HECHOS

Procedimiento nº.: PS/00441/2016

ASUNTO: Recurso de Reposición Nº RR/00409/2017

Examinado el recurso de reposición interpuesto por la entidad TELENET CENTRAL LOGISTICA, S.A. contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00441/2016, y en base a los siguientes,

HECHOS

PRIMERO: Con fecha 23 xx xxxxx de 2017, se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00441/2016 , en virtud de la cual se imponía a la entidad TELENET CENTRAL LOGISTICA, S.A., una sanción de 20.000 € (veinte mil euros), por la vulneración de lo dispuesto en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como leve en el artículo 44.2.d), de conformidad con lo establecido en el artículo 45.1, 4 y 5 de la citada Ley Orgánica.

Dicha resolución, que fue notificada al recurrente en fecha 27 xx xxxxx de 2017, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00441/2016, quedó constancia de los siguientes:

<<PRIMERO: Vodafone suscribió con Telenet el día 1 xx xxxxx de 2014 contrato de distribución mayorista no exclusiva, que no ha sufrido cambios, si bien se renueva anualmente manteniendo la misma estructura cambiando las condiciones económicas. El contrato tiene por objeto la compra por parte del mayorista a Vodafone de productos asociados a los servicios de comunicaciones electrónicas móviles del operador, a fin de proceder a su posterior distribución y venta a PVM (puntos de venta minorista), en las condiciones establecidas en el citado contrato, entre otras, se estipula lo siguiente:

"QUINTA. Características de la actividad.

5.7 El MAYORISTA deberá hacer llegar a los PVM con los que trabaje todos los comunicados que VODAFONE genere para su canal de distribución (…).

DECIMOPRIMERA. Cumplimiento de la normativa aplicable.

11.1. VODAFONE y el MAYORISTA deberán cumplir la normativa vigente que les sea de aplicación, con especial mención a la Ley Orgánica 15/1999, al Real Decreto 1720/2007, así como cualquier otra normativa vigente en cada momento (…).

11.3. Asimismo, el mayorista dará traslado de todas las obligaciones en materia

de protección de datos a los PVM a los que suministre para lo cual, y con carácter previo a la entrega de las Tarjetas de Prepago y Packs suscribirá con cada uno de ellos un contrato de tratamiento de datos de conformidad con el modelo que se adjunta Anexo III (…).

11.4. En cumplimiento de la Ley 25/2007, el mayorista deberá cumplir con las instrucciones que VODAFONE le comunique y que se adjuntan al Anexo II, relativas con las obligaciones de la identificación presencial y recogida de datos de los clientes, (…) recogida de los datos personales en nombre y por cuenta de VODAFONE.

En cuanto a los datos que el MAYORISTA recabe en cumplimiento de la citada Ley, este únicamente tratara los mismos con la finalidad de llevar acabo su recogida en nombre y por cuenta de Vodafone, aplicando las medidas de seguridad adecuadas que cumplan los requisitos establecidos en el artículo 9 de la LOPD, así como del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD) para el tratamiento de ficheros de Nivel Básico de Seguridad y, en concreto, las medidas de seguridad definidas en el Anexo V del presente contrato.

El MAYORISTA no podrá realizar, ni siquiera a efectos de conservación, copias de los datos de carácter personal facilitados por los compradores en cumplimiento de las obligaciones de identificación presencial, en ningún soporte documental, físico o electrónico, y no podrá comunicarlos a ningún tercero.

(…)

ANEXO II. RECOGIDA DE DATOS. CONTRATO DE DISTRIBUCIÓN MAYORISTA

El presente anexo contiene las instrucciones relativas al cumplimiento de la Disposición Adicional Única de la Ley 25/2007, respecto de (i) la identificación presencial y recogida de datos de los Clientes que adquieran una Tarjeta de Prepago o un Pack de Prepago con carácter previo a la venta y (ii) la información a los mismos en los términos descritos en la citada Ley, todo ello de conformidad con lo dispuesto en la cláusula 11.2 del Contrato de Distribución Mayorista del que este anexo trae causa.

