HECHOS

Procedimiento nº.: PS/00219/2017

ASUNTO: Recurso de Reposición Nº RR/00272/2018

Examinado el recurso de reposición interpuesto por la entidad FACEBOOK INC. contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00219/2017, y en base a los siguientes

HECHOS

PRIMERO: Con fecha 2 xx xxxxx de 2018, se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00219/2017, en virtud de la cual se imponía a FACEBOOK INC. una sanción de 300.000 euros (trescientos mil euros), por la vulneración de lo dispuesto en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como grave en el artículo 44.3.b), de conformidad con lo establecido en el artículo

45.2 y 4 de la citada Ley Orgánica.

Dicha resolución, que fue notificada al recurrente en fecha 02/03/2018, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00219/2017, quedó constancia de los siguientes:

<<1. La entidad Whatsapp Inc. es una sociedad con sede social en California, Estados Unidos, responsable del servicio de mensajería instantánea denominado “Whatsapp”.

2. En el año 2014, la entidad Whatsapp Inc. fue adquirida por la entidad Facebook Inc., también con sede en California, Estados Unidos.

3. Con fecha 25/08/2016, la entidad Whatsapp Inc. publicó una actualización de los Términos de Servicio y de la Política de Privacidad de la aplicación “Whatsapp”.

4. Los usuarios del servicio mensajería “Whatsapp” existentes en el momento en que fue publicada la actualización reseñada en el Hecho Probado Tercero, al acceder a la aplicación en un teléfono móvil recibieron un aviso informando sobre dicha actualización, con un enlace que permitía acceder a la misma, así como una indicación advirtiendo que debía aceptarse la misma en un plazo de 30 días.

Para la aceptación de los Términos de Servicio y de la Política de Privacidad se habilitó un botón con la indicación “ACEPTAR”. La misma posibilidad se ofreció en el apartado de configuración Ajustes->Cuenta de la aplicación “Whatsapp”, opción “Compartir la info de mi cuenta”, con un botón de activación deslizante.

Asimismo, se ofreció un mensaje con un checkbox premarcado, con la leyenda “Compartir la

información de mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con los productos y publicidad en Facebook. Tus chats y número telefónico no serán compartidos en Facebook independientemente de este ajuste”. Y en la base un botón destacado con la indicación “ACEPTAR”.

Si se desactivaba dicho checkbox aparecía el siguiente mensaje: “Después de pulsar “Aceptar”, la información de tu cuenta no será usada para mejorar tu experiencia con los productos y publicidad en Facebook”.

Si se activaba de nuevo el checkbox aparecía el siguiente mensaje: “Después de pulsar “Aceptar”, la información de tu cuenta será usada para mejorar tu experiencia con los productos y publicidad en Facebook”.

5. En el caso de usuarios nuevos o personas que pretenden descargar la aplicación “Whatsapp” con posterioridad a la actualización, durante dicha instalación se muestran enlaces a los Términos de Servicio y a la Política de Privacidad. Si se opta por instalar la misma, antes de utilizarla por primera vez, se muestra nuevamente un enlace a la información, además de un botón etiquetado como “Aceptar y Continuar” que es necesario pulsar para avanzar. En este caso, no se ofrece al usuario la posibilidad de consentir que su información sea compartida con FACEBOOK, INC. “para mejorar mi experiencia con los productos y publicidad en Facebook”.

6. Se declaran reproducidos, a efectos probatorios, los documentos “Términos de Servicio” y “Política de Privacidad” de la aplicación “Whatsapp” publicados en fecha 25/08/2016. De la información que contienen dichos documentos, se estima oportuno destacar los aspectos siguientes:

“En nuestros Términos de servicio y Política de privacidad actualizados encontrarás lo siguiente…

. Nos unimos a Facebook en 2014. WhatsApp es parte de la familia de empresas de Facebook. Nuestra Política de Privacidad explica cómo trabajamos en conjunto para brindarte una mejor experiencia; por ejemplo, al combatir los mensajes no solicitados entre las aplicaciones, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes en Facebook. Nada de lo que compartes en WhatsApp- incluyendo tus mensajes, fotos, e información de perfil será compartido en Facebook, o en alguna de las aplicaciones que pertenecen a la familia de Facebook, para que otros los vean. De la misma manera, lo que tú publiques en esas aplicaciones no será compartido en WhatsApp para que otros lo vean…

TÉRMINOS DE SERVICIO DE WHATSAPP

WhatsApp Inc. (“WhatsApp”, “nuestro’, “nosotros” o “nuestros”) ofrece mensajería, llamadas por internet y otros servicios a usuarios alrededor del mundo. Por favor lee nuestros Términos de servicio para entender los términos del uso de WhatsApp, Aceptas nuestros Términos de servicio (“Términos”) al instalar, acceder o usar nuestras aplicaciones, servicios, funciones, software o sitio web (en conjunto, “Servicios”)…

Política de Privacidad y datos del usuario

WhatsApp se preocupa por tu privacidad. La Política de privacidad de WhatsApp describe nuestras prácticas de información (como los mensajes), incluidos los tipos de datos que recibimos y recopilamos de ti y la forma en que usamos y compartimos esta información...

Otros…

. Podemos modificar o actualizar estos Términos. Te avisaremos de las modificaciones a nuestros Términos, según sea apropiado, y actualizaremos la fecha de “Última modificación” en la parte superior de nuestros Términos. Al continuar tu uso de nuestros Servicios, confirmas tu aceptación de nuestros

Términos, con cualquier modificación. Si no estás de acuerdo con nuestros Términos y con sus modificaciones, debes dejar de usar nuestros Servicios. Por favor revisa nuestros Términos de vez en cuando.

