En el análisis de estos criterios debe adoptarse un enfoque funcional: más que la indicación teórica por las partes del Derecho aplicable, lo que debería ser decisivo son su comportamiento e interacción en la práctica”.
Por consiguiente, debe concluirse que la Ley Orgánica de Protección de Datos y su reglamento serán aplicables al tratamiento de datos personales efectuado «en el marco de las actividades» de un establecimiento del responsable del tratamiento, cuando el establecimiento se encuentre ubicado en territorio español y el responsable del tratamiento tenga su domicilio social en otro Estado miembro, correspondiendo, por ende, la competencia para resolver las solicitudes de tutela del derecho de cancelación y oposición en relación con dicho tratamiento a la Agencia Española de Protección de Datos. >>
CUARTO: Analicemos la aplicabilidad de los argumentos expuestos al presente caso.
La compañía recurrente ha declarado que <<”el tratamiento de los datos relativos a todos los afectados europeos (incluido el Denunciante) que han contratado los servicios de PayPal se realiza exclusivamente bajo el control de PayPal (Europe) S.á
r.l. et Xxx, S.C.A. (el cual tiene concedida la licencia como banco en Luxemburgo)” y también que “todo contacto con el consumidor se realiza en nombre de PayPal (Europe)
S.á r.l. et Xxx, S.C.A. por una compañía del grupo ubicada en Irlanda, que es el encargado del tratamiento de los datos de los clientes de PayPal (Europe) S.á r.l. et Xxx,S.C.A.” >>
Pues bien, en primer lugar, conviene destacar que, en contra de lo alegado y según se desprende de la documentación aportada a la Agencia por el reclamante, los datos personales de los clientes de PayPal son tratados también en territorio español. En efecto, junto a la reclamación de tutela de derechos que dio lugar al procedimiento cuya resolución ahora se recurre, el reclamante aportó copia impresa de la contestación recibida, en fecha 16 xx xxxxxx de 2014, a su solicitud del ejercicio de cancelación. En este documento se le indica: “También puede enviarnos la información por fax al
***FAX.1. Si nos envía la información por fax, incluya una portada con su nombre completo y dirección de correo electrónico registrada en su cuenta PayPal.” La puesta a disposición de los clientes de una línea de telecomunicaciones para la recepción de datos personales localizada geográficamente en España pone de manifiesto que, al menos una parte del tratamiento de dichos datos, en el marco de la relación establecida, se realiza desde establecimientos ubicados en territorio español.
Por otra parte, la AEPD ha verificado que en el documento Política de privacidad actual de los Servicios de PayPal, accesible a través de xxx.xxxxxx.xxx, con fecha de última actualización de 29 de diciembre de 2014, se expone: “Esta Política de privacidad regula el uso que usted hace de su cuenta PayPal, y de los productos y Servicios de PayPal, así como de cualquier otra función, tecnología o funcionalidad que nosotros ofrezcamos (colectivamente los "Servicios de PayPal"), lo que incluye, a título enunciativo y no limitativo, cualquier información que usted nos proporcione en relación con los Servicios de PayPal.”
En dicho documento figura un apartado, “4. Uso y revelación de información”, que contiene una cláusula específica que regula la comunicación de datos de los usuarios a terceros que no son clientes de PayPal. En virtud de esta cláusula el usuario
<<da su consentimiento y pide a PayPal que haga parte o todo lo que se describe a continuación […] d. Revelar información a las “Categorías” de terceros que se muestran en la tabla a continuación. El fin de esta revelación es permitirnos proporcionarle nuestros servicios. También exponemos en la tabla siguiente, bajo cada "Categoría", ejemplos no exclusivos de los terceros reales (lo que puede incluir a sus cesionarios y sucesores) a quienes revelamos actualmente información de su cuenta, o a quien consideremos la posibilidad de revelar la información de su cuenta durante los próximos seis meses, junto con el propósito de hacerlo, así como la información real que revelamos (a excepción de lo dispuesto expresamente, estos terceros tienen limitado por ley o por contrato el uso de la información para fines secundarios más allá de los fines para los que se compartió dicha información).>>
En la exhaustiva tabla figura más de un centenar de compañías de distintas categorías: procesadores de pagos, auditoras, empresas subcontratadas para el servicio de atención al cliente, agencias de referencia de crédito o de lucha contra el fraude, financieras, asociaciones comerciales, empresas de marketing y relaciones públicas, servicios operativos, agencias y empresas del grupo. Entre estas últimas figura, en particular, PayPal Spain, S.L., detallándose la siguiente finalidad de la comunicación: “Actuar en representación de PayPal para tareas de Servicio de Atención al Cliente, evaluación de riesgos, cumplimiento normativo y otras funciones administrativas.” Respecto de los datos revelados a las empresas del grupo, en particular la española, se especifica: “Toda la información de la cuenta”.
De las comunicaciones de datos que los usuarios autorizan a través de la aceptación de la Política de Privacidad aplicable al servicio se desprende que las distintas filiales territoriales del grupo empresarial PayPal, en particular la mercantil recurrente constituida en España, participan en el tratamiento de los datos de los usuarios.
Al margen de ello, la compañía recurrente ha reconocido a la Agencia que realiza “actividades de marketing, soporte y consultoría” dirigidas a grandes cuentas de grandes compañías españolas, que son también usuarias de los servicios de pago que presta PayPal en internet. Esta actividad de promoción comercial está dirigida precisamente a facilitar que esas compañías ofrezcan, en particular a los usuarios españoles, la posibilidad de pagar a través de ese medio de pago, favoreciendo así la utilización del servicio por un mayor número de usuarios españoles.
De todo lo expuesto cabe concluir que la actividad que desarrolla el establecimiento de PayPal en España está directamente relacionada con los servicios que presta a los usuarios españoles. En consecuencia, debe entenderse que, de acuerdo con los argumentos transcritos de la Sentencia de la Audiencia Nacional, al tratamiento de datos personales efectuado por PayPal le resulta de aplicación la normativa española de protección de datos.
Por todo ello, y dado que no aporta ningún hecho nuevo ni argumento jurídico que permita reconsiderar la validez de la resolución impugnada, procede desestimar el presente recurso de reposición.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el Recurso de Reposición interpuesto por la entidad PAYPAL SPAIN, S.L. contra la Resolución de esta Agencia Española de Protección de Datos, dictada con fecha 19 de febrero de 2015, en el expediente TD/01523/2014, que desestima la reclamación de Tutela de Derechos formulada por D. A.A.A. contra la entidad PAYPAL SPAIN, S.L.
SEGUNDO: NOTIFICAR la presente resolución a la entidad PAYPAL SPAIN, S.L.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Xxxx Xxxx Xxxxxxxxx Xxxxxxx
Director de la Agencia Española de Protección de Datos