HECHOS
• Procedimiento nº.: PS/00109/2019 180-100519
Recurso de reposición Nº RR/00062/2020
Examinado el recurso de reposición interpuesto por EDP ENERGIA, S.A.U., contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador PS/00109/2019 y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 23 de diciembre de 2019, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento sancionador PS/00109/2019 en virtud de la cual se impusieron a EDP ENERGÍA, S.A.U., con NIF A33543547, por una infracción del artículo 6.1, tipificada en el artículo 83.5.a), ambos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 xx xxxxx, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD), las siguientes sanciones:
Multa administrativa de 75.000 euros (artículo 58.2.i, RGPD) y, de conformidad con el artículo 58.2.d) RGPD, la orden de “adecuar sus protocolos de contratación telemática a las disposiciones del RGPD relativas a la licitud del tratamiento, en particular, en las contrataciones que efectúe a través de representante”.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDPGDD), a efectos de determinar el plazo de prescripción de la infracción,califica como infracción muy grave, en su artículo 72.1.b), la vulneración del artículo 6.1. RGPD.
La resolución sancionadora dictada en el PS/109/2019 fue notificada a EDP ENERGÍA, S.A.U., (en lo sucesivo la recurrente o EDP) en fecha 23/12/2019 y fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en la LOPDGDD y, supletoriamente, en la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas (LPCAP) en materia de tramitación de procedimientos sancionadores.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00109/2019, se dejó constancia de los siguientes en la resolución que se impugna:
<< 1.- D. A.A.A., con NIF ***NIF.1 y domicilio en ***LOCALIDAD.1 ***DIRECCION.1, declara haber recibido en su domicilio el documento “Notificación de impago” (al que él se refiere como “factura”) que lleva el anagrama de “EDP” y está firmado el 31/05/2018. En el citado documento EDP le requiere el pago de una deuda derivada de un contrato que él niega haber suscrito. Contrato al que afirma ser totalmente ajeno y que corresponde a una dirección de suministro con la que no tiene ninguna relación.
2.- En el documento mencionado en el Hecho 1, “Notificación de impago”, del que el reclamante aportó una copia a la AEPD con su reclamación, le requieren el pago de una deuda por importe de 79,81 euros derivada de un contrato de gas y luz.
En el documento se facilitan los siguientes “Datos del contrato”: Como “Tipo de contrato”, “Plan fórmula gas + luz”; como “Nº Cta./Contrato” el 70000852279; como “Dirección de Suministro” “***DIRECCION.2”.
En el documento figuran como “Datos del cliente”, además del nombre y dos apellidos del reclamante, su domicilio, ubicado en localidad distinta del punto de suministro; su NIF y un número de teléfono fijo del cual el reclamante niega ser titular,
***TELEFONO.2.
3.-Obra en el expediente, aportada por el reclamante, la copia del “Contrato de energía y/o servicios”, que EDP le envió a su domicilio. Al pie del documento, en el apartado destinado a la firma de la entidad, consta “EDP ENERGÍA, S.A.U. y/o EDP COMERCIALIZADORA, S.A.U.”
Encima de la rúbrica “Condiciones específicas del contrato” figura esta leyenda:
“El cliente contrata para el local de negocio o vivienda que se indica en el encabezamiento, el suministro de gas con EDP COMERCIALIZADORA, S.A.U. y el suministro de electricidad y/o los servicios complementarios con EDP ENERGÍA,
S.A.U. (en adelante, conjunta y/o individualmente, según xxxxxxx, referidas como “EDP”) con arreglo a las Condiciones Específicas que se recogen a continuación y a las Condiciones Generales que figuran en anexo”. (El subrayado es de la AEPD)
4.- El “Contrato de energía y/o servicios” aportado por el reclamante, descrito en el Hecho probado 3, ofrece la siguiente información:
- En el apartado “Cliente”: como “Titular del contrato”, “D. A.A.A.”; como “Dirección” “***DIRECCION.1”. En el apartado “NIF” el ***NIF.1. Y en el apartado “Teléfono 1” el número de móvil ***TELEFONO.1. La casilla “Teléfono 2” y “Fax” no contiene ningún dato. Tampoco consta el teléfono fijo que figuraba en el documento de notificación de impago (ver Hecho probado 2)
- En el apartado “Datos del suministro”, la “Dirección del suministro (***DIRECCION.2” y los números de CUPS de electricidad y de gas.
- En el apartado “Nº Cta. Contrato” “70000852279 Fórmula Gas + Luz”
- En el apartado “Duración y facturación” “Fecha de emisión: 18.05.2018”
5.- El reclamante ha declarado que, después de recibir en su domicilio la “factura” -el documento “Notificación de impago”- hizo la correspondiente reclamación ante EDP mediante llamada telefónica desde su teléfono móvil. Explicó que unos días más tarde recibió en su domicilio el ejemplar del contrato para el punto de suministro sobre el que versó la notificación de impago y su reclamación, a fin de que lo firmara. Subraya que, sin su consentimiento, el documento contractual recibido incorpora su número de teléfono móvil, número desde el cual hizo la reclamación telefónica a EDP.
6.- EDP, en el marco del E/7378/2018, en su respuesta a la solicitud informativa de la Agencia, afirmó que los datos personales del reclamante le fueron facilitados en fecha
17/05/2018, por vía telefónica, por D ª B.B.B. “quien manifiesta actuar en condición de representante del Denunciante (en adelante la “Representante”) durante la tramitación del cambio de titularidad del suministro correspondiente al domicilio sito en
***DIRECCION.2” (el subrayado es de la AEPD)
7.- EDP, en el marco del E/7378/2018, remitió a esta Agencia un CD que contenía dos documentos (1 y 2) El documento 1 está integrado por dos archivos de audio (i) 803818026680675 y (ii) 803818026680926.
7.1. En el audio (i) del documento 1, la persona que efectúa la llamada solicita hacer un cambio de titular y se identifica como “antiguo titular”. La teleoperadora dice: “Díga- me primero, si es tan amable, DNI del titular vigente ahora mismo, el suyo”. La llaman- te dice: “Vale, es un CIF, es una empresa, ¿vale? X00000000”. El nombre de la em- presa que facilita es “Obras y pavimentaciones hidráulicas”. Como dirección xx xxxx- nistro que se desea cambiar de titular se facilita la ***DIRECCION.2. La señora B.B.B. se identifica como “representante” del antiguo titular del contrato y afirma ser la res- ponsable de Administración de la empresa.
En el minuto 2:38 la teleoperadora dice: “Dígame ahora el nombre del nuevo titular”. El diálogo es el siguiente:
- “A.A.A. (…)”
- “¿DNI de don A.A.A.?”
- “***NIF.1”
- “***LETRA.1 de ***LOCALIDAD.2, ¿verdad?”
- “Espere un momentito, porque me ha escrito una ***LETRA.1 pero parece una H. Y como me lo ha escrito él. A ver, que te lo confirmo ahora mismo…***LETRA.1.”
- “Dígame el teléfono de don A.A.A.…”
- “***TELEFONO.3”
En el minuto 5:21 de la grabación se escucha: “Siendo las 16 y 51 horas del día 17 xx xxxx de 2018 doña B.B.B. ha llamado y quiere contratar con EDP para lo cual proce- demos a realizar la siguiente grabación de conformidad. ¿Está usted de acuerdo?
- Sí
-Doña B.B.B., con DNI ***NIF.2 como administradora y en representación del titular A.A.A., con DNI ***NIF.1, teléfono ***TELEFONO.3, acepta la oferta de EDP para la dirección ***DIRECCION.2, que consiste en un plan fórmula gas+ luz …para el CUPS de luz (…) con un CUPS de gas (…) En su nombre y de su representando, tras supe- rar los análisis de riesgo de la operación, haremos las gestiones necesarias para acti- var los contratos de acceso, momento a partir del cual entrará en vigor el nuevo con- trato quedando resuelto el anterior (…) ¿Está conforme con la anterior información Y condiciones de los contratos?
- Sí
- (…) Sus datos personales y los de su representado serán tratados para la gestión de estos contratos por EDP Energía, S.A.U., con CIF A 33543547 y EDP Comercializado- ra, S.A.U., con CIF A 95000295 (…)
En el minuto 8:35 de la grabación la llamante dice:
- “Sí, te quiero preguntarte una cosa. Respecto a lo de la validez del cambio, bueno, realmente no me preocupa, porque él lleva ya de alquiler bastantes meses y no va a pasar nada…, pero, realmente, la siguiente factura ¿ya le va a llegar a nombre de él.”
7.2. En el audio (ii) del documento 1, la teleoperadora comunica a doña B.B.B. “…, verá, es que como hemos tenido problemas con el documento nacional de identidad,
¿podría confirmarme que exactamente fue una M?, porque me ha dado erróneo el sis- tema. A lo que responde doña B.B.B.: pues no, porque está escrito de la mano.
- Claro es que podemos probar que sea una H. Pero claro, sin confirmar…no deja de ser un documento nacional de identidad y podemos cometer un error grave…Queda en volver a llamar.
8.- El CD aportado por EDP a la Agencia en el marco del E/7378/2018, contiene dos documentos. El documento 2 está, a su vez, integrado por dos archivos audio: (i) 803818026691798 y (ii) 803818026691972.
8.1. Audio (i) documento 2: La llamante dice:
-Hola buenos días. Xxxx llamé para hacer un cambio de titularidad. Hicimos yo creo que todo el proceso porque se hizo la grabación y tal. Pero al final no, bueno no cua- draba porque el DNI del nuevo titular, …bueno la letra. No la teníamos clara al 100% y no continuamos (…)
En el minuto 6:15 se escucha:
- “La dirección de envío de facturación. Domicilio. ¿Dónde quiere que se la remita- mos? ¿Al suministro?”
- “Sí”
- “Perfecto. Dirección punto de suministro”.
8.2. Audio (ii) documento 2: En el minuto 2:44 de la grabación, se indica:
- “Son en este momento los 1 y 46 minutos de la tarde del día 18 xx xxxx de 2018. Nos llama la señora B.B.B. … con DNI… y quiere contratar con EDP para lo cual pro- cedemos a realizar la siguiente grabación de conformidad, ¿de acuerdo?”
- “Sí”
- “Muy bien, la señora B.B.B. …con DNI … como representante y en representación del titular, señor don A.A.A.…con DNI teléfono …. acepta la oferta de EDP para el punto de suministro… “. Doña B.B.B. asiente a la pregunta.