. Todos nuestros derechos y obligaciones en nuestros Términos se asignan libremente a cualquiera de nuestras afiliadas, en relación con una fusión, adquisición, restructuración o venta de activos, o por operación xx xxx o de otro modo, y podemos transferir tu información a cualquiera de nuestras afiliadas, entidades sucesoras o propietarios nuevos...

POLÍTICA DE PRIVACIDAD DE WHATSAPP…

Cuando decimos “WhatsApp”, “nuestro”, “nosotros” o “nuestros” nos referimos a WhatsApp Inc. Esta Política de privacidad (“Política de privacidad”) se aplica a todas nuestras aplicaciones, servicios, funciones, software y sitio web (en conjunto, “Servicios”) a menos que se indique lo contrario…

Información recopilada

WhatsApp recibe o recopila información de nuestros usuarios cuando operamos y proveemos nuestros Servicios, incluso durante la instalación, el acceso o el uso de nuestros Servicios.

Información que tú proporcionas

. La información de tu cuenta. Proporcionas tu número de teléfono móvil para crear una cuenta de WhatsApp. Nos proporcionas los números de teléfono de la libreta de direcciones de tu teléfono móvil regularmente, incluidos los de los usuarios de nuestros Servicios y los de los demás contactos de la libreta de direcciones de tu teléfono móvil. Confirmas que estás autorizado a proporcionarnos dichos números. También puedes agregar otra información a tu cuenta, como un nombre de perfil, foto de perfil y mensaje de estado.

. Tus mensajes. No conservamos tus mensajes durante la prestación normal de nuestros Servicios. Una vez que se entregan tus mensajes (incluidos tus chats, fotos, videos, mensajes de voz, documentos e información de tu ubicación), se eliminan de nuestros servidores. Tus mensajes se almacenan en tu propio dispositivo. Si un mensaje no puede entregarse de inmediato (por ejemplo, si estás desconectado), podemos guardarlo en nuestros servidores por hasta 30 días mientras intentamos entregarlo… También ofrecemos cifrado de extremo a extremo… significa que tus mensajes están cifrados para salvaguardarlos y que ni nosotros ni terceros los puedan leer.

. Tus conexiones. Para ayudarte a organizar la forma en que te comunicas con los demás, podemos crear una lista de tus contactos favoritos, y tú puedes crear grupos, unirte o dejar que te agreguen a grupos y listas de difusión. Dichos grupos y listas se asocian con la información de tu cuenta…

Información recopilada automáticamente

. Uso e información de registro. Recopilamos información relacionada con el rendimiento, diagnóstico y servicio. Esto incluye información sobre tu actividad (como la forma en que usas nuestros Servicios, la forma en que interactúas con otros mediante nuestros Servicios y datos similares), archivos de registro, así como informes y registros de rendimiento, sitio web, fallos y diagnóstico.

. Información sobre transacciones. Si pagas por nuestros Servicios podemos recibir información y confirmaciones, como recibos de pago, incluidos los de las tiendas de aplicaciones o terceros que procesen tu pago.

. Información sobre tu conexión y dispositivos. Recopilamos información específica de tu dispositivo cuando instalas, accedes o usas nuestros Servicios. Esto incluye información como el modelo de hardware, la información del sistema operativo, información sobre el navegador, la dirección IP e información de la red móvil, incluido el número de teléfono y los identificadores del dispositivo. Recopilamos información sobre la ubicación de tu dispositivo si usas nuestras funciones de ubicación, así como cuando eliges compartir tu ubicación con tus contactos, ver lugares cercanos o aquellas que otros hayan compartido contigo y similares para fines de diagnóstico y solución de problemas, por ejemplo, si tienes dificultades con la función de nuestra aplicación para compartir tu ubicación.

. Cookies. Usamos cookies para operar y proveer nuestros Servicios, lo que incluye proveer nuestros Servicios basados en web, mejorar tus experiencias, entender cómo se usan nuestros Servicios y personalizar nuestros Servicios. Por ejemplo, usamos cookies para proveer WhatsApp para

computadora y otros servicios basados en web. También podemos usar cookies para entender cuáles de las preguntas frecuentes de nuestro servicio de ayuda son más populares y para mostrarte contenido relevante relacionado con nuestros Servicios. Además, podemos usar cookies para recordar tus elecciones, como tus preferencias de idioma, y también para personalizar nuestros Servicios para ti. Obtén más información sobre cómo usamos las cookies para proveer nuestros Servicios.

. Información sobre mensajes de estado. Recopilamos información sobre tus cambios de mensaje de estado y en línea en nuestros Servicios, como si estás en línea (tu ‘estado de conexión”), la última vez que usaste nuestros Servicios (tu ‘estado de última conexión”) y la última vez que actualizaste tu mensaje de estado.

Información de terceros

. Información que otros proporcionan sobre ti. Recibimos información que otras personas nos proporcionan, que puede incluir información sobre ti. Por ejemplo, cuando otros usuarios que conoces usan nuestros Servicios, pueden proporcionar tu número de teléfono de la lista de contactos de su teléfono móvil (así como tú puedes proporcionar el de ellos), o bien pueden enviarte un mensaje, enviar mensajes a los grupos a los que perteneces o llamarte.