PRIMERA Identificación presencial y recogida de datos del cliente/comprador

1. El MAYORISTA deberá trasladar al PVM, mediante la suscripción de un acuerdo que recoja las obligaciones relacionadas en el presente anexo, la obligación imprescindible de identificar PRESENCIALMENTE al Cliente/Comprador mediante su tarjeta identificativa original. (El subrayado es de la Agencia)

La documentación a presentar por las personas físicas, según su nacionalidad y situación, es la siguiente:

- Para nacionales españoles: DNI o NIE.

- Para ciudadanos de la Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte

- Para ciudadanos de fuera de la Comunidad Europea: Pasaporte o NIE

2. Asimismo, el MAYORISTA deberá indicar al PVM el procedimiento que se deberá seguir para recoger datos y activar la tarjeta de forma correcta.

Los datos se deberán recoger en PVM a través de la herramienta informática IRIS o a través de la herramienta Web Service, habilitada en la Web del MAYORISTA. Será obligatorio comprobar que los datos proporcionados por el Cliente/Comprador y grabados en el sistema se corresponden con la documentación proporcionada (…).

En relación con la utilización de la herramienta Web Service, y dado que a través de la misma el MAYORISTA podrá tener acceso a datos de carácter personal, además de cumplir con lo previsto en el Contrato del que el presente Anexo es parte inseparable e implementar las Medidas de Seguridad que resulten pertinentes (…).

SEGUNDA: Datos a recabar de los compradores de servicios prepago

1. PERSONAS FÍSICAS

El MAYORISTA deberá trasladar al PVM la obligación de recabar los siguientes datos de carácter obligatorio: Nombre, Apellidos, Nacionalidad, Tipo y número de Documento (DNI, NIF, Pasaporte, Tarjeta Residencia).

2. PERSONAS JURÍDICAS

El MAYORISTA deberá trasladar al PVM la obligación de recabar los siguientes datos de carácter obligatorio: Razón social, Tipo y número de Documento de identificación fiscal y Domicilio completo.

TERCERA. Impresión y firma a solicitud del cliente

En el caso de que el cliente lo solicite, se imprimirá una única copia de la documentación y se entregara al Cliente/Comprador, sin que el PVM pueda quedarse con una copia.

(ANEXO III AL CONTRATO DE DISTRIBUCIÓN MAYORISTA) MODELO DE CONTRATO DE TRATAMIENTO DE DATOS

REUNIDOS

De una parte, D. xxxxxxxxxx, mayores de edad, que actúan en nombre y representación de xxxxxxxxx (en adelante, "xxxxxxxx") con CIF. xxxxxxx y domicilio en xxxxxxxxxxxx (Madrid) en virtud del poder de representación otorgado ante el Notario de xxxxxxxxxx D.xxxxxxxxxxxx, en fecha xxxxxx xx xxxxx de xxxxxxxx, al número xxxxxxxx de su protocolo y en fecha x de xxxxxxx de xxxxxx, al número xxxxx de su protocolo, respectivamente

Y de otra parte, D. xxxxxxxx, mayor de edad, que actúa en nombre y representación de xxxxxxxxxxxxx (en adelante, "xxxxxxx"), empresa con domicilio social en xxxxxxxxxx en calidad de xxxxxxxxxxxxxxxxx y domicilio profesional en xxxxxxxxxxxxx.

EXPONEN

I.Que el MAYORISTA y VODAFONE han suscrito un Contrato de Distribución Mayorista no Exclusiva de VODAFONE (en adelante, "el Contrato") por medio del cual el MAYORISTA compra productos asociados a los servicios de comunicaciones electrónicas móviles prepago de VODAFONE a fin de proceder a su posterior distribución y venta a Puntos de Venta minoristas.

II.- Que para la correcta prestación del servicio, se requerirá el acceso a datos de carácter personal de VODAFONE, acceso que se llevará a cabo por parte del MAYORISTA. Sin embargo, y puesto que el MAYORISTA distribuye los productos entre los Puntos de Venta minoristas estos necesitarán, para la correcta prestación del servicio, acceso a datos titularidad de VODAFONE.