En el minuto 6:32 se escucha:
- “El motivo por el que tenemos que realizar de nuevo la grabación es que si el DNI no es válido la grabación no es válida”.
9.- Obra en el expediente, aportada por EDP, copia de la carta que con fecha 15/11/2018, y en cumplimiento de la petición que hizo la AEPD en el escrito de solicitud informativa (E/7378/2018), dirigió al reclamante. En ella afirma lo siguiente:
- Que la contratación del suministro eléctrico con EDP ENERGÍA, S.A.U., “se
llevó a cabo por vía telefónica por Doña B.B.B., quien manifestó actuar con su conocimiento y en su representación.”
- “Que dicha contratación se llevó a cabo siguiendo todas las cautelas exigibles…”.
10.- Obra en el expediente, aportado por EDP -con sus alegaciones al acuerdo de inicio- la grabación de una conversación telefónica, de la cual no se facilita fecha, mantenida entre la entidad y una persona que se identificó con los datos del reclamante -nombre, dos apellidos y NIF-. La persona que efectúa la llamada dice llamar para pagar una factura pendiente, pues le han cortado el suministro.
El empleado de EDP le pregunta por el importe pendiente y responde: “me suena que es 140,77 euros”. Después de preguntarle por el punto de suministro le informan de que adeuda 170,80 euros y de que puede pagar con tarjeta.
Se interroga a quien efectúa la llamada por un número de teléfono y facilita el
***TELEFONO.3. >>
TERCERO: En fecha 23/01/2020 se presenta recurso potestativo de reposición frente a la resolución dictada en el PS/109/2019, en el que la recurrente solicita que se acuerde el archivo de las actuaciones practicadas sin imposición de multa administrativa ni medidas correctivas complementarias, toda vez que, afirma, obró diligentemente y conforme a Derecho. Con carácter subsidiario, solicita que “se califique la infracción como leve, graduando la sanción y reduciendo al mínimo su importe”.
Antes de continuar con la exposición de los argumentos esgrimidos en el recurso, hemos de advertir que la recurrente ha incurrido en un error en el “petitum” de su recurso de reposición cuando se identifica a sí misma como “EDP Comercializadora”, siendo así que en el PS/109/2019, cuya resolución impugna, se sancionó a EDP ENERGÍA, S.A.U. El procedimiento sancionador que se siguió frente a EDP COMERCIALIZADORA fue otro, exactamente el PS/00025/2019.
La recurrente invoca en defensa de sus pretensiones los argumentos siguientes:
- Con carácter previo, da por reproducidas “todas las alegaciones y argumentaciones jurídicas de sus anteriores escritos” “sin perjuicio de incidir”, dice, “en aquellas que entendemos más relevantes”.
- En la última alegación del recurso -alegación cuarta, que lleva por rúbrica “No vulneración del derecho a la protección de datos personales”- la recurrente expresa, a modo de resumen, cuál es su posición en esta materia; posición a cuyo desarrollo dedica la alegación primera a tercera del escrito de interposición.
Considera que el tratamiento de los datos del reclamante que ha efectuado – sobre el que versó el PS/109/2019- no es susceptible de integrar una infracción de la normativa de protección de datos “ya que dicho tratamiento está amparado en una de las bases de legitimación establecidas en el RGPD y dicho tratamiento se ha realizado dando cumplimiento a la diligencia exigible para la realización de este tipo de contrataciones”.
- La alegación primera del escrito del recurso -bajo la rúbrica “Existencia de una relación contractual”- concluye -conclusión que en nada difiere de lo alegado en el curso del procedimiento- que “El tratamiento por parte de EDP de los datos personales del Denunciante fue lícito, puesto que el mismo está amparado en la existencia de una relación contractual entre ambas partes”.
La recurrente invoca la existencia de un mandato representativo entre la señora
B.B.B. y el reclamante argumentado que “la figura del mandato sin forma, es decir, sin necesidad de documentar su contenido” es considerada ajustada a Derecho y que, pese a ello, esta Agencia ha exigido “evidencias documentales de verificación de la representación”.
El argumento central de EDP para impugnar la resolución sancionadora es que dicha resolución se ha apoyado en “no dar por válido el mandato de la persona que realiza la contratación en nombre del Denunciante, aspecto que es, sin lugar a duda, una cuestión de naturaleza exclusivamente civil.” En ese sentido, expone que la AEPD ha negado en su resolución que las grabaciones que ella había aportado fueran una prueba o un indicio racional de que el reclamante otorgó su representación a la señora
B.B.B. para que en su nombre contratara el suministro de gas. Dice textualmente: la “AEPD niega absolutamente la fuerza probatoria de las evidencias presentadas”.
Explica que es precisamente el hecho de que la AEPD haya exigido a EDP que acreditara documentalmente la representación del reclamante -representación que supuestamente ostentaba la señora B.B.B.- el motivo por el cual en la resolución dictada “toda la prueba presentada no ha sido considerada válida” y por el cual la resolución concluyó que EDP no había actuado con una mínima diligencia y que no constaba que tuviera implementado un protocolo ad hoc para obtener este tipo de justificación.
Respecto a la falta de diligencia que la AEPD apreció en la actuación de la recurrente, dice que “incluso en el hipotético caso de que una falta de diligencia pudiese existir, esto no supondría necesariamente la nulidad o anulabilidad del contrato (cuestión que compete en exclusiva a los jueces y tribunales del orden civil o, en su defecto, a las Autoridades de Consumo) y que, en todo caso, habría sido subsanado por el hecho de que el contrato ha sido consumado por la vía de los actos propios, consistentes en el aprovechamiento y pago de los servicios tras la celebración del contrato. Pero independientemente de todo ello, …, la anulación del contrato es una cuestión que sólo compete a los Organismos señalados y que, hasta la fecha, no ha sido instada por ninguna de las partes intervinientes, por lo que, legalmente y a todos los efectos, es un contrato válidamente celebrado”.
Asimismo, la recurrente, partiendo de la afirmación recogida en el punto anterior dice en el párrafo siguiente que “sancionar” “en vía administrativa” “una contratación” cuando el contrato “ha sido válidamente celebrado de acuerdo con el CC” supone un menoscabo injustificable del principio de seguridad jurídica.
La recurrente alega, además, que la AEPD, con el propósito de justificar que los datos del denunciante no habían sido obtenidos de forma lícita, argumentó “que se han tratado más datos de los que inicialmente fueron aportados por la Sra. B.B.B.” (folio 3
de su escrito de recurso, párrafo último). Y responde a este argumento que atribuye a esta Agencia, en los siguientes términos: “…aparte de ignorar las evidencias presentadas en las que se constata cómo son facilitados datos adicionales por el propio Xxxxxxxxxxx, en ningún caso sirve para menoscabar la existencia de una relación contractual, en la que como la propia regulación recoge, debe precederse a la actualización de los datos personales en la medida en que la misma sea solicitad por el interesado …”
Resulta imprescindible destacar por su extraordinaria importancia, que la recurrente, en su escrito de recurso, utiliza una frase extraída de la resolución impugnada -en la que se dice que en la grabación aportada por EDP la señora B.B.B. había “manifestado reiteradamente” que ostentaba la representación del reclamante- para concluir, incorrectamente, atribuyendo a esta Agencia una afirmación que jamás, ni directa ni indirectamente, se hizo en la citada resolución. Esto es, que la AEPD habría reconocido la apariencia de que la señora B.B.B. era la representante del reclamante. Transcribimos un fragmento del escrito de interposición del recurso - folio 2, penúltimo párrafo- en el que la recurrente dice lo siguiente:
“Por tanto, si bien la AEPD niega absolutamente la fuerza probatoria de las evidencias presentadas, reconoce la actitud reiterada y manifiesta, y por tanto la apariencia de que la Sra. B.B.B. ostenta el título de representante, aspecto suficiente para que un tercero de buena fe (en este caso EDP) pueda considerar que el mandato existe, de acuerdo a la reiterada jurisprudencia existente en relación con esta figura en el Orden Jurisdiccional Civil (ya aportada en el presente procedimiento y a la cual nos remitimos), y por tanto, válido para considerar perfeccionado el negocio jurídico realizado en base a dicho mandato.” (El subrayado es de la Agencia)
-La alegación segunda versa sobre la “Licitud del tratamiento y falta de fundamentación y motivación jurídica de la resolución”. Falta de fundamentación jurídica de la resolución que, a juicio de la recurrente, vulnera el artículo 35 de la LPACAP. Considera un ejemplo de la falta de motivación el relacionado con la falta de diligencia de su conducta apreciada en la resolución. Alega que la resolución sancionadora “no recoge la normativa que justifique cuáles serán las condiciones que pudieran exigir una actuación distinta para considerar la contratación como realizada de forma diligente”. Tampoco recoge, dice, “los requisitos mínimos para estar ante una actuación diligente conforme la AEPD”, “ni la causa por la que el resto de las bases legitimadoras recogidas por la normativa vigente aplicable no son consideradas aplicables en este caso”.
Asimismo, hace referencia a la STS 31/12/1998 que afirma que la “falta de motivación o la motivación defectuosa puede integrar un vicio de anulabilidad”. Cita, entre otras, las SSTS de 09/07/2010, Rec. 1/2008, y de 18/06/2012, Rec. 488/2011, que analizan respectivamente distintos supuestos de falta de motivación del acto administrativo.
Invoca también el artículo 4 de la LOPDGDD que, dice, manifiesta que, en tanto se presume la buena fe contractual, no le es imputable -en su condición de responsable del tratamiento– la inexactitud de los datos personales cuando la información que le facilitó un representante no es correcta o adecuada, “siendo responsabilidad xxx xxxxxxx que facilita datos, en línea con lo que establece el CC, así como por la jurisprudencia del Tribunal Supremo referenciada en el presente escrito”.
-La alegación tercera se centra en “la no aplicabilidad de la jurisprudencia” invocada por la Agencia en la resolución impugnada. Explica que “mucha de la jurisprudencia mencionada” en la resolución no es aplicable, porque “el contexto y el supuesto sobre el que versan las mencionadas sentencias no son análogos, ni ligeramente parecidos” a los que nos ocupan. A juicio de la recurrente no serían de aplicación al caso las siguientes Sentencias citadas en la resolución impugnada:
1. La STC 292/2000, que se cita en el Fundamento de Derecho III. D. de la resolución. Argumenta que la citada STC “trata sobre un supuesto de inconstitucionalidad de algunos derechos atribuidos a Administraciones Públicas, aspectos y cuestiones que lejos de ser supuestos análogos al que nos encontramos se refieren a cuestiones de anulación de normas por cuestiones de rango legal…No se puede trasladar a los administrados la valoración de qué normas debe cumplir en función de si estas son acordes o no con otras de superior rango.”