. Proveedores externos. Trabajamos con proveedores externos que nos ayudan a operar, proveer, mejorar, entender, personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayuda para nuestros Servicios. Por ejemplo, trabajamos con empresas para distribuir nuestras aplicaciones, ofrecer nuestros sistemas de infraestructura, de entrega y otros, proporcionar información de mapas y lugares, procesar pagos, ayudarnos a entender cómo la gente usa nuestros Servicios y comercializar nuestros Servicios. Estos proveedores externos pueden proporcionarnos información sobre ti en ciertas circunstancias; por ejemplo, las tiendas de aplicaciones pueden enviarnos informes que nos ayudan a diagnosticar y solucionar problemas con el servicio.

. Servicios de terceros. Te permitimos usar nuestros Servicios en relación con servicios de terceros. Si usas nuestros Servicios con dichos servicios de terceros, podemos recibir información sobre ti por parte de ellos. Por ejemplo, si usas el botón “Compartir” en WhatsApp en un servicio de noticias para compartir un artículo con tus contactos, grupos o listas de difusión de WhatsApp en nuestros Servicios, o si decides acceder a nuestros Servicios por medio de la promoción de un operador de telefonía móvil o de un proveedor de dispositivos móviles. Ten en cuenta que cuando usas servicios de terceros, sus propios términos y políticas de privacidad regirán el uso de dichos servicios.

Cómo usamos la información

Usamos toda la información que tenemos para ayudarnos a operar, proveer, mejorar, entender, personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayuda para nuestros Servicios.

. Nuestros Servicios. Operamos y proveemos nuestros Servicios, lo que incluye ofrecer un servicio de atención al cliente, así como mejorar, solucionar y personalizar nuestros Servicios. Entendemos cómo usan las personas nuestros Servicios y analizamos y usamos la información que tenemos para evaluar y mejorar nuestros Servicios, investigar, desarrollar y probar servicios nuevos y funciones nuevas, así como llevar a cabo actividades para solucionar problemas con nuestros Servicios. También usamos tu información para responderte cuando te pones en contacto con nosotros. Usamos cookies para operar, proveer, mejorar, entender y personalizar nuestros Servicios.

. Seguridad. Verificamos cuentas y actividades, y promovemos la seguridad dentro y fuera de nuestros Servicios, a través de la investigación de actividades sospechosas o infracciones de nuestros Términos, así como para asegurarnos de que nuestros Servicios se usen legalmente.

. Comunicaciones sobre nuestros Servicios y la familia de empresas de Facebook. Nos comunicamos contigo sobre nuestros Servicios y funciones y te informamos sobre nuestros términos y políticas, así como otras actualizaciones importantes. Podemos proporcionarte mercadotecnia para nuestros Servicios y los de la familia de empresas de Facebook, de la cual ahora formamos parte.

. Cero anuncios banner de terceros. No permitimos anuncios banner de terceros en WhatsApp. No es nuestra intención incluirlos, pero si alguna vez lo hacemos, actualizaremos esta política…

Información que tú y nosotros compartimos

Compartes tu información mientras usas nuestros Servicios y te comunicas a través de ellos, y nosotros

compartimos tu información para ayudarnos a operar, mejorar, entender, personalizar, dar soporte y comercializar nuestros Servicios.

. Información de tu cuenta. Tu número de teléfono, nombre y foto de perfil, estado de conexión y mensaje de estado, estado de última conexión y confirmaciones de lectura pueden estar disponibles para cualquier persona que use nuestros Servicios, aunque puedes configurar los ajustes de nuestros Servicios para determinar qué información quieres que esté disponible para los demás usuarios.

. Tus contactos y otros. Los usuarios con quienes te comunicas pueden almacenar o volver a compartir tu información (incluido tu número de teléfono o mensajes) con otros dentro y fuera de nuestros Servicios. Puedes usar los ajustes y la función de bloqueo en nuestros Servicios para administrar los usuarios de nuestros Servicios con quienes te comunicas y cierta información que compartes.

. Proveedores externos. Trabajamos con proveedores externos que nos ayudan a operar, proveer, mejorar, entender, personalizar y comercializar nuestros Servicios, así como ofrecer servicios de ayuda para nuestros Servicios. Cuando compartimos información con proveedores externos, les exigimos que usen tu información en conformidad con nuestras instrucciones y términos o con tu permiso expreso…

Empresas afiliadas

Nos unimos a la familia de empresas de Facebook en 2014. Como parte de la familia de empresas de Facebook, WhatsApp recibe información de esta familia de empresas y comparte información con ellas. Podemos usar la información que recibimos de ellas, y ellas pueden usar la información que compartimos con ellas, para ayudar a operar, proveer, mejorar, entender, personalizar y comercializar nuestros Servicios y sus ofertas, así como ofrecer servicios de ayuda para nuestros Servicios. Esto incluye ayudar a mejorar los sistemas de infraestructura y de entrega, entender cómo se usan nuestros Servicios o los de ellas, proteger los sistemas y combatir las actividades de infracción, abuso o mensajes no solicitados. Facebook y las demás empresas de la familia de Facebook también pueden usar nuestra información para mejorar tus experiencias con sus servicios, así como sugerencias (por ejemplo, de amigos o conexiones, o de contenido interesante), mostrar anuncios y ofertas relevantes. Sin embargo, tus mensajes de WhatsApp se mantienen privados y no se compartirán para que otros los vean en Facebook. De hecho, Facebook no usará tus mensajes de WhatsApp para ningún otro propósito distinto del de ayudarnos a operar y proveer nuestros Servicios.