III.- Que como consecuencia de lo anterior, VODAFONE autoriza al MAYORISTA a actuar en su nombre y representación, por lo que, el MAYORISTA y el Punto de Venta minorista desean suscribir el presente Contrato de conformidad con las siguientes

CLÁUSULAS

I - Objeto

Dando cumplimiento al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), es objeto del presente Contrato la determinación por parte del MAYORISTA de las medidas de seguridad que el Punto de Venta minorista como "Encargado del Tratamiento", deberá adoptar en el acceso y tratamiento de los datos personales de Xxxxx Xxxxxx titularidad de que llevará a cabo para prestar el Servicio previsto en el Expositivo I. así como la garantía por parte del Punto de Venta minorista de cumplir con la normativa vigente en materia de Protección de Datos Personales y, especialmente lo dispuesto por la LOPD y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante, "RLOPD").

II.- Encargado del Tratamiento

En ningún caso se entenderá la prestación del Servicio que realice el Punto de Venta minorista a favor del MAYORISTA como una cesión de datos sino como un “Encargo de Tratamiento" del Punto de Venta minorista al MAYORISTA en los términos previstos en el artículo 12 de la LOPD.

El Punto de Venta minorista declara conocer que el Fichero al que tiene acceso contiene datos personales y. como "Encargado del Tratamiento" de los mismos, se compromete a actuar en todo momento conforme a las instrucciones del MAYORISTA, así como a lo dispuesto en la normativa que le resulte aplicable en materia de protección de datos personales.

El Punto de Venta minorista como "Encargado del Tratamiento", se compromete a no aplicar ni utilizar los datos personales que figuran en dichos Ficheros para objeto o fin distinto al que estrictamente figure en el contrato de prestación de servicios firmado.

Ill - Medidas de Seguridad

El Punto de Venta minorista se compromete a implantar todas las medidas de seguridad que el RLOPD establece para el tratamiento de ficheros de Nivel Básico de Seguridad y, en concreto, las medidas de seguridad exigibles de índole técnica, legales y organizativas que aparecen definidas y enumeradas en los artículos 89 a 94, ambos inclusive, del RLOPD, respecto a ficheros automatizados y los artículos 105 a 108, ambos inclusive, del citado RLOPD para aquellos datos que se encuentren en ficheros no automatizados en caso de que el servicio prestado por el Punto de Venta minorista requiera acceso a este tipo de ficheros.

IV - Deber de Confidencialidad

El personal del Punto de Venta minorista que tenga acceso a los datos personales objeto de tratamiento deberá ser informado acerca de su índole confidencial y de sus responsabilidades. Esta obligación de confidencialidad será notificada por el Punto de Venta minorista a los empleados que intervengan en alguna medida en la ejecución de este contrato.

El punto de venta minorista garantiza que únicamente accederán a dichos ficheros las personas cuya labor sea fundamental para la prestación del servicio objeto de tratamiento.

V.- Prohibición de Comunicación de Datos Personales

El punto de venta minorista se compromete a guardar bajo su control y custodia todos los datos de carácter personal a los que acceda con motivo de la prestación del Servicio objeto de encargo y a no divulgar, transferir, o de cualquier forma comunicar, ni siquiera para su conservación a otras personas, en todo o en parte, los datos contenidos en los ficheros, siendo responsable de cualquier reproducción o utilización ilegítima de los mismos.

El Punto de Venta minorista no podrá subcontratar el servicio objeto del presente contrato en todo o en parte a ningún tercero.

VII.- Obligación de Devolución de los Datos

Una vez cumplida la prestación del servicio, el Punto de Venta minorista se compromete a destruir o devolver, según la preferencia del MAYORISTA, aquella información que contenga datos de carácter personal que haya sido facilitada con motivo de la prestación del Servicio, u obtenida por el Punto de Venta minorista como "Encargado de Tratamiento" cualquiera que fuera el soporte en el que conste, lo que acreditará al Punto de Venta minorista mediante la firma de un documento que será remitido al MAYORISTA una vez destruida o devuelta al MAYORISTA toda la información, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

VIII - Copias de Seguridad

El Punto de Venta minorista se compromete a no copiar o reproducir la información facilitada, salvo cuando sea necesario para su tratamiento o para implantar las medidas de seguridad a las que está legalmente obligada como Encargada del Tratamiento.