2. La STC 76/1999 que, según dice la reclamante, se invoca por la Agencia “con motivo de argumentar el elemento de la culpabilidad y la responsabilidad derivada de la conducta de mi representada”. Respecto a la citada STC explica la recurrente que “…se trata de una cuestión de indefensión colectiva por parte de un interno de un centro penitenciario, en el que se deniega el permiso de salida, donde además de contemplar la infracción procesal, se analiza la posible indefensión material del interno
…”
3. La SAN de “29/04/2020”, que dice es “inexistente”, fue utilizada por la AEPD para fundamentar la omisión de la diligencia mínima que debía de desplegar el responsable del tratamiento. Añade que la SAN parece referirse a una contratación fraudulenta lo que “hace que la conclusión plasmada no sea aplicable a este caso, donde la validez de la contratación no ha sido impugnada por ninguna de las partes contratantes ante ningún tribunal ni ha sido demandada por ninguna autoridad competente”.
4. La SAN de 30/05/2015, Rec. 163/2014, relativa a la responsabilidad de las personas jurídicas por las actuaciones dolosas o imprudentes de la entidad. La recurrente no impugna la aplicación que hace la Agencia de la referida Sentencia al supuesto analizado, sino que su queja se centra en que la resolución sancionadora recurrida afirme que esa entidad “tenía la obligación de haber adoptado las medidas necesarias y oportunas para estar en condiciones de cumplir las obligaciones que están implícitas en el principio de licitud”. El motivo de su impugnación es, una vez más, que la AEPD “no ha justificado cuáles son los requisitos necesarios para entender cumplidas las obligaciones que están implícitas en el principio de licitud”
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los derechos digitales (LOPDPGDD)
II
La recurrente inicia su exposición dando por reproducidas las alegaciones que presentó al acuerdo de inicio del expediente sancionador y a la propuesta de resolución. Se transcriben seguidamente los Fundamentos de Derecho II a VI, ambos inclusive, de la resolución impugnada en los que, entre otras cuestiones, se analizaron y desestimaron las alegaciones formuladas por la recurrente en el curso del procedimiento.
<< II
El RGPD dedica el artículo 5 a los principios que deben regir el tratamiento y, entre ellos, menciona los de “licitud, lealtad y transparencia”. El precepto dispone:
“1. Los datos personales serán:
Tratados de manera lícita, xxxx y transparente con el interesado;” (El subrayado es de la AEPD)
El artículo 6 del RGPD -bajo la rúbrica “Licitud del tratamiento”- detalla en su apartado 1 los supuestos en los que el tratamiento de datos de terceros es considerado lícito:
“1. El tratamiento sólo será lícito si cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. (…)”
Procede recordar que el artículo 5 del RGPD, después de aludir en su apartado 1 a los principios relativos al tratamiento de los datos personales -entre ellos, como se expone en párrafos anteriores, al de “licitud”-, añade en el apartado 2:
“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (<<responsabilidad proactiva>>)” (El subrayado es de la AEPD)
La infracción del artículo 6.1 del RGPD se encuentra tipificada en el artículo 83 del RGPD que, bajo la rúbrica “Condiciones generales para la imposición de multas administrativas”, señala:
“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5,6,7 y 9.”
Hay que indicar, además, que la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), a efectos de prescripción, califica en su artículo 72.1.b) como infracción muy grave “El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679”
III
Se atribuye a la reclamada en el presente procedimiento sancionador una infracción del artículo 6.1 RGPD. La reclamada trató los datos personales del reclamante sin legitimación. No ha podido acreditar que el tratamiento de datos efectuado tuviera su base jurídica en alguna de las circunstancias que detalla el artículo 6.1 del RGPD.
A.- Ha quedado acreditado a través de la documentación que obra en el expediente administrativo –descrita en lo esencial en los Hechos Probados- que EDP trató los datos personales del reclamante (nombre, apellidos, NIF, domicilio y número de teléfono móvil) vinculados a un contrato de electricidad del que el afectado niega haber sido parte y sin que la reclamada haya aportado documentación de ningún tipo de la que se evidencie que el tratamiento de los datos estaba amparado en alguna de las condiciones de licitud que el artículo 6.1 RGPD relaciona.
A tenor del artículo 6.1 del RGPD el tratamiento de los datos personales de terceros debe de ser “lícito”, para lo cual debe, en principio, cumplir alguna de las condiciones descritas en los apartados a) a f) del precepto.
B.- En el supuesto analizado, EDP atribuye al reclamante la condición de parte en el contrato de electricidad para el punto de suministro ubicado en la ***DIRECCION.1. El reclamante niega haber suscrito el citado contrato y niega conocer ese punto de suministro. El reclamante está domiciliado en otra Comunidad Autónoma.
La reclamada afirma que el reclamante es parte en un contrato de suministro eléctrico celebrado con ella a través de quien se identificó como su representante, la señora
B.B.B., dando a entender así que la base jurídica del tratamiento es la ejecución del contrato (artículo 6.1.b, del RGPD).
Sin embargo, para amparar el tratamiento efectuado por EDP en el artículo 6.1.b) del RGPD es necesario que la condición de parte contratante del afectado quede acreditada. La razón de ser de esta causa de legitimación del tratamiento es precisamente que, en la medida en que el titular de los datos otorga el consentimiento al contrato, consiente también que sus datos personales sean objeto del tratamiento necesario para su ejecución y cumplimiento.
Así pues, la cuestión es determinar si EDP ha aportado pruebas que demuestren que el afectado consintió contratar con esa entidad; lo que trasladado al supuesto que nos ocupa consistirá en valorar si se han aportado pruebas de que la señora B.B.B. ostentaba, efectivamente, la representación del reclamante o, en otras palabras, que como afirma la reclamada el reclamante había convenido con la señora B.B.B. un mandato representativo para que en su nombre contratara el suministro eléctrico.
EDP aduce que es prueba bastante para demostrar que el reclamante había otorgado su representación a la señora B.B.B. para que suscribiera con ella, en su nombre, un contrato de electricidad el documento sonoro que ha aportado a esta Agencia: un CD con las grabaciones de las conversaciones telefónicas mantenidas entre esa entidad y una tercera persona (la señora B.B.B.) en las que ésta “manifiesta” “reiteradamente” que ostenta la representación del reclamante para dar de alta a su nombre ( o cambiar la titularidad del contrato de suministro que figuraba a nombre de una sociedad en cuya representación actúa la señora B.B.B.) un contrato de electricidad para el punto de suministro de la ***DIRECCION.1.
Las grabaciones remitidas a la Agencia por EDP (descritas en los Hechos probados 7 y 8) hacen prueban, exclusivamente, de que una persona, la señora B.B.B., manifestó insistentemente ostentar la representación del reclamante para contratar en su nombre con EDP. Las citadas grabaciones, ni acreditan que el reclamante otorgara su representación a la citada señora para contratar en su nombre el suministro eléctrico ni aportan indicio alguno en tal sentido.
Ahora bien, las grabaciones remitidas por EDP (cuatro audios, de los que dos de ellos integran el documento 1 y los restantes el documento dos de los aportados con la respuesta a la solicitud informativa) sí prueban cuál es el origen de algunos de los datos personales del reclamante que EDP trató asociados a un contrato que él niega haber celebrado: nos referimos a los datos de nombre, apellidos y DNI del reclamante. Datos que, como se pone de manifiesto con la audición de las grabaciones, fueron proporcionados por la señora B.B.B. a EDP.
Sin embargo, las grabaciones no explican cuál es el origen de otros datos del reclamante que EDP también trató vinculados a un contrato al que el titular de los datos personales es ajeno: su domicilio en ***LOCALIDAD.1, (...), que no coincide, como ya se ha puesto de relieve, con el del punto de suministro y el número de móvil del reclamante que EDP incorporó al ejemplar del contrato que envió a su domicilio.
Las grabaciones evidencian además estos extremos: Que la aludida señora B.B.B.
-que a juicio de XXX actuó en representación del reclamante- solicitó que la facturación le fuera remitida a su representado al domicilio del punto de suministro
-***DIRECCION.1- pero en ningún momento proporcionó otro domicilio que el
correspondiente al punto de suministro y facilitó únicamente como número de móvil de la persona a quien dijo representar el ***TELEFONO.3.
Por tanto, de lo anterior hemos de concluir que no fue la señora B.B.B. quien facilitó a EDP el dato del domicilio del reclamante -domicilio que nada tiene que ver con el punto de suministro, pues está ubicado en otra Comunidad Autónoma (…) en la localidad de ***LOCALIDAD.1, ***DIRECCION.1-, domicilio al que EDP envió el documento denominado “Notificación de impago” descrito en los Hechos Probados y más tarde una copia del contrato para que se la remitiera firmada.
Asimismo, el número de móvil del reclamante, ***TELEFONO.1, que EDP incorporó al documento contractual que le envió a su domicilio, tampoco fue facilitado por la señora B.B.B.. Recordemos la explicación que el reclamante ha ofrecido. Que efectuó una reclamación telefónica ante EDP a través de su número de móvil y que el resultado fue recibir de la entidad un documento contractual para que se lo devolviera firmado en el que figuraba su número de móvil, desde el que hizo la llamada de reclamación. Pues bien, en ese documento contractual, sorprendentemente, no aparecen ya ni el número de teléfono fijo que aparecía en la Notificación de Impago, el ***TELEFONO.2
-respecto al cual el reclamante manifestó en su escrito de reclamación que no le pertenecía- ni tampoco el número de móvil que la señora B.B.B. facilitó a EDP en el curso de las grabaciones como el número de teléfono de su supuesto representado:
***TELEFONO.3.
Y finalmente, llama la atención que sea curiosamente este número de móvil (***TELEFONO.3) el mismo que más tarde facilitará a EDP una persona que contactará con la entidad a raíz de un corte en el punto de suministro y pregunta a cuánto asciende el importe adeudado. Grabación que EDP ha aportado con su escrito de alegaciones al acuerdo de inicio (ver Xxxxx probado 10) que a su juicio serviría para justificar la licitud del tratamiento de datos sobre el que versa la reclamación que nos ocupa.