Para obtener información sobre la familia de empresas de Facebook y sus prácticas de privacidad, revisa sus políticas de privacidad.

Asignación, cambio, de control y transferencia

Todos los derechos y obligaciones establecidos en nuestra Política de privacidad se asignan libremente a cualquiera de nuestras afiliadas, en relación con una fusión, adquisición, restructuración o venta de activos, o por operación xx xxx o de otro modo, y podemos transferir tu información a cualquiera de nuestras afiliadas, entidades sucesoras o propietarios nuevos.

Administración de tu información

Si quieres administrar, cambiar, limitar o eliminar tu información, te permitimos hacerlo a través de las siguientes herramientas:

(…)

. Eliminación de tu cuenta de WhatsApp. Puedes eliminar tu cuenta de WhatsApp en cualquier momento (incluso si quieres revocar tu consentimiento para que usemos tu información) mediante la función “Eliminar mi cuenta” dentro de la aplicación. Cuando elimines tu cuenta de WhatsApp, tus mensajes no entregados se eliminarán de nuestros servidores, así como el resto de tu información que ya no necesitamos para operar y proveer nuestros Servicios. Ten en cuenta que si solo eliminas nuestros Servicios de tu aparato sin usar la función “Eliminar mi cuenta” dentro de la aplicación, podemos almacenar tu información durante un período más prolongado. Recuerda que, cuando eliminas tu cuenta, no afecta a la información que otros usuarios tienen relacionada contigo, por ejemplo, su copia de los mensajes que les enviaste.

Legislación y protección

Podemos recopilar, usar, conservar y compartir tu información si consideramos de buena fe que es razonablemente necesario para: (a) responder de acuerdo con las leyes o normas, procesos legales o

solicitudes gubernamentales aplicables; (b) exigir el cumplimiento de nuestros Términos o cualquier otro término y política aplicable, incluso para investigaciones de infracciones potenciales; (c) detectar, investigar, impedir y abordar fraudes y otras actividades ilegales o problemas técnicos o de seguridad; o

(d) proteger los derechos, la propiedad y la seguridad de nuestros usuarios, WhatsApp, la familia de empresas de Facebook u otros.

Nuestras operaciones globales

Aceptas nuestras prácticas de información, que incluyen la recopilación, el uso, el procesamiento y el uso compartido de tu información, tal como se describe en esta Política de privacidad, así como la transferencia y el procesamiento de tu información en los Estados Unidos y otros países de manera global donde tenemos o usamos instalaciones, proveedores de servicios o socios, independientemente de dónde usas nuestros Servicios. Reconoces que las leyes, disposiciones y normas del país en el que se almacena o procesa tu información pueden ser diferentes de aquellas que rigen en tu propio país.

Actualizaciones a nuestra política

Podemos modificar o actualizar nuestra Política de privacidad… Si no estás de acuerdo con nuestra Política de privacidad y con sus modificaciones, debes dejar de usar nuestros Servicios…

Sobre las cookies

Cookie se refiere a un archivo de texto que se almacena en tu computadora o teléfono móvil cuando visitas una página web. La página web pide que tu navegador genere y guarde las cookies.

Cómo usamos las cookies

Utilizamos las cookies para entender, operar y garantizar la seguridad de nuestros servicios. Por ejemplo:

. Usamos las cookies para proveer WhatsApp para computadoras y otros servicios basados en la web, Así podemos mejorar tu experiencia, entender mejor cómo usas nuestros servicios y personalizar nuestros servicios.

. Usamos las cookies para averiguar cuáles son las preguntas frecuentes más leídas y así crear y proveer mejor contenido.

. Usamos las cookies para acordarnos de tus preferencias, tal como tu idioma, para poder personalizar tu servicio.

. Usamos las cookies para poder ordenar las preguntas frecuentes de tal manera que puedas ver las preguntas más leídas primero. También, nos ayudan a entender la diferencia entre las preferencias que tienes usando WhatsApp en tu teléfono o en tu computadora y lo eficaz de la información que proporcionamos.

Cómo gestionar las cookies

Puedes cambiar los ajustes de las cookies según las opciones en tu navegador o tu teléfono móvil (usualmente localizados bajo Ajustes o Preferencias). Por favor, ten en cuenta que nuestro servicio puede que no funcione correctamente si desactivas las cookies”>>.

TERCERO: Con fecha 02/04/2018, dentro del plazo establecido, se ha interpuesto recurso de reposición por la entidad FACEBOOK INC. (en lo sucesivo FACEBOOK o la recurrente), recibido en esta Agencia Española de Protección de Datos en fecha 05/04/2018, en el que solicita la revocación y anulación de la resolución de 02/03/2018, fundamentando dicha petición en las mismas consideraciones que fueron puestas de manifiesto durante la tramitación del procedimiento que dio lugar al acto impugnado. En resumen, reitera las alegaciones siguientes:

. FACEBOOK únicamente trata datos de las cuentas de usuarios españoles a efectos de ofrecer servicios de soporte a Whatsapp al amparo de un contrato de encargo del tratamiento ya aportado, sujeto al artículo 12 de la LOPD; y se lleva a cabo bajo las instrucciones de Whatsapp y en beneficio de la misma, para la mejora y desarrollo de su negocio.

A estos servicios de soporte responden los servicios de correlación de datos que presta FACEBOOK, que pueden exigir el cruce de los datos de las cuentas de usuarios españoles de Whatsapp con otra información en poder de FACEBOOK INC y que permite un recuento de los usuarios únicos de Whatsapp. En ningún caso estas actividades de emparejamiento están siendo utilizadas para mejorar productos y servicios de FACEBOOK o mejorar la experiencia de publicidad.