En este último supuesto, cada una de las copias o reproducciones estará sometida a los mismos compromisos y obligaciones que se establecen en la presente cláusula, debiendo ser destruidas o devueltas, conforme se indica en el apartado anterior.

IX.- Responsabilidades

El Punto de Venta minorista se obliga a mantener indemne al MAYORISTA frente a cualquier reclamación que pueda ser interpuesta (en especial, en caso de apertura de cualquier tipo de expediente por la Agencia Espańola de Protección de Datos) por el incumplimiento por el Punto de Venta minorista de la legislación sobre Protección de Datos de Carácter Personal

y. en especial, de las garantías recogidas en este contrato, y acepta pagar la cantidad a la que en concepto de sanción, multa, indemnización, dańos, perjuicios e intereses por las que puedan ser condenadas, incluyendo honorarios razonables de abogados, con motivo del citado incumplimiento, sin perjuicio de que el MAYORISTA pueda ser obligado a atender la reclamación directamente.

En el caso de que el Punto de Venta minorista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

El incumplimiento de las medidas de seguridad por parte del Punto de Venta Minorista facultará al mayorista a resolver el contrato y a exigir a ésta la indemnización por dańos y perjuicios que, en su caso corresponda.

X.- Verificación del cumplimiento por el responsable

El Mayorista se reserva la facultad de auditar, sin previo aviso, los sistemas e instalaciones del Punto de Venta Minorista, a los únicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente contrato.

El Punto de Venta Minorista acepta dicha facultad del mayorista y pondrá a disposición la ayuda y colaboración necesaria para llevar a cabo dicha comprobación.

Y en prueba de conformidad con cuanto antecede y con voluntad de obligarse, las partes firman el presente documento por duplicado y a un solo efecto, en el lugar y fecha expresados a continuación

a de de 2014

Por el Mayorista Por el Punto de Venta Minorista

D. D.

ANEXO IV. ESPECIFICACIONES EN MATERIA DE SEGURIDAD, FRAUDE Y PROTECCIÓN DE LA INFORMACIÓN. CONTRATO DE DISTRIBUCIÓN MAYORISTA.

ANEXO A: Acuerdo de confidencialidad individual.

ANEXO B: Normas y procedimientos de seguridad.

ANEXO V: MEDIDAS DE SEGURIDAD DE NIVEL BÃSICO.

El presente anexo, contiene las Medidas de Seguridad que el MAYORISTA, en su condición de Encargado del Tratamiento deberá cumplir de conformidad con los previsto en la Ley Orgánica 15/1999 y el Real Decreto 1720/2007, respecto de los datos de carácter personal a los que tenga acceso de manera, tanto automatizada, como en papel y que sean datos responsabilidad de VODAFONE." (Folios 23-88, 93-122)

SEGUNDO: La operadora Vodafone facilita el acceso a sus sistemas de los PVM a través de Web Services de los mayoristas, los PVM introducen los datos necesarios del comprador de un servicio prepago para proceder a su activación. Al acceder a la web del mayorista se visualiza una leyenda, que deben aceptar, donde se les recuerda la información de recabar los datos correctamente y verificar la identidad del comprador y textualmente lo siguiente:

""Condiciones legales

Acepto la utilización de la herramienta “Vodafone WAS” para registrar la venta de productos prepago Vodafone, y para ello me comprometo a incorporar únicamente los datos de comprador solicitados en el apartado activación

Los datos obligatorios para las personas físicas son: nombre, apellidos, nacionalidad, tipo y número de documento (DNI, NIF, Pasaporte, Tarjeta Residencia).

Adicionalmente, es obligatorio IDENTIFICAR PRESENCIALMENTE al comprador mediante la documentación original solicitada en cada caso, y comprobar que los datos proporcionados por el comprador y grabados en “Vodafone WAS” son correctos, veraces y están actualizados y se corresponden con la documentación proporcionada. (…).

Me comprometo hacer un buen uso de la información recabada de los compradores y que he registrado en la herramienta “Vodafone WAS”.

Para aceptar las condiciones legales introduce tu contraseña y pincha en el botón ACEPTAR.