En definitiva: EDP no ha facilitado a esta Agencia ningún documento que haga prueba de la condición de representante del reclamante que la señora B.B.B. afirmó ostentar cuando contactó telefónicamente con la entidad y cambió la titularidad del contrato a nombre del reclamante, facilitando en ese acto el nombre, dos apellidos y NIF de su supuesto representado. EDP tampoco ha acreditado cuál es la legitimación para tratar otros datos del reclamante, como su domicilio o el teléfono móvil; datos que la señora
B.B.B. no proporcionó a EDP.
Cabe añadir a lo anterior otra circunstancia de gran significación. A la luz de la documentación aportada por EDP -cuatro audios con las llamadas habidas entre esa compañía y la señora B.B.B. los días 17 y 18 de septiembre de 2018 con el fin de gestionar el alta del contrato a nombre del reclamante- se comprueba que en ningún momento la entidad exigió que el tercero (la señora B.B.B.) que le proporcionó los datos del reclamante y dijo ostentar su representación aportara algún documento que acreditara ese extremo.
Tampoco se tiene conocimiento de que la entidad, antes de dar de alta el contrato de suministro eléctrico a nombre del reclamante -y pese a que la legitimación de EDP para tratar los datos personales del reclamante se sustentaba, exclusivamente, en que habían sido facilitados por su supuesto representante- hubiera adoptado alguna medida para verificar la realidad de esa representación. Fuera contactando
directamente con el titular de los datos o articulando algún otro mecanismo, lo cierto es que EDP no ha demostrado que hubiera desplegado una mínima diligencia en la comprobación de que, efectivamente, el titular de los datos había otorgado su representación al tercero que se los facilitó (la señora B.B.B.). Asimismo, tampoco consta que esta entidad tenga implementado un protocolo ad hoc.
C-. El respeto al principio de licitud que debe presidir el tratamiento de datos de terceros y al que se refiere el artículo 6.1. del RGPD, lleva implícito que el responsable sea capaz de demostrar su cumplimiento (principio de responsabilidad proactiva, artículo 5.2 del RGPD)
En el presente caso -en el que la reclamada afirma que la licitud del tratamiento se justifica en la existencia de un contrato en el que el afectado era parte- se traslada al responsable del tratamiento de los datos personales la carga de la prueba de la contratación; o al menos la carga de la prueba de que desplegó la diligencia que era procedente para dar cumplimiento a tal obligación.
Nos remitimos al artículo 5.2 del RGPD. En términos parecidos se pronunciaba la, actualmente derogada, Directiva 95/46, que se traspuso al ordenamiento interno español a través de la Ley Orgánica 15/1999, de Protección de Datos (LOPD) y que plasmó con toda claridad el Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007. Normas vigentes cuando EDP inició el tratamiento de datos que es objeto de valoración en este expediente sancionador y que en la actualidad se encuentran derogadas.
La Sala de lo Contencioso Administrativo de la Audiencia Nacional, en supuestos como el que aquí se plantea, ha venido considerado bajo la normativa anterior que cuando el titular de los datos niega la contratación corresponde la carga de la prueba a quien afirma su existencia, debiendo el responsable del tratamiento de datos de terceros recabar y conservar la documentación necesaria para acreditar el consentimiento del titular.
Citamos, por todas, la SAN de 31/05/2006 (Rec. 539/2004), Fundamento de Derecho Cuarto: “Por otra parte es al responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la Ley”.
D.- Invoca también EDP, en defensa de su pretensión de que actuó con arreglo a Derecho y respetó el principio de licitud cuando trató los datos del reclamante, que, el cambio de titularidad del contrato de electricidad que gestionó la señora B.B.B. -en calidad de representante de la sociedad que era la titular del contrato de energía para el punto de suministro de ***DIRECCION.2- no le obligaba a acreditar que la presunta representante ostentaba la representación del nuevo cliente y titular de los datos tratados. Justifica tal afirmación en que el artículo 83 del Real Decreto 1955/2000 otorga al consumidor que esté al corriente del pago la facultad de traspasar su contrato a otro consumidor que vaya a hacer uso del mismo en idénticas condiciones. Y añade, además, que en el presente caso “el cambio de titularidad se produce bajo las mismas condiciones contractuales, es decir, sin que el cambio pueda ser considerado un alta nueva y por tanto una nueva contratación”.
En respuesta a tal alegato, a propósito de la supuesta norma habilitante para el tratamiento efectuado (el R.D. 1955/2000), basta señalar que el artículo 6.1 del RGPD, en su apartado c) contempla como uno de los supuestos de licitud del tratamiento que éste sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
Ahora bien, la obligación en tal caso ha de venir impuesta por una norma con rango formal xx Xxx. La exigencia de que la norma habilitante tenga el rango formal xx Xxx también se establecía en la normativa de protección de datos anterior. Nos referimos al artículo 10.2 del Reglamento de desarrollo de la LOPD, actualmente derogado, pero vigente cuando EDP inició el tratamiento de los datos del reclamante. Sobre esta cuestión incidió en su momento la STC/292/2000 a propósito del artículo 6.1, in fine, de la LOPD, que mencionaba la Ley como una excepción al principio del consentimiento. El Tribunal Constitucional advirtió que una limitación a un derecho fundamental o al ejercicio de las facultades que lo integran requiere que se lleve a cabo a través de una Ley en sentido formal, sin que puedan introducirse limitaciones o restricciones al contenido de un derecho de esa naturaleza a través de una norma reglamentaria.
En todo caso, y sin perjuicio de la exposición precedente, la norma reglamentaria que invoca EDP tiene como presupuesto fáctico que el consumidor estuviera al corriente del pago. Y como revela la audición de la grabación aportada con las alegaciones al acuerdo de inicio -en la que una persona que se identifica con los datos del reclamante contacta con EDP para preguntar por el importe adeudado ya que le han cortado el suministro eléctrico- se adeudaban tres facturas.
Respecto a la segunda reflexión de la reclamada -que no se produjo un alta nueva con los datos del reclamante sino una subrogación del reclamante en el contrato anterior- se trata de una cuestión de naturaleza civil/mercantil sobre la que esta Agencia no debe pronunciarse. Lo relevante a los efectos que nos ocupan es que, con independencia de que estemos ante una subrogación o ante un nuevo contrato, en ambos casos, el reclamante tendría, según viene sosteniendo la reclamada, la condición de parte contratante. Y en cuanto tal, para hacer valer como base jurídica del tratamiento el artículo 6.1.b) del RGPD, es imprescindible que el titular de los datos hubiera otorgado a su pretendida representante el consentimiento para que actuara en tal condición, extremo que en ningún caso se ha acreditado por EDP.
Esta Agencia reitera que ninguno de los documentos que EDP ha aportado acredita lo que es sustancial en el asunto examinado: que el titular de los datos otorgó a la señora B.B.B. su representación para que en su nombre gestionara el cambio en la titularidad del contrato de electricidad del punto de suministro de ***DIRECCION.2.
La reclamada tampoco ha aportado documentos o indicios probatorios que evidencien que la entidad, ante tal situación -una contratación telemática a través de quien afirma ser el representante del titular de los datos-, desplegó la diligencia mínima exigible para verificar que efectivamente su interlocutora tenía la representación que afirmaba ostentar.
El respeto al principio de licitud, antes principio del consentimiento, que está en la esencia del derecho fundamental de protección de datos de carácter personal, exige acreditar que el titular de los datos consintió que un tercero en su nombre celebrara un contrato con EDP o, al menos, que la responsable del tratamiento desplegó la
diligencia imprescindible para acreditar ese extremo. De no actuar así -y de no exigirlo así esta Agencia, a quien le incumbe velar por el cumplimiento de la normativa reguladora del derecho de protección de datos de carácter personal- el resultado sería vaciar de contenido el principio de licitud y en particular el artículo 6.1 de la LOPD.
E.- Constatado que EDP trató los datos personales del reclamante y constatado también que esta entidad no ha facilitado a la AEPD ningún documento que demuestre que el reclamante otorgó su representación a la persona que celebró el contrato con ella y afirmó actuar en su nombre -lo que hubiera permitido estimar lícito el tratamiento al amparo del artículo 6.1.b, del RGPD- se ha de valorar si intervino culpa de la entidad reclamada o si omitió la diligencia que era procedente, atendidas las circunstancias del caso, imprescindible para que la conducta analizada sea subsumible en el tipo infractor del artículo 83.5. del RGPD.
Esto, porque rige en nuestro Derecho sancionador el principio de culpabilidad, que impide imponer sanciones basadas en la responsabilidad objetiva del presunto infractor. La presencia del elemento de la culpabilidad en sentido amplio, como condición para que nazca la responsabilidad sancionadora, ha sido reconocida por el Tribunal Constitucional, entre otras, en su STC 76/1999, en la que afirma que las sanciones administrativas participan de la misma naturaleza que las penales al ser una de las manifestaciones del ius puniendi del Estado y que, como exigencia derivada de los principios de seguridad jurídica y legalidad penal consagrados en los artículos 9.3 y 25.1 de la C.E., es imprescindible su existencia para imponerla.
La Ley 40/2015 de Régimen Jurídico del Sector Público dispone en el artículo 28, bajo la rúbrica “Responsabilidad”:
“1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa.” (El subrayado es de la AEPD)
En el supuesto analizado no sólo está presente el elemento de la culpabilidad - extremo que la reclamada niega en sus alegaciones al acuerdo de inicio- sino que se aprecia una gravísima falta de diligencia de la reclamada que tiene una consecuencia directa en la determinación del importe de la sanción a imponer.
En el cumplimiento de las obligaciones que el RGPD impone al responsable del tratamiento éste debe desplegar la diligencia mínima que requieren las circunstancias del caso. Es ilustrativa la SAN de 29/04/2020 -que, si bien se dictó en un asunto de contratación fraudulenta y bajo la normativa anterior, es perfectamente extrapolable al que nos ocupa- cuyo Fundamento Jurídico sexto dice:
“La cuestión no es dilucidar si la recurrente trató los datos de carácter personal de la denunciante sin su consentimiento, como si empleó o no una diligencia razonable a la hora de tratar de identificar a la persona con la que suscribió el contrato”. (El subrayado es de la AEPD)
Por ello, incluso existiendo una conducta antijurídica, cuando el responsable del tratamiento acredita haber actuado con la diligencia que las circunstancias del caso exigen para cumplir las obligaciones impuestas por la normativa de protección de
datos, al estar proscrita la responsabilidad objetiva en nuestro Derecho Administrativo sancionador, la AEPD procede al archivo del expediente.