. Dichos datos no han sido, ni están siendo, cedidos en el marco de una relación de responsable a responsable del tratamiento, de modo que las manifestaciones realizadas a este respecto por la AEPD carecen de fundamento fáctico y no tienen en cuenta el compromiso asumido por ambas entidades ante dicha Agencia en las cartas remitidas en fechas 17 y 19/01/2018 de no realizar cesiones con el fin de mejorar los productos y publicidad de FACEBOOK o para mantener los servicios de esta entidad antes de la entrada en vigor del R (UE), y tras el análisis de la base jurídica de tales cesiones con la Autoridad Irlandesa de Protección de Datos. En este caso, la entidad cesionaria sería Facebook Ireland.

Ni en el momento de las actuaciones previas de la AEPD ni actualmente ha comenzado en la UE actuación alguna de cesión de datos con la finalidad de productos y publicidad, habiéndose paralizado la cesión para estos fines en la UE tras el acuerdo alcanzado con la Autoridad Irlandesa y los compromisos asumidos con las autoridades de protección de datos y el Grupo de Trabajo del Artículo 29. A tales efectos, cita la carta presentada por Whatsapp Ireland Limited el 04/02/2018, remitida al GT29 tras la reunión celebrada el 25/01/2018.

. Ha resultado infringido el derecho de defensa de FACEBOOK y su derecho a un procedimiento justo y conforme a la normativa regulador del procedimiento administrativo, por la ausencia de pruebas que respalden la afirmación realizada sobre la cesión de datos y su tratamiento por FACEBOOK como responsable, que la AEPD basa en diversas manifestaciones de la entidades intervinientes que han sido malinterpretadas o en conclusiones infundadas de la Política de Privacidad de Whatsapp Inc.

En relación con los antecedentes del procedimiento, destaca que la propuesta de resolución fue remitida a FACEBOOK INC sino a Facebook Spain, no recibiéndose en la sede de FACEBOOK INC. hasta el día 30/01/2018, sin ninguna justificación sobre esta ausencia de notificación; y que le fue denegada la ampliación del plazo para formular alegaciones a la citada propuesta, sin que dispusiera de tiempo suficiente para preparar una respuesta completa.

De la misma forma, señala que la resolución fue notificada igualmente a Facebook Spain, sin que se recibiera en las oficinas de Estados unidos hasta el 22/03/2018, una vez vencido el período máximo de seis meses previsto para resolver el procedimiento.

Y añade que la AEPD comete un error en la identificación del responsable del tratamiento de los datos personales del servicio Facebook en la UE; que utiliza información obtenida en otros procedimientos anteriores que concluyeron que el tratamiento era lícito; y que existe un intento de basar las conclusiones en el RGPD a pesar de que no está en vigor.

. La LOPD no es aplicable al presente supuesto y FACEBOOK no puede ser objeto de sanción por la AEPD al tratarse de una sociedad constituida en Estados Unidos que no presta servicio ni utiliza medios en España; no dispone de establecimiento alguno en España; Facebook Spain

no trata los datos personales objeto de las actuaciones; y el responsable del tratamiento ya dispone de un establecimiento en otro Estado miembro, Irlanda, por lo que no es aplicable al artículo 4.1.c) de la directiva. Por la misma razón no es relevante el artículo 2.1.c) de la LOPD.

Reitera que no utiliza equipos o recursos ubicados en España, señalando al respecto que FACEBOOK INC y Facebook Ireland son personas jurídicas distintas.

El artículo 28 de la Directiva, y no el 4, es el que alude a la competencia de las autoridades de control y, sin embargo, la AEPD no se refiere a dicho artículo. Según lo establecido en el apartado 3 del citado artículo 28 de la Directiva, una autoridad de control es competente para ejercer los poderes que enumera únicamente dentro de los límites geográficos del territorio de dicha autoridad.

No existe ninguna base en la normativa de protección de datos o en el derecho internacional que permita a la AEPD ejercer jurisdicción extraterritorial sobre FACEBOOK INC.

. Finalmente, en cuanto a la graduación de la sanción, alega que no son aplicables las circunstancias agravantes consideradas en la resolución impugnada, teniendo en cuenta que el tratamiento amparado en un contrato de encargo del tratamiento es lícito; el volumen de información recopilada por Whatsapp es limitado; el volumen de negocio es irrelevante en un supuesto en el que se acredita que no existe intercambio de datos; FACEBOOK INC. no presta servicio en la Unión Europea y, por lo tanto, no tiene ingresos en España; no puede atribuírsele negligencia o mala praxis; y ha cooperado con la AEPD.

Añade que la referencia al volumen mundial de facturación es injusta, correspondiendo valorar exclusivamente la cifra de actividad española, que FACEBOOK INC. no tiene.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo LPACAP).

II

En relación con las manifestaciones efectuadas por la recurrente, que reproducen, básicamente, las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que ya fueron analizadas y desestimadas en los Fundamentos de Derecho II, III y V a XV de la Resolución recurrida, R/00259/2018, de 02/03/2018, en la que se considera que el mismo incumplió lo dispuesto en el artículo 6 de la LOPD y se detallaba suficientemente la valoración de las pruebas que han permitido determinar dicho incumplimiento y el alcance otorgado al mismo. En dichos Fundamentos de Derecho se indica lo siguiente:

<<II

Se considera, en primer término, que la conducta realizada por las entidades WHATSAPP INC. y FACEBOOK INC. afecta a datos de carácter personal relativos a personas

identificadas o identificables, cuestión que no ha sido objeto de ninguna controversia por parte de las mismas.