Aceptar Rechazar ""

También, los PVM que no disponen de acceso a internet, por lo que no pueden acceder a la web service del mayorista, Vodafone proporciona la posibilidad de facilitar los datos de los clientes a través de una plataforma telefónica (Folios 23-88, 93-122, 144-149)

TERCERO: Añade la operadora que periódicamente se recuerda a los Mayoristas la obligatoriedad de acreditar la identidad de los compradores a través de reuniones y del envío de correos electrónicos, adjuntan el enviado en mayo de 2015 Comunicad Vodafone Identificación de clientes en PdV, en el que se reitera la correcta identificación

presencial de los clientes y trasladar dichos aspectos al PVM mediante la suscripción de un acuerdo (Folios 23-88, 144-149)

CUARTO: En relación con las obligaciones de supervisión, control y depuración de datos inexactos o incompletos que Vodafone realiza a Telenet y/o minoristas manifiesta la entidad lo siguiente: De manera previa a la activación de cualquier servicio en la modalidad de prepago, los sistemas de Vodafone verifican que los datos de identificación fiscal (NIF/NIE) son correctos. Si no lo son el sistema no deja seguir con la activación. De forma periódica, Vodafone a través de su departamento de Fraude, Riesgo y Seguridad, hace auditorias de los datos introducidos por los mayoristas y/o los PVM de tal forma que si detecta alguna irregularidad en algún PVM, desde Vodafone exigen al mayorista que corte el acceso a los Sistemas de Vodafone. En algunos casos, se llega a sancionar al mayorista en caso de que no haya puesto las medidas de control correctas exigidas por Vodafone, en el presente caso, a Telenet nunca ha sido necesario proceder a una sanción hasta la fecha. (Folios 23-88, 144-149)

QUINTO: Las líneas prepago contratadas a través del mayorista Telenet, de las que Vodafone dispone de los datos exigidos por la normativa (Disposición Adicional Única de la Ley 25/2007, de 18 de octubre, de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones) son los siguientes:

V.V.V.: Servicio activado el 24 xx xxxxx de 2014, portado al operador Amena el

15 de febrero de 2015, titular K.K.K. y nacionalidad española. Este servicio fue adquirido por el mayorista Telenet y fue vendido al comprador en el PVM (en adelante PVM) C.C.C..

Z.Z.Z.: Servicio activado el 17 xx xxxxx de 2014, dado de baja por expiración el 26 xx xxxxx de 2015, titular J.J.J. y nacionalidad española. Este servicio fue adquirido por el mayorista Telenet y fue vendido al comprador en el PVM Compañía Europea de Distribución de Teléfonos y sus Accesorios, S.L. (Cedtysa).

U.U.U.: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 00 xx xxxxx xx 0000, xx xxxxxxx datos del comprador. Este servicio fue adquirido por el mayorista Telenet, y fue vendido al comprador en el PVM Cedtysa, S.L.

A.A.2.: Servicio activado el 00 xx xxxx xx 0000, xxxx xx xxxx por expiración el 4 xx xxxx de 2015, titular F.F.F. y nacionalidad española. Este servicio fue adquirido por el mayorista Telenet y fue vendido al comprador en el PVM Telecomunicaciones Llamaya, S.L.

X.X.X.: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 5 xx xxxxx de 2015, titular D.D.D. y nacionalidad española. Este servicio fue adquirido por el mayorista Xxxxxxx y fue vendido al comprador en el PVM Tecnogazul, S.L.

A.A.1.: Servicio activado el 2 xx xxxxx de 2014, dado de baja por expiración el 26 de febrero de 2015, titular I.I.I. y nacionalidad española. Este servicio fue adquirido por el mayorista Telenet y fue vendido al comprador en el PVM Telecomunicaciones Animada, S.L.

A.A.0.: Servicio activado el 4 xx xxxxx de 2014, dado de baja por expiración el 00

xx xxxx xx 0000, xx xxxxxxx datos del comprador. Este servicio fue adquirido por el mayorista Telenet y fue vendido al comprador en el PVM Electrodomésticos Montsia, S.L.