En el supuesto que examinamos se constata que la entidad EDP no desplegó la más mínima diligencia con el fin de estar en condiciones de probar que el titular de los datos personales había otorgado su representación a la persona que afirmó actuar en su nombre en la contratación. La reclamada no verificó antes de gestionar el cambio de titularidad del contrato de suministro eléctrico a nombre del reclamante si quien decía actuar en su representación efectivamente la ostentaba.
Hasta tal punto es grave la falta de diligencia demostrada por EDP en el supuesto que nos ocupa que las grabaciones de las conversaciones mantenidas entre la entidad y la persona que se identificó como representante del reclamante ponen de manifiesto que la supuesta representante no obtuvo el dato del DNI del afectado mediante el cotejo del documento. Por el contrario, como la señora B.B.B. explicó en la conversación con EDP cuya grabación obra en el expediente, el dato había sido escrito a mano por la persona a quien decía representar. Llamativo es también que pese a las incidencias surgidas en la contratación telefónica respecto a la letra del DNI del representado -lo que obligó a que la señora B.B.B. tuviera que llamar una segunda vez a EDP después de verificar la letra del documento- la reclamada siguió sin articular alguna medida consistente destinada a verificar que efectivamente el titular de los datos había otorgado su representación a la persona que intervino en la contratación.
A la luz de las grabaciones que obran en el expediente y de lo alegado por EDP en su defensa, se evidencia con nitidez que la entidad carece por completo de un protocolo de actuación para las contrataciones telemáticas cuando la persona que facilita los datos no es su titular, sino un tercero que afirma actuar en su nombre. Carencia que, además, impide dar cumplimiento al principio de responsabilidad proactiva.
A propósito del elemento de la culpabilidad en el marco del procedimiento sancionador parece conveniente referirnos a la SAN de 30/05/2015 (Rec. 163/2014) que ha destacado las diferencias que existen entre la atribución de responsabilidad a una persona física y a una persona jurídica y conecta la “reprochabilidad” de una determinada conducta a una “persona jurídica” con la circunstancia de que aquella “hubiera dispensado o no una eficaz protección al bien jurídico protegido por la norma”. El Fundamento de Derecho segundo de la citada Sentencia dice:
<<No obstante, el modo de atribución de la responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto a las personas físicas. Según STC 246/1999 “(…) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma”>> (El subrayado es de la AEPD)
EDP–habida cuenta del carácter de la actividad empresarial que desarrolla, que lleva implícita el tratamiento de numerosos datos personales- tenía la obligación de haber adoptado las medidas necesarias y oportunas para estar en condiciones de cumplir las obligaciones que están implícitas en el principio de licitud.
En definitiva, la conducta de EDP, materializada en el tratamiento de los datos personales del reclamante –nombre, dos apellidos, NIF, teléfono móvil y domicilio– vinculados a un contrato de suministro eléctrico en el que él niega ser parte, sin que haya acreditado esa condición del reclamante y sin que hubiera observado una mínima diligencia en su actuación, vulnera el artículo 6.1.b, del RGPD, actuación subsumible en el tipo sancionador del artículo 83.5 del RGPD.
IV
Los argumentos esgrimidos por la reclamante en sus diversos escritos -escritos cuyo contenido se resume en los Antecedentes segundo, quinto y octavo, y a los que hacemos mención en los Fundamentos precedentes de esta resolución- exigen hacer algunas precisiones:
En defensa de su pretensión de archivo del expediente EDP hace diversas alegaciones que giran en torno a una misma idea: la existencia de un contrato de mandato representativo entre la señora B.B.B. y el reclamante para que la primera celebrara en su nombre un contrato de energía con EDP. Mandato representativo que para EDP es la base jurídica legitimadora del tratamiento que ha efectuado.
Para sustentar tal afirmación, la reclamada hace un sinfín de afirmaciones carentes de toda consistencia jurídica. Dice, por ejemplo, que “existe una relación contractual válida” entre EDP y el reclamante y justifica esa afirmación en dos elementos que, manifiesta, la Agencia consideró probados en el acuerdo de inicio: “que los datos del reclamante los obtuvo a través de la señora B.B.B. y que esta señora afirmó en varias ocasiones, en el curso de las conversaciones telefónicas, que actuaba en representación del reclamante”.
En las alegaciones a la propuesta de resolución EDP incide nuevamente sobre esta cuestión para denunciar ahora la indefensión jurídica a la que esta Agencia le ha sometido.
Así, manifiesta que “se encuentra en una situación de indefensión jurídica, ya que la propia AEPD admite acreditada el origen de los datos, aportados en la llamada en el momento de la contratación realizada por la Sra. B.B.B., resultándole sin embargo irrelevantes de cara a acreditar el debido tratamiento de los mismos, cuando es precisamente el punto de referencia que justifica la legitimación del tratamiento de los datos del Denunciante, puesto que la existencia de una relación contractual válida entre las partes queda confirmada.” Alegación segunda del escrito de alegaciones a la propuesta de resolución. (El subrayado es de la AEPD)
Pues bien, en relación con esa “indefensión jurídica” que EDP sufre hemos de precisar lo que sí dijo esta Agencia y lo que no dijo, pero EDP quiere atribuirle.
En el Fundamento Jurídico II de la propuesta de resolución apartado B (en la presente resolución, Fundamento Jurídico III), se dice que las grabaciones remitidas por EDP (Hechos probados 7 y 8) “hacen prueba, exclusivamente, de que una persona, la
señora B.B.B., manifestó insistentemente ostentar la representación del reclamante para contratar en su nombre con EDP.” Y a continuación se añade: “Las citadas grabaciones, ni acreditan que el reclamante otorgara su representación a la citada señora para contratar en su nombre el suministro eléctrico ni aportan indicio alguno en tal sentido.” Y se continúa diciendo que las “grabaciones remitidas por EDP (cuatro audios, de los que dos de ellos integran el documento 1 y los restantes el documento dos de los aportados con la respuesta a la solicitud informativa) sí prueban cuál es el origen de algunos de los datos personales del reclamante que EDP trató asociados a un contrato que él niega haber celebrado: nos referimos a los datos de nombre, apellidos y DNI del reclamante. Datos que, como se pone de manifiesto con la audición de las grabaciones, fueron proporcionados por la señora B.B.B. a EDP.” “Sin embargo, las grabaciones no explican cuál es el origen de otros datos del reclamante que EDP también trató vinculados a un contrato al que el titular de los datos personales es ajeno: su domicilio en ***LOCALIDAD.1, (...), que no coincide, como ya se ha puesto de relieve, con el del punto de suministro y el número de móvil del reclamante que EDP incorporó al ejemplar del contrato que envió a su domicilio”
Como parece obvio, en tales párrafos no se afirma otra cosa que las grabaciones de EDP demuestran que los datos del reclamante que fueron objeto de tratamiento por la entidad (excepto su domicilio y su número de móvil) proceden o tienen origen en la información que, a la luz de las grabaciones remitidas a la AEDP, le facilitó la señora B.B.B.. Esto, en contraposición a otros datos del reclamante que EDP también trató pero que no le facilitó la citada señora, pues no se mencionan en las grabaciones aportadas: el domicilio del reclamante y su número de teléfono móvil.
Pretender -como hace la reclamante- que en tales párrafos esta Agencia está reconociendo que fue el reclamante quien facilitó sus datos a la señora B.B.B. es de todo punto inadmisible.
En definitiva, cuando la Agencia manifiesta que las grabaciones aportadas son irrelevantes se está refiriendo a su falta de virtualidad para acreditar o aportar indicios de que el reclamante otorgó su representación a la señora B.B.B.. En tanto tal representación ni se acredita ni se aportan indicios de su existencia, no es posible aceptar, como la reclamante pretende, que existió una relación contractual válida entre las partes.
La reclamada, en prueba de la pretendida validez de la relación contractual entre EDP y el reclamante, ha invocado de nuevo la grabación que aportó como documento adjunto a las alegaciones al acuerdo de inicio.
Respecto a esta grabación –que como ya subrayo en su momento la Agencia no contiene fecha- EDP, sorprendentemente, aporta una novedosa información que, sin embargo, no va acompañada de su necesaria prueba. Dice ahora la entidad en su escrito de alegaciones a la propuesta -alegación segunda, párrafo tercero- que la grabación es del 10/08/2019 (dato que no figura en la grabación sonora) y que “dicho pagador, es el hijo del Denunciante conociéndole a este último como titular del contrato”
La grabación aportada por EDP con el escrito de alegaciones al acuerdo de inicio (Hecho probado décimo) -en la que la persona que llama y se identifica con los datos personales del reclamante pregunta a cuánto asciende la deuda, pues le han cortado el suministro, tras lo que el operador telefónico de la reclamada le interroga sobre el
CUPS de la vivienda y le informa del importe pendiente de abono y de la posibilidad de pago con tarjeta- no puede tener el efecto probatorio que EDP quiere atribuirle.
Xxxxx señalar a ese respecto que el tratamiento de los datos del reclamante sin legitimación para ello se inicia en mayo de 2018; que en las grabaciones se indica que el pago se hará a través de domiciliación bancaria, lo que parece que no ha ocurrido dada la situación de impago existente y que el reclamante, que recibió en su domicilio la notificación de impago conocía perfectamente el importe adeudado.
La entidad afirma también (alegación tercera de las alegaciones a la propuesta, párrafo primero) que “actuó…asegurando la identificación del anterior y nuevo titular, así como de plasmar en soporte duradero la operación realizada”
Afirmación interesante que demanda una precisión: la identificación no es la base jurídica del tratamiento, sino que los es el pretendido consentimiento del reclamante al mandato otorgado a la señora B.B.B.. Así pues, es cierto que en las grabaciones aportadas por EDP la señora B.B.B., que afirma insistentemente que ella es la representante del reclamante, facilitó a EDP, o en otras palabras, “identificó” ante EDP a su pretendido representado y facilitó su nombre, dos apellidos y NIF.
Evidentemente EDP a través de la grabación aportada -en la que la pretendida repre- sentante del reclamante lo identifica- conoce su nombre, apellidos y NIF. Pero la cues- tión relevante es otra: la acreditación de que la citada señora actuó en condición de mandataria del reclamante porque así lo acordaron ambos, lo que exige acreditar que el reclamante consintió esa representación.