Por ello, y considerando que se trata de sociedades estadounidenses, procede analizar el ámbito de aplicación de la LOPD respecto de los hechos examinados; cuestión de la que se derivan tres aspectos básicos como son la aplicación o no de la LOPD, la propia competencia de la Agencia Española de Protección de Datos y la imputabilidad de las entidades citadas.

El examen de estas cuestiones exige considerar si las conductas analizadas han sido llevadas a cabo por WHATSAPP INC. y FACEBOOK INC. en el marco de las actividades de un establecimiento del responsable del tratamiento en territorio español o se han empleado medios situados en España por parte de las mismas. Si nos encontrásemos en uno de estos casos serían aplicables los principios, derechos y garantías previstos en la legislación española de protección de datos.

La LOPD, en el párrafo segundo de su artículo 2.1, al referirse al “Ámbito de aplicación” de la norma, establece lo siguiente:

“Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito”.

Y el último párrafo del artículo 5.1 de la misma norma establece lo siguiente:

“Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

Por otra parte, el artículo 3 del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2008 (RLOPD), señala su ámbito territorial de aplicación en los siguientes términos:

“1. Se regirá por el presente Reglamento todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español.

Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente Reglamento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.

En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio español.

2. A los efectos previstos en los apartados anteriores, se entenderá por establecimiento, con independencia de su forma jurídica, cualquier instalación estable que permita el ejercicio efectivo y real de una actividad”

En este mismo sentido se pronuncia el artículo 4 “Derecho nacional aplicable” de la Directiva 95/46/CE (aplicable hasta el 25 xx xxxx de 2018, de acuerdo con lo establecido en el artículo 99 del Reglamento general de protección de datos, Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la citada Directiva 94/46/CE); artículo 4 que establece lo siguiente:

“Derecho nacional aplicable

1. Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b) el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c) el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

2. En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

Este artículo responde a las consideraciones que se plasman en la exposición de motivos de la misma Directiva; en concreto los considerandos 18 y siguientes presentan la siguiente justificación del artículo 4 en cuestión:

“(18) Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros; que, a este respecto, resulta conveniente someter el tratamiento de datos efectuados por cualquier persona que actúe bajo la autoridad del responsable del tratamiento establecido en un Estado miembro a la aplicación de la legislación de tal Estado;

(19) Considerando que el establecimiento en el territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad mediante una instalación estable; que la forma jurídica de dicho establecimiento, sea una simple sucursal o una empresa filial con personalidad jurídica, no es un factor determinante al respecto; que cuando un mismo responsable esté establecido en el territorio de varios Estados miembros, en particular por medio de una empresa filial, debe garantizar, en particular para evitar que se eluda la normativa aplicable, que cada uno de los establecimientos cumpla las obligaciones impuestas por el Derecho

nacional aplicable a estas actividades;

(20) Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adaptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva;”

La Sentencia del Tribunal de Justicia de la Unión Europea, de 13 xx xxxx de 2014, (STJUE, Gran Sala, cuestión prejudicial Google Spain S.L. y Google Inc./AEPD, C-131/2012), dictada en el marco de una cuestión prejudicial relativa a la interpretación, entre otros, del artículo 4, apartado 1, letra a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, a fin de dar respuesta a la cuestión planteada acerca de si debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) considera que “la actividad de promoción y venta de espacios publicitarios, de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search” y recuerda que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España y que al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46.

Hechas las mencionadas consideraciones la Sentencia analiza si el tratamiento se

«lleve a cabo en el marco de las actividades» de un establecimiento de dicho responsable situado en territorio de un Estado miembro. Sobre este particular el Tribunal declara que “la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado

«por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste.”

Considera sobre este punto que “el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

La propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso

de autos el territorio español.”

Concluye indicando que “el artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”.

Como señala el Tribunal Supremo en la Sentencia núm. 1384/2016, de 13/06/2016, “… se trata de evitar la elusión del cumplimiento de la normativa europea sobre la materia con base en el argumento de que el responsable del tratamiento no tiene su sede social en territorio europeo, lo que le permitiría sustraerse a las obligaciones y garantías que en dicha normativa se establecen. Esta es la lógica a la que responde la previsión normativa que, mediante la ampliación del ámbito de aplicación territorial, consigue el efecto útil y protección que otorga la normativa comunitaria al interesado”.

Así la cuestión se centra en dilucidar si concurre en este caso alguna de las circunstancias que determinan la aplicación de la LOPD y de su reglamento de desarrollo.

III

En el caso de FACEBOOK INC, debe analizarse si el tratamiento de datos examinado se realiza por dicha entidad en el marco de las actividades de FACEBOOK SPAIN.

Conforme a lo dispuesto en el artículo 4.1.a) de la Directiva, la aplicación de las disposiciones nacionales de un Estado miembro viene determinada por la existencia de un establecimiento del responsable del tratamiento en el territorio del Estado miembro de que se trate. Aunque esta Directiva no define el concepto de “establecimiento”, en su preámbulo (Considerando 19) señala como elemento determinante el ejercicio efectivo y real de actividades a través de una instalación estable, no siendo preciso que dicho establecimiento tenga personalidad jurídica. Además, el tratamiento de datos personales deberá llevarse a cabo en el marco de tales actividades.