Y.Y.Y.: Servicio activado el 30 xx xxxxx de 2014, dado de baja por expiración el 12 xx xxxx de 2015, titular E.E.E. y nacionalidad española. Este servicio fue adquirido por el mayorista Xxxxxxx y fue vendido al comprador en el PVM G.G.G. (Folios 6-9, 144- 145)

SEXTO: Telenet ha informado (entrada 24/05/16) a la Inspección de Datos en relación con la contratación de líneas prepago del operador Vodafone por parte de minoristas lo siguiente: Que tienen suscrito con la operadora Vodafone contrato de distribución mayorista no exclusiva Vodafone que coincide con el aportado por la operadora. Que Telenet suscribe con los minorista un Contrato de distribución mayorista y tratamiento de datos, en el que se detallan los aspectos contemplados en el artículo 12 de la Ley Orgánica 15/1999, y el Real Decreto 1720/2007.

---Con respecto al procedimiento mediante el cual los PVM dan de alta a los clientes éste se realiza mediante el acceso a la herramienta de activación de clientes de Vodafone (denominada WAS), se visualiza la pantalla con las condiciones legales que el PVM debe de aceptar mediante firma con contraseña para continuar con el proceso, y cumplimentan los datos obligatorios que la operadora ha habilitado a tal efecto y que son los siguientes: Tipo de documento (NIF, Pasaporte, Tarjeta de residente); Número de documento de identidad; Nacionalidad; Nombre, Primer apellido; Fecha de nacimiento. Una vez completados dichos datos obligatorios, la herramienta WAS verifica que son correctos y acepta o rechaza la activación, quedando registrados en la base de datos de Vodafone. (Folios 91-92, 148-149)

SEPTIMO: Telenet –igualmente informa a la Inspección- en relación con las líneas prepago que han remitido SMS´s al denunciante (PS/00518/2015), y que actuó como mayorista lo siguiente:

V.V.V.: Servicio activado el 24 xx xxxxx de 2014, titular H.H.H., con nacionalidad de Paraguay y pasaporte O.O.O..

Z.Z.Z.: Servicio activado el 17 xx xxxxx de 2014, titular A.A.A., con nacionalidad Estados Unidos y pasaporte S.S.S..

U.U.U.: Servicio activado el 24 xx xxxxx de 2014, titular B.B.B., nacionalidad Argentina y pasaporte Q.Q.Q..

A.A.2.: Servicio activado el 29 xx xxxx de 2014, titular X.X.X.xxx, nacionalidad española y pasaporte R.R.R..

X.X.X.: Servicio activado el 24 xx xxxxx de 2014, titular D.D.D., con nacionalidad Puerto Rico y pasaporte P.P.P..

A.A.1.: Servicio activado el 2 xx xxxxx de 2014, titular I.I.I., con nacionalidad española y pasaporte N.N.N..

A.A.0.: Servicio activado el 4 xx xxxxx de 2014, titular L.L.L., con nacionalidad

Colombia y pasaporte M.M.M..

Y.Y.Y.: Servicio activado el 30 xx xxxxx de 2014, titular E.E.E., nacionalidad Chile y pasaporte T.T.T..

Se ha verificado que difieren los datos personales de los titulares de las ocho líneas y, en concreto, en los siguientes aspectos:

-La fecha de activación coincide en todas las líneas.

-TELENET dispone de nombre y apellidos de todas las líneas y VODAFONE en dos de ellos no les constan datos de los titulares.

-La nacionalidad solo coincide en dos líneas siendo diferente en cuatro.

-El número de documento consta en las ocho líneas en TELENET, si bien en dos de ellas la nacionalidad es española y el número de pasaporte es de “10” dígitos. En VODAFONE no consta en ninguna de las líneas el número de documento.