Los diversos argumentos esgrimidos por EDP tienen el mismo elemento común. Omi- ten intencionadamente cualquier referencia a lo que constituye el núcleo de la conduc- ta contraria al RGPD de la que se responsabiliza a la entidad: la prueba de que el re- xxxxxxxx otorgó a la señora B.B.B. su representación para que interviniera en su nombre en la contratación con EDP.
Relacionado con lo anterior hemos de traer x xxxxxxxx otra de las interesantes afirma- ciones hechas por EDP en su defensa (que además destaca en negrilla): que “la AEPD, no sólo dificulta e inhibe el tráfico jurídico, sino que anula completamente la fi- gura del representante y del mandato, no considerando este órgano administrativo es- tas operaciones realizadas por terceros, como actos legítimos” (El subrayado es de la AEPD)
Afirmación que de nuevo parte de una premisa falsa. Esta Agencia -como no podía ser de otro modo pues está sometida al ordenamiento jurídico español- nada tiene que de- cir sobre la figura del mandato representativo
Lo decisivo es que EDP no ha acreditado que la persona que intervino en la contrata- ción, y dijo actuar como representante del reclamante, ostentaba esa representación. Lo relevante es la falta de prueba de que el reclamante -cuyos datos personales ha tratado EDP asociados a un contrato que él niega haber celebrado- hubiera otorgado su representación a la persona que intervino en la contratación y dijo actuar en tal con- dición.
La reclamada -que en sus alegaciones al acuerdo de inicio expuso con detalle las dis- posiciones del Código Civil que regulan el mandato e insistió que en nuestro C.c. rige
el principio de libertad de forma, por lo que esta Agencia no puede exigirle que el man- dato se documente- olvida que el artículo 1278 del C.c. dispone que “Los contratos se- rán obligatorios cualquiera que sea forma en que se hayan celebrado, siempre que en ellos concurran las condiciones esenciales para su validez”. Y una de estas condicio- nes es el consentimiento. Consentimiento del reclamante al mandato representativo que supuestamente había conferido a la señora B.B.B., que era condición esencial para su existencia y sobre el que EDP nada aporta y nada dice. ¡¡¡¡ ARTÍCULO CCO SOBRE LA PRUEBA DEL CONTRATO
A propósito de la falta de diligencia demostrada por EDP para verificar que la persona que le facilitó los datos personales del reclamante ostentaba su representación y que, ni siquiera con posterioridad a la llamada telefónica, realizó algún tipo de actividad para confirmar la identidad del nuevo titular EDP ha respondido en sus alegaciones a la propuesta:
“Sin embargo, esta consideración no es correcta, ya que, ni en este caso no estamos ante una contratación, ni mi mandante carece de procedimientos que regulan dichos aspectos.” Seguidamente indica:
“En primer lugar, mi mandante cuenta con un proceso xx xxxxx verificación implemen- tado para nuevas contrataciones a través de un mensaje de texto al teléfono de con- tacto facilitado conservándose el mismo como prueba de la ratificación de la contrata- ción.
En segundo lugar, este caso supone una mera modificación del titular del contrato ya suscrito con anterioridad …” (El subrayado es de la AEPD)
Alegaciones que únicamente evidencian confusión respecto a las obligaciones a la que viene sujeto el responsable del tratamiento de datos personales de terceros por la legislación específica. Las meras manifestaciones de quien afirma actuar en represen- tación de otro no pueden justificar la licitud del tratamiento ni constituyen una prueba del respeto a ese principio en el tratamiento de los datos a cuyo cumplimiento el res- ponsable viene obligado por el RGPD.
V
A fin de concretar el importe de la multa administrativa a imponer en cada caso individual, se ha de estar a las previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
“Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.”
“Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.”
Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76, “Sanciones y medidas correctivas”, dispone:
“2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
datos.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.”
A) A la luz de las normas transcritas y a fin de concretar el importe de la sanción de multa que corresponde imponer a EDP como responsable de una infracción tipificada en el artículo 83.5.a) del RGPD, parece conveniente hacer dos precisiones:
La primera, que el artículo 83.2 RGPD exige que la autoridad de control garantice que la sanción a imponer sea en cada caso “efectiva, proporcionada y disuasoria” y, la segunda, que el importe de la sanción prevista en el RGPD para las infracciones contempladas en el artículo 83.5 tiene como límite máximo la mayor de estas dos cantidades: 20.000.000 de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior. Durante el ejercicio 2017 la cifra de negocio de EDP ENERGÍA, S.A.U., ascendió a 1.297.962.000 euros, por lo que el 4% de esta cantidad asciende a 51.918.480 euros.
Si bien la pretensión principal de la reclamada ha sido el archivo de las actuaciones, en sus alegaciones al acuerdo de inicio solicitó con carácter subsidiario que se le impusiera la sanción mínima prevista para las infracciones leves. Alegato que no tiene razón de ser cuando -como aquí ocurre- la norma aplicable es el RGPD que a diferencia de la LOPD no distingue entre infracciones leves, graves y muy graves y que tampoco contempla un mecanismo equivalente al artículo 45.5 de la precitada Ley Orgánica 15/1999.
B) Sobre la procedencia de estimar alguna de las atenuantes descritas en la norma EDP adujo que para el asunto que nos ocupa “serían de aplicación la práctica totalidad de las atenuantes recogidas en el régimen sancionador”.
Sin embargo, no podemos compartir esta afirmación de la reclamada. Es más, en el presente asunto ni siquiera se estima procedente apreciar como atenuantes el hecho de que se haya visto afectada por la actuación de EDP sólo una persona o el alcance meramente local de la infracción (artículo 83.2.a)
En un supuesto como el que analizamos -en el que la entidad reclamada, para las contrataciones telemáticas en las que un tercero interviene en representación del titular de los datos, carece de un protocolo ajustado a Derecho que le permita demostrar que efectivamente ostenta esa representación- la conducta infractora no constituye un hecho puntual y aislado, el único hecho puntual es la reclamación formulada por el afectado. Así pues, no parece correcto que, el hecho de que el afectado por la conducta de la entidad sea una única persona, pueda estimarse como exponente de una menor culpabilidad o antijuridicidad de su conducta ni apreciar tampoco como atenuante el ámbito local de la infracción. La conducta contraria a la norma es fruto de un modelo de actuación a través del que EDP desarrolla su actividad y que continúa manteniendo ya que, a su juicio, resulta ajustado a Derecho, por más que resulte obvio el incumplimiento de los principios de licitud y de responsabilidad proactiva.
Tampoco cabe estimar en calidad de atenuante a favor de EDP la circunstancia descrita en el artículo 76.2.c) de la LOPDGDD, por remisión del artículo 832.k del RGPD: “Los beneficios obtenidos como consecuencia de la comisión de la infracción”.
A propósito de esta cuestión, la Audiencia Nacional, Sala de lo Contencioso Administrativo, en su SAN de 17/04/2018 (Rec. 254/2017) rechazó la pretensión de la parte demandante, sancionada por la AEPD, de que se admitiera como atenuante el artículo 45.5.e) LOPD por ausencia de beneficios. El Fundamento Jurídico tercero de la SAN dice: “En cuanto a la ausencia de beneficios, no cabe sino reiterar lo argumentado por la resolución recurrida, respecto a que lo relevante es que la actuación de Abanca sí estuvo motivada por la búsqueda de beneficio económico, por lo que el hecho de que aquél no llegara finalmente a obtenerse no puede servir de fundamento a una atenuación de culpabilidad o antijuridicidad de su conducta”. Ese ha sido también el espíritu de la SAN de 31/03/2017.
C) Se aprecia la concurrencia, en calidad de agravantes, de las circunstancias siguientes:
- La duración del tratamiento ilegítimo de los datos del reclamante efectuado por EDP. La documentación que integra el expediente revela que el tratamiento se inició el 17/05/2018 (Hecho probado 6) y se mantuvo, al menos, hasta el 15/11/2018; esto es, durante casi cinco meses. Se toma en consideración a tal fin la carta que EDP remitió al reclamante, de fecha de 15/11/2018, en respuesta a la solicitud informativa de la AEPD -Hecho probado 9- en la que se evidencia que continúa tratando los datos del afectado ya que estima que el reclamante había suscrito un contrato con ella a través de la señora B.B.B., (artículo 83.2.a, del RGPD)
- El volumen de negocio o cifra de actividad de la entidad (artículo 83.2.a, del RGPD) Estamos en presencia de una gran empresa del sector energético. El volumen total anual global del ejercicio financiero 2017 ascendió a 1.297.962.000 euros, (artículo
83.2.a del RGPD)
- El artículo 83.2.f) del RGPD menciona “el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos”. Circunstancia que asimismo opera en calidad de agravante. Aunque es cierto que EDP respondió a las solicitudes informativas de esta Agencia lo es también que, pese a que no podía acreditar la licitud del tratamiento de los datos del reclamante, pues no disponía de ningún documento que demostrara que el tercero que intervino en la contratación actuó en representación del titular de los datos -es más, está documentado a través de las grabaciones remitidas a la Agencia que el supuesto representante del reclamante ni siquiera verificó su identidad contrastándola con un documento oficial sino que se apoyó en una nota manuscrita que le facilitó quien se había identificado con los datos del afectado- decidió continuar tratando los datos del afectado, asociados a un contrato de suministro eléctrico, después de que la AEPD le hiciera el requerimiento informativo como se pone de manifiesto en la carta de fecha 15/11/2018 que dirigió al reclamante.
- El alcance del tratamiento (artículo 83.2.a, RGPD) pues los datos personales del reclamante que han sido objeto de tratamiento por EDP sin legitimación para ello fueron varios: el nombre y dos apellidos, NIF, domicilio particular y número de teléfono móvil.
- La reclamada ha actuado con una muy grave falta de diligencia, (artículo 83.2.b, del RGPD). No estamos únicamente ante una falta de diligencia en el momento de vincular los datos del reclamante a un contrato de electricidad en virtud del consentimiento otorgado por quien afirmó actuar en su representación. Como se detalla en los Fundamentos precedentes, EDP ha demostrado carecer absolutamente de un protocolo de actuación que contemplara la necesidad de recabar algún documento que hiciera prueba de la representación que se dice ostentar en las contrataciones telemáticas en las que quien contacta con la entidad afirma intervenir en representación de otra persona.