En relación con esta cuestión, el Grupo de Trabajo del artículo 29, en su Dictamen 8/2010, sobre Derecho aplicable, emitido el 16 de diciembre de 2010, señala que “la referencia a «un» establecimiento significa que la aplicabilidad del Derecho de un Estado miembro se desencadenará por la ubicación de un establecimiento del responsable del tratamiento en ese Estado miembro y los Derechos de otros Estados miembros podrían desencadenarse por la ubicación de otros establecimientos de ese responsable del tratamiento en esos Estados miembros”. Y añade que “Aun cuando el responsable del tratamiento tenga su establecimiento principal en un tercer país, el mero hecho de tener uno de sus establecimientos en un Estado miembro podría desencadenar la aplicabilidad del Derecho de dicho país, siempre que se reúnan las otras condiciones del artículo 4, apartado1, letra a)…”.

El mismo Dictamen citado señala que “la noción de “marco de actividades” no implica que el Derecho aplicable sea el del Estado miembro donde esté establecido el responsable del tratamiento, sino donde un establecimiento del responsable del tratamiento esté implicado en actividades relativas al tratamiento de datos”, y que deberá tenerse en cuenta al respecto el grado de implicación del establecimiento en las actividades de tratamiento de datos

personales.

El artículo 2.1.a) de la LOPD establece que «se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal (...) cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento».

En relación con el “Derecho nacional aplicable”, el artículo 4.1 de la Directiva contiene un mandato claro, preciso e incondicional dirigido a los Estados miembros en lo referente a la delimitación del ámbito territorial de aplicación de las normas de transposición de la Directiva, de modo que la interpretación del citado artículo 2.1.a) de la LOPD debe ser efectuada de forma congruente con dicha Directiva.

Por otra parte, la versión inglesa de esta norma, que ha sido la analizada, entre otros, en los documentos elaborados por el Grupo de Trabajo creado por el artículo 29 de la Directiva, se refiere al tratamiento llevado a cabo “en el contexto de las actividades de un establecimiento del responsable del tratamiento”, siendo así que la utilización de esta expresión podría revelarse fundamental para dar una adecuada interpretación al contenido del propio artículo.

Por tanto, se ha de tener en cuenta el lugar en que efectivamente se encuentre ubicado el establecimiento del responsable en cuyo contexto se lleva a cabo el tratamiento de los datos, al ser su intervención necesaria para que dicho tratamiento llegue a tener lugar.

En estos casos es de aplicación la Ley del Estado de ubicación del establecimiento del responsable en cuyo marco se llevan a cabo las operaciones de tratamiento de los datos de carácter personal.

Facebook Spain, S.L. es el establecimiento de Facebook Inc. en cuyo contexto se tratan los datos; y la LOPD la ley aplicable, según lo establecido en su artículo 2.1.a), interpretado conforme a la Directiva.

Esta conclusión es la que recoge el Reglamento de desarrollo de la LOPD en su artículo

3. Así, el artículo 2.1.a) de la citada Ley Orgánica sólo puede ser interpretado en el sentido de considerar aplicable la legislación española «cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español», haciendo recaer en la localización del establecimiento el criterio determinante de la aplicación.

En el presente caso concreto, la entidad FACEBOOK INC., que tiene su sede principal en Estados Unidos, concretamente en California, desarrolla una actividad de carácter económico que tiene por objeto la obtención de ingresos a cambio de la publicidad de terceros que inserta en los sitios web que gestiona, y ofrece servicios que no serían viables sin esa financiación (FACEBOOK INC. es responsable de la red social “Facebook” y titular del domino xxxxxxxx.xxx. Además, los accesos al dominio xxxxxxxx.xx, registrado a nombre de Facebook Ireland, se redirigen a la web Xxxxxxxx.xxx).

Esta entidad dispone de un establecimiento en España, FACEBOOK SPAIN, S.L., implicado en actividades que entrañan el tratamiento de datos personales relativos a personas identificadas o identificables, que se recaban y se tratan en territorio español.

La captación de anunciantes en el territorio español constituye la tarea principal de FACEBOOK SPAIN, S.L. En aquellos casos en los que el servicio se sustenta en la publicidad, la actuación de FACEBOOK SPAIN, S.L. es significativa para la prestación de los servicios y los tratamientos de datos que conllevan, existiendo una relación de causalidad entre la actuación de FACEBOOK SPAIN, S.L. y la existencia misma de los servicios sustentados en la publicidad.

Por lo tanto, cabe concluir que la protección conferida por la LOPD es aplicable al presente supuesto respecto de FACEBOOK INC., por el tratamiento de datos realizado en el marco de las actividades de un establecimiento del responsable del tratamiento ubicado en territorio español, y, por ende, la Agencia Española de Protección de Datos es competente para la tramitación del presente procedimiento, de conformidad con lo establecido en el artículo 2.1.a) de la citada Ley Orgánica.

Como ya se ha señalado anteriormente, la existencia de un “establecimiento” supone el ejercicio real y efectivo de actividades a través de gestiones estables, y la forma jurídica del establecimiento (una oficina local, una filial con personalidad jurídica o una representación mediante terceros) no resulta determinante. En este caso, al margen de la forma jurídica de la entidad FACEBOOK SPAIN, puede entenderse que existe un establecimiento implicado en actividades que entrañan el tratamiento de datos personales relativos a personas identificadas o identificables, que se recaban, se tratan y divulgan en el marco de actividades de Facebook Spain. FACEBOOK SPAIN es el establecimiento de FACEBOOK INC en cuyo contexto se tratan los datos.