La Dirección General de la Policía ha comunicado a la AEPD que en ningún caso la numeración del pasaporte español ha podido estar constituida por diez cifras, según escrito de fecha 4 de diciembre de 2014, cuya copia se anexa a la Diligencia de fecha 6 de julio de 2016. (Folios 133-140, 148-149)

OCTAVO: Con fecha 11/11/16 se inició el período de práctica de pruebas y entre otras se acordó: 2. Se requiere a Telenet Central Logística SA para que en el plazo xx xxxx días aporte a este procedimiento los documentos necesarios que acredita ante esta AEPD las instrucciones dadas a los minoristas con objeto de acreditar fehacientemente la identidad del cliente que contrata los servicios de telecomunicaciones de Vodafone; las instrucciones dadas a los minoristas sobre acceso y tratamiento de datos personales en el sistema de Vodafone; y las obligaciones de supervisión y control. Igualmente se le requiere para que -en ese mismo plazo- aporte copia de los contratos suscritos en el periodo xx xxxx a diciembre de 2014, las prórrogas de los mismos en periodos posteriores –si hubiere- o, en su caso, los contratos suscritos hasta la fecha o al término de la relación contractual, con los minoristas (PVM) siguientes.

C.C.C..

Compañía Europea de Distribución de Teléfonos y sus Accesorios SL Telecomunicaciones Llamaya SL

Tecnogazul SL Telecomunicaciones Animada SL Electrodomésticos Montsia SL

G.G.G.. (Folio 168)

NOVENO: En su respuesta la denunciada hace recordatorio de lo dicho en su escrito de alegaciones. Adjunta impresión de una recreación informativa de los pasos a seguir por los puntos de venta minorista en la plataforma de Vodafone para dar de alta a los compradores prepago. No aporta los contratos requeridos. (Folios 169-178)

TERCERO: TELENET CENTRAL LOGISTICA, S.A. ha presentado en fecha 25 xx xxxxx de 2017 en el servicio de Correos, con fecha de entrada en esta Agencia Española de Protección de Datos el 03/05/20217, recurso de reposición fundamentándolo, básicamente, en las alegaciones formuladas en el procedimiento cuya resolución es objeto del citado recurso.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo LPACAP).

II

En relación con las manifestaciones efectuadas por TELENET CENTRAL LOGISTICA, S.A., reiterándose básicamente, en las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en los Fundamentos de Derecho del II al IV ambos inclusive, de la Resolución recurrida, tal como se transcribe a continuación:

<<II

La LOPD dispone:

"Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal

deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente."

En el artículo 44 de la LOPD se establecen los tipos de infracciones:

"1. Las infracciones se calificarán como leves, graves o muy graves.

2. Son infracciones leves:

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley."

En el artículo 45.1 de la citada Ley Orgánica se establece la infracción leve puede ser sancionada con multa de 900 a 40.000 euros.

III

Telenet, la entidad investigada como responsable de la infracción arriba descrita, está obligada por el contrato suscrito con Vodafone, en el desarrollo de su actividad de distribución como mayorista con los PVM (punto de venta minorista) de un producto. Este producto consiste en una tarjeta prepago para telefonia móvil que al ser adquirida debe ser registrada en la red de Vodafone, asociada a los datos personales y de identidad de la persona adquirente para su activación y uso posterior.

Debido a dicho tratamiento de datos de carácter personal necesarios conforme a la normativa en vigor el mayorista Telenet está obligado al distribuir el producto a celebrar con el minorista un contrato que regule la realización de ese tratamiento por cuenta de un tercero siguiendo las instrucciones del responsable (Vodafone) y que no podrá hacerlo para fin distinto, ni comunicará otra persona. Además ese contrato debe

establecer las medidas de seguridad (art 9 LOPD) que el encargado (PVM) está obligado a implementar.

Telenet no ha acreditado la celebración por escrito de ese contrato con sus minoristas, ni en concreto con los cuatro minoristas requeridos, por lo que se considera que ha infringido el art 12 de la LOPD, en su apartado 2. Dicha infracción está tipificada como infracción leve en el art 44.3.d) de la misma ley orgánica.”

III

Por lo tanto, en el presente recurso de reposición, TELENET CENTRAL LOGISTICA, S.A. no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por TELENET CENTRAL LOGISTICA, S.A. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 23 xx xxxxx de 2017, en el procedimiento sancionador PS/00441/2016.

SEGUNDO: NOTIFICAR la presente resolución a la entidad TELENET CENTRAL LOGISTICA, S.A..

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.

Mar España Xxxxx

Directora de la Agencia Española de Protección de Datos