- La evidente vinculación entre la actividad empresarial de EDP y el tratamiento de datos personales de clientes o de terceros (artículo 83.2.k, del RGPD en relación con el artículo 76.2.b, de la LOPDGDD)
VI
De acuerdo con los artículos 58.2 y 83.2 del RGPD, anteriormente transcritos, las autoridades de control pueden imponer, adicionalmente a la sanción de multa, alguna de las medidas correctivas o sanciones contempladas en las letras a) a h) y j) del apartado 2 del artículo 58 del citado RGPD.
En el presente caso, habida cuenta de que la reclamada -a propósito del tratamiento de datos personales recabados en contrataciones telemáticas en las que un tercero interviene y declara ostentar la representación del titular de los datos y representado- carece por completo de un protocolo de actuación respetuoso con las obligaciones que le impone el RGPD, se acuerda, al amparo del artículo 58.2. d) del RGPD, ordenar a EDP que incorpore al protocolo de contratación que tiene implantado para las contrataciones a través de representante todos los cambios que le permitan estar en condiciones de probar ante esta Agencia que el representado, y titular de los datos, ha autorizado tal representación y la ha conferido a favor de la persona que interviene en el negocio jurídico. El plazo en el que deberá haber implementado las nuevas medidas será de un mes computado desde la fecha en la que la resolución en la que así se acuerde sea ejecutiva.
Al hilo de lo anterior se ha de traer x xxxxxxxx el artículo 83.6 RGPD que establece: “El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 de este artículo con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.>>
III
El recurso que examinamos se funda -al igual que los escritos de alegaciones presentados por la reclamada y actual recurrente en el curso del expediente sancionador- en considerar que el tratamiento de los datos personales del reclamante fue lícito por estar amparado en una de las bases jurídicas del artículo 6.1 RGPD, en particular, en el apartado b) del precepto que dice que será lícito el tratamiento que “sea necesario para la ejecución de un contrato en el que el interesado es parte”. La
recurrente sostiene que el contrato que legitima el tratamiento de los datos personales del reclamante se celebró entre ella y el reclamante en virtud de una pretendida representación que este último habría otorgado a la persona que intervino en la contratación, la señora B.B.B..
Reflejan con claridad cuál es la posición de la recurrente las afirmaciones hechas en su escrito de recurso que se reproducen en el Hecho Tercero de esta resolución.
Así pues, el núcleo del recurso, como lo fue del procedimiento sancionador, gira en torno a esta premisa de la recurrente: la existencia de un mandato representativo entre el reclamante y la señora B.B.B. por el cual cuando la señora B.B.B. contrata con la recurrente lo hace en representación del reclamante. La recurrente, a propósito de esta cuestión, expone en su recurso que el fundamento en el que la Agencia ha basado la resolución “es el de no dar por válido el mandato de la persona que realiza la contratación en nombre del Denunciante, aspecto que es, sin lugar a duda, una cuestión de naturaleza exclusivamente civil.”
Como se expuso en la resolución impugnada, la recurrente no aportó ninguna prueba que acreditara la representación que afirma ostentaba la persona que intervino en la contratación ni tampoco acreditó tener implementado un protocolo para las contrataciones telemáticas a través de representante que fuera exponente de la diligencia mínima que debe observar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos de carácter personal; por lo que a aquí interesa las que derivan del respeto a los principios de licitud y responsabilidad proactiva (artículos 6.1.b y 5.2. RGPD)
La recurrente argumenta en defensa de su pretensión que la AEPD ha negado validez a las pruebas aportadas por ella y que es sobre esta negativa sobre la que la Agencia sustenta la resolución que impugna.
Pues bien, esas pruebas, aportadas por la recurrente, que la Agencia consideró claramente insuficientes para derivar de ellas la existencia de un mandato representativo entre el reclamante y la señora B.B.B., fueron, únicamente, las siguientes:
(i) Dos grabaciones de las conversaciones mantenidas entre EDP y la señora B.B.B. con ocasión de la contratación telefónica en la que esta última afirma reiteradamente que ostenta la representación del reclamante y que contrata en su nombre. Dos grabaciones y no una debido a que durante la primera grabación la señora B.B.B. no pudo facilitar a EDP la letra del DNI de su pretendido representado -el reclamante- por lo que debió de hacer una nueva llamada en la que proporciona correctamente este dato. La explicación que ofrece a la empleada de EDP es que el dato del NIF se lo ha facilitado su supuesto representado por “escrito de la mano” y no está claro si la letra es una M o una H. (Hecho Probado séptimo)
(ii) La segunda prueba que EDP aportó a la Agencia -remitida en el trámite de alegaciones al acuerdo de inicio- es una grabación, en la que no consta la fecha, en la que una persona, que se identifica con el nombre, apellidos y NIF del reclamante, llama a EDP para preguntar cuál es el importe de las facturas pendientes de abonar, pues le han cortado el suministro por falta de pago. Esta persona, a petición del empleado de EDP, facilita un teléfono de contacto. (Hecho probado décimo) El número
que facilita resulta ser el mismo que la señora B.B.B. proporcionó a EDP durante la contratación telefónica.
No puede otorgarse a ninguno de los dos documentos facilitados por la recurrente el valor de prueba de la representación que, supuestamente, ostentaba la persona que contrató con EDP, la señora B.B.B.. Tampoco pueden valorarse esos documentos como indicios de que tal representación existió. El primero de los documentos sólo refleja la manifestación reiterada de una persona (la señora B.B.B.) que proporciona a EDP los datos personales de un tercero (el reclamante) El segundo documento, además de no constituir un indicio de la supuesta representación que la señora B.B.B. dijo ostentar, a tenor del número de teléfono que se facilita en la grabación, es más bien un indicio de que esa representación no existió.
La recurrente alega que el “mandato sin forma” está admitido en el Derecho Civil español y que la AEPD, al haberle exigido que aporte pruebas de la representación del reclamante por la señora B.B.B., está invadiendo el ámbito del Derecho Civil.
Efectivamente, el contrato de mandato, al igual que la gran mayoría de los contratos que regula el Código Civil, no está sujeto a un requisito formal para que surta efectos. El Código Civil, con pocas excepciones, consagra el principio de libertad de forma, artículo 1278. La ausencia de un requisito formal para que el negocio jurídico sea válido es cosa diferente de la prueba de su existencia.
Sin embargo, pese a lo que alega la recurrente, la resolución que se impugna no invade la esfera propia del Derecho Civil. Si compete a la recurrente acreditar la existencia de un mandato representativo del reclamante a favor de la persona que intervino en la contratación para que en su nombre diera de alta el suministro eléctrico, es en la medida en que la recurrente ha invocado como base legitimadora del tratamiento de los datos del interesado el contrato celebrado por su supuesta representante, la señora B.B.B..
Esta obligación que pesa sobre la recurrente deriva directamente de la normativa reguladora del derecho fundamental de protección de datos personales, del RGPD. Cuando el responsable del tratamiento justifica la licitud del tratamiento en que “es necesario para la ejecución de un contrato en el que el interesado es parte” (artículo 6.1.b, RGPD), es imprescindible que el responsable acredite este hecho. Es decir, que existe un contrato y que el titular del contrato es parte en él. Carga probatoria que refuerza el artículo 5.2 RGPD, que dice con claridad que el responsable del tratamiento es responsable de cumplir el principio de licitud y debe ser capaz de demostrarlo.
Así pues, la resolución impugnada no ha hecho sino verificar que EDP incumplió una obligación que le impone el artículo 6.1.b) en relación con el artículo 5.2 RGPD. Pues, habida cuenta de cuál es para la recurrente, en el supuesto que nos ocupa, la base jurídica del tratamiento –un contrato suscrito entre ella y la representante del contratante- la valoración que esta Agencia debe hacer respecto a si se ha cumplido o no el presupuesto para poder estimar que el tratamiento está fundado en el artículo
6.1.b) RGPD, tendrá que abarcar, necesariamente, la existencia del mandato representativo entre el interesado y la persona que dijo actuar en su nombre. De no ser así, como se señaló en la resolución recurrida, estaríamos vaciando de contenido la circunstancia legitimadora del tratamiento del artículo 6.1.b) RGPD.
Xxxxx también la recurrente, a propósito de la falta de diligencia que la AEPD apreció en su actuación, que “incluso en el hipotético caso de que una falta de diligencia pudiese existir, esto no supondría necesariamente la nulidad o anulabilidad del contrato (cuestión que compete en exclusiva a los jueces y tribunales del orden civil o, en su defecto, a las Autoridades de Consumo) y que, en todo caso, habría sido subsanado por el hecho de que el contrato ha sido consumado por la vía de los actos propios, consistentes en el aprovechamiento y pago de los servicios tras la celebración del contrato. Pero independientemente de todo ello, …, la anulación del contrato es una cuestión que sólo compete a los Organismos señalados y que, hasta la fecha, no ha sido instada por ninguna de las partes intervinientes, por lo que, legalmente y a todos los efectos, es un contrato válidamente celebrado”.
Son varios los elementos que la recurrente combina en esta particular argumentación. La falta de diligencia que demostró la reclamada, hoy recurrente, en el cumplimiento de las obligaciones que le impone la normativa de protección de datos es evidente. Es precisamente esa omisión toda diligencia en el cumplimiento del principio de licitud lo que permite derivar de su conducta responsabilidad administrativa sancionadora.
Por otra parte, frente a los argumentos de la recurrente, resulta obvio que la resolución recurrida no se ha pronunciado sobre la nulidad o anulabilidad de un contrato de suministro y/o de un contrato de mandato entre la señora B.B.B. y el reclamante. Ni lo ha hecho, ni lo ha pretendido, ni podría hacerlo en ningún caso por no tener competencia para ello. La Agencia se ha limitado, en uso de las competencias que le otorga el RGPD (en particular el artículo 57.1.a), a valorar los hechos y a hacer un pronunciamiento acerca de si se cumplen los presupuestos necesarios para concluir que el tratamiento de datos que la recurrente ha efectuado ha sido acorde con el principio de licitud. Y para ello, y con esta exclusiva finalidad, es necesario, en el presente caso, hacer valoraciones cuyo efecto se ciñe exclusivamente al ámbito que nos ocupa. Es en ese contexto en el que se verifica si ha quedado o no acreditada la existencia de un mandato representativo entre el interesado y la persona que dijo actuar en su nombre, la señora B.B.B..
En respuesta a lo alegado por la recurrente acerca de la convalidación del contrato anulable fruto de un supuesto consentimiento tácito a la contratación, del que serían exponente el pago de las facturas y el aprovechamiento del suministro, hemos de indicar que la convalidación que pudiera producirse por el supuesto consentimiento tácito implícito en esos actos podrá, en su caso, producir efectos en la relación entre EDP y la persona que haya disfrutado de los suministros y pagados las facturas; cuestión que queda al margen de la esfera de competencias que tiene atribuidas esta Agencia. En ningún caso tendrá efecto sobre la persona del reclamante para, por esa vía, entender acreditada la supuesta representación. Esto, porque no figura en el expediente ninguna evidencia documental acerca de una vinculación del reclamante con el punto de suministro (todo lo contrario, el reclamante manifestó en su reclamación que no tenía nada que ver con la dirección del punto de suministro) ni menos aún con el pago de las facturas.
Otro de los argumentos en los que la recurrente apoya la impugnación de la resolución recaída en el PS /00109/2019, es que en ella se ha omitido la fundamentación y motivación jurídica procedente, lo que vulnera -dice la recurrente- el artículo 35 de la
LPACAP y puede constituir un vicio determinante de la anulabilidad de la resolución.
En el Hecho Tercero de la presente resolución se reproduce con detalle este argumento de la recurrente. A modo de síntesis, diremos que la recurrente expone que la falta de motivación se manifiesta en que en la resolución dictada no indicó cuál era la norma que justificaba que la entidad debía de actuar de otro modo para que pudiera considerarse “la contratación como realizada de forma diligente”. Y dice que, tampoco recoge, “los requisitos mínimos para estar ante una actuación diligente conforme la AEPD”, “ni la causa por la que el resto de las bases legitimadoras recogidas por la normativa vigente aplicable no son consideradas aplicables en este caso”.
Empezando por la última cuestión planteada, íntimamente conectada con las demás, se debe recordar de nuevo que incumbe al responsable del tratamiento acreditar el fundamento jurídico del tratamiento de datos que lleva a cabo. Por una parte, el artículo 6.1 RGPD dice con claridad que sólo será licito el tratamiento que cumpla alguna de las condiciones que en él se relacionan y por otra, el artículo 5.2 RGPD implica que incumbe al responsable del tratamiento probar que el tratamiento efectuado fue lícito. Así pues, es a la entidad reclamada, hoy recurrente, a quien correspondía explicar y acreditar en qué circunstancia amparaba la licitud del tratamiento de los datos personales del reclamante. En ningún caso compete a esta Agencia pronunciarse sobre las razones por las cuales concurre o no alguna otra de las bases jurídicas del tratamiento descritas en el artículo 6.1 RGPD. Esto, salvo que la parte reclamada invoque su aplicación, en cuyo caso, de no ser procedente, sí deberán hacerse las oportunas reflexiones. Esto mismo es lo que sucede en la resolución recurrida respecto al fundamento del artículo 6.1.c) RGPD que la reclamada invocó. Cuestión a la que se respondió en el apartado D, del Fundamento de Derecho III de la resolución.
Xxxxxxx la recurrente en su argumentación que la Agencia no ha especificado cuáles son los requisitos para poder considerar “la contratación como realizada de forma diligente”.
De nuevo es preciso diferenciar el ámbito propio del Derecho Civil y Mercantil, en el que se desenvuelve la contratación, y el ámbito propio de la normativa de protección de datos. Es la normativa específica de protección de datos la que obliga a la recurrente, por su condición de responsable del tratamiento de los datos objeto de la reclamación, a acreditar que respetó el principio de licitud (artículo 5.1.a RGPD). Y si, como aquí acontece, la reclamada, hoy recurrente, invoca que la base jurídica es un contrato en el que el titular de los datos ha sido parte, será necesario que acredite tal extremo: La existencia del contrato y la condición de parte contratante del titular de los datos personales que fueron objeto del tratamiento. Resulta obvio que, si la contratación se celebra con una tercera persona que afirma intervenir en representación del titular de los datos, la documentación que acredite la contratación por el titular de los datos personales deberá reflejar su voluntad en tal sentido. No es posible atribuir validez a la documentación que se limita a recoger la manifestación de la persona que interviene y afirma ser su representante.
La cuestión no gira, por tanto, sobre los requisitos del contrato, como da a entender la recurrente, sino sobre la acreditación de aquellos elementos que integran la circunstancia del artículo 6.1.b) RGPD: que existió un contrato y que el titular de los
datos era parte en dicho contrato. Paralelamente debemos recordar que el RGPD da un nuevo enfoque a las medidas que debe adoptar el responsable del tratamiento. Así, impone al responsable la obligación de adoptar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento fue conforme al Reglamento; medidas que deben ser revisadas y actualizadas por el responsable. Estas medidas debe adoptarlas tanto cuando determine los medios del tratamiento como en el momento del tratamiento y con este fin se impone al responsable la obligación de llevar un registro de actividades de tratamiento (artículos 24, 25 y 30 del RGPD).
Resulta muy esclarecedora la información que proporcionan diversos Considerandos del RGPD. El Considerando 74 dice “Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.”
El Considerando 76 dice “La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”
La recurrente, refuerza su argumentación invocando el artículo 4 de la LOPDGDD y manifiesta que, en tanto se presume la buena fe contractual, no le es imputable -en su condición de responsable del tratamiento– la inexactitud de los datos personales cuando la información que le facilitó el representante no es correcta o adecuada, “siendo responsabilidad xxx xxxxxxx que facilita datos, en línea con lo que establece el CC, así como por la jurisprudencia del Tribunal Supremo referenciada en el presente escrito”
Las consecuencias jurídicas que pudieran derivarse para el tercero que interviene en una contratación afirmando actuar como representante de la persona cuyos datos facilita y que figura como su titular del contrato, pertenece a otros ámbitos del Derecho distintos del específico de protección de datos. Por otra parte, el artículo 4 LOPDGDD que la recurrente aduce dispone en su apartado 2 que “A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable el tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fineas para los que se trataron, cuando los datos inexactos: a) Hubiesen sido obtenidos por el responsable directamente del afectado (...)”. Así pues, el precepto invocado no resulta aplicable al supuesto que nos ocupa.
La alegación tercera del recurso versa sobre “la no aplicabilidad de la jurisprudencia” que se invocó en la resolución impugnada. La recurrente afirma que “mucha de la jurisprudencia mencionada” en la resolución no es aplicable, porque “el contexto y el supuesto sobre el que versan las mencionadas sentencias no son análogos, ni ligeramente parecidos” a los que nos ocupan. La recurrente hace referencia en
particular a cuatro sentencias.
Este argumento, sin embargo, no puede prosperar. Las cuatro sentencias que la recurrente menciona han sido citadas con total sentido en el contexto de la resolución:
La STC 76/1999, se citó en la resolución como exponente del principio de culpabilidad que rige en el Derecho Administrativo sancionador. Lo relevante es la afirmación que sobre la vigencia de este principio hace en ella el Tribunal Constitucional.
La STC 292/2000 se mencionó con el propósito de argumentar que la norma habilitante a la que se refiere el artículo 6.1.c) RGPD debe de ser una norma con rango formal xx xxx. Se menciona, también, con idéntica finalidad, el artículo 10.2 del Reglamento de desarrollo de la anterior Ley Orgánica 15/1999, de Protección de Datos (LOPD).
La SAN de 30/05/2015 (Rec. 163/2014) se citó con ocasión del examen de la culpabilidad apreciada en la actuación de la entidad reclamada, hoy recurrente. Como se indica en la resolución, su cita tiene por finalidad reflejar las características del elemento de la “reprochabilidad” de una conducta respecto a las personas jurídicas.
Por lo que atañe a la “XXX xx 00/00/0000”, xx xx que se transcribió un fragmento en la resolución, está igualmente justificada su cita. Basta indicar que, efectivamente, la fecha de la cita es incorrecta. La sentencia se dictó por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, sección 1ª, el 26/04/2002 en el recurso 895/2009.
Entre las funciones que el RGPD atribuye a la autoridad de control, AEPD, figura (artículo 57 RGPD) la de “controlar la aplicación del presente Reglamento y hacerlo aplicar”. Por tanto, compete a la AEPD examinar y valorar -exclusivamente a los efectos de precepto indicado- si respecto a los hechos objeto de la reclamación concurren los elementos necesarios para poder admitir como base jurídica del tratamiento la circunstancia descrita en el artículo 6.1.b) RGPD. En la resolución que se impugna, valorados todos los elementos puestos de manifiesto en el expediente, la AEPD concluyó que la entonces reclamada trató los datos del reclamante -tratamiento concretado en el alta de un contrato de suministro eléctrico a su nombre- con infracción del principio de licitud, pues no había acreditado que la tercera persona que intervino en la contratación (la señora B.B.B.) actuara, tal y como la reclamada, actual recurrente, sostiene, en nombre y representación del reclamante.
Examinados los argumentos que esgrime la recurrente en su escrito de recurso, se concluye que éstos carecen de aptitud para alterar las conclusiones, debidamente fundadas, que se adoptaron en la resolución que se impugna.
IV
Debido a razones de funcionamiento del órgano administrativo, por ende, no atribuibles al recurrente, hasta el día de la fecha no se ha emitido el preceptivo pronunciamiento de esta Agencia respecto a su pretensión impugnatoria de la resolución dictada en el PS/00109/2019.
De acuerdo con lo establecido en el artículo 24 de LPACAP, el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio.
Con todo, y a pesar del tiempo transcurrido, la Administración está obligada a dictar resolución expresa y a notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, según dispone el artículo 21.1 de la citada LPACAP. Por tanto, procede emitir la resolución que finalice el procedimiento del recurso de reposición interpuesto.
V
En consecuencia, en el presente recurso de reposición, el recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por EDP ENERGÍA, S.A.U., con NIF A33543547, contra la resolución de esta Agencia Española de Protección de Datos, dictada el 23 de diciembre de 2019, en el procedimiento sancionador PS/00109/2019.
SEGUNDO: NOTIFICAR la presente resolución a la entidad EDP ENERGÍA, S.A.U., con NIF A3354354.
TERCERO: Advertir a la sancionada que la sanción impuesta deberá hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), los interesados podrán interponer recurso contencioso- administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [xxxxx://xxxxxxxx.xxx.xx/xxxx-xxxxxxxxxxx-xxx/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Xxxxx
Directora de la Agencia Española de Protección de Datos