En todo caso, la entidad FACEBOOK INC. recurre, además, a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos.

La red social FACEBOOK, denominación utilizada como marca comercial, se configura en torno a la entidad matriz FACEBOOK, INC., responsable última de toda la actividad en Internet de dicha plataforma de comunicación entre sus usuarios. Dicha plataforma, para usuarios españoles, utiliza dispositivos ubicados en territorio español (“Xxxxxxxx.xxx” está registrado a nombre de FACEBOOK, INC. y el dominio “Xxxxxxxx.xx” está registrado a nombre de FACEBOOK IRELAND; pero, al intentar acceder a la página xxx.xxxxxxxx.xx, se comprueba que dicha página no existe, sino que existe una redirección a la página: es- xx.xxxxxxxx.xxx).

Por tanto, la Agencia Española de Protección de Datos también es competente para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD, ya citado.

En definitiva, la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, pues FACEBOOK, INC cuenta con un

establecimiento situado en territorio español, FACEBOOK SPAIN, S.L., implicado en las actividades relativas al tratamiento de datos que ahora se analiza, y, aun cuando no resultara procedente la aplicación de lo dispuesto en el artículo 2.1.a) de la LOPD, también es competente la Agencia Española de Protección de Datos para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD, ya citado.

Considerando cuanto antecede, el procedimiento debe dirigirse contra la entidad Facebook Inc.

(…)

FACEBOOK, INC. ha alegado que no tiene responsabilidad en el tratamiento de los

datos personales de los usuarios de Facebook en la Unión Europea, en el sentido de que el responsable del tratamiento de los usuarios españoles en España es FACEBOOK IRELAND.

Como ya se ha indicado la red social FACEBOOK se configura en torno a la entidad matriz FACEBOOK, INC., responsable última de toda la actividad en Internet de dicha plataforma de comunicación entre sus usuarios. FACEBOOK, INC. adopta la decisión inicial acerca de la recogida de información, incluidos los datos de carácter personal y determina la finalidad para la que se lleva a cabo la recogida, así como el contenido y uso de los datos personales recabados. Esta conducta se ajusta al concepto de responsable del tratamiento de los datos y le convierte en sujeto sometido al ámbito de aplicación de la LOPD.

El Grupo de Protección de Datos del artículo 29, en su Dictamen 8/2010 sobre Derecho aplicable, en el apartado III, señala lo siguiente:

<<…Análisis de las disposiciones:

La disposición clave sobre el Derecho aplicable es el artículo 4, que determina qué disposición (disposiciones) nacional(es) de protección de datos aprobada(s) para la aplicación de la Directiva puede(n) aplicarse al tratamiento de datos personales.

III.1. El responsable del tratamiento está establecido en uno o varios Estados miembros (artículo 4, apartado1, letra a) (…)

En tales circunstancias, la noción de «marco de actividades» –y no la ubicación de los datos– es un factor determinante en la determinación del Derecho aplicable.

La noción de «marco de actividades» no implica que el Derecho aplicable sea el del Estado miembro donde esté establecido el responsable del tratamiento, sino donde un establecimiento del responsable del tratamiento esté implicado en actividades relativas al tratamiento de datos. La consideración de diferentes hipótesis podría contribuir a clarificar lo que significa la noción de «marco de actividades» y su influencia en la determinación del Derecho aplicable a las diferentes actividades de tratamiento en diferentes países.

a. Cuando un responsable del tratamiento tiene un establecimiento en Austria y trata datos personales en Austria en el marco de actividades de ese establecimiento, el Derecho aplicable obviamente sería el de Austria, es decir donde el establecimiento está situado.

b. En la segunda hipótesis, el responsable del tratamiento tiene un establecimiento en Austria, en cuyo marco de actividades trata datos personales recogidos a través de su sitio Internet. El sitio Internet es accesible a usuarios en distintos países. El Derecho de protección de datos aplicable seguirá siendo el de Austria, es decir el de donde está situado el establecimiento, con independencia de la ubicación de los usuarios y de los datos.

c. En la tercera hipótesis, el responsable del tratamiento está establecido en Austria y contrata el tratamiento a un encargado del tratamiento en Alemania. El tratamiento en Alemania se efectúa en el marco de las actividades del responsable del tratamiento en Austria. Es decir, el tratamiento se realiza en aras de los objetivos comerciales y bajo las instrucciones del establecimiento austríaco. El Derecho austríaco será aplicable al tratamiento efectuado por el encargado del tratamiento en Alemania. Además, el encargado del tratamiento estará sujeto a los requisitos del Derecho alemán respecto de las medidas de seguridad que está obligado a adoptar en relación con el tratamiento. Esto requeriría una supervisión coordinada por parte de las autoridades de protección de datos alemanas y austríacas.

d. En la cuarta hipótesis, el responsable del tratamiento establecido en Austria abre una oficina de representación en Italia, que organiza todos los contenidos italianos del sitio Internet y gestiona las peticiones de los usuarios italianos. Las actividades de tratamiento de datos realizadas por la oficina italiana se efectúan en el marco del establecimiento italiano, de modo que el Derecho italiano se aplicaría a dichas actividades…>>

Asimismo en la Sentencia del Tribunal de Justicia de la Unión Europea (Sala Tercera) de 1 de octubre de 2015, en el asunto C-230/14, se establece:

<<1. El artículo 4, apartado 1, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que permite aplicar la legislación relativa a la protección de los datos personales de un Estado miembro distinto de aquel en el que está registrado el responsable del tratamiento de esos datos, siempre que éste ejerza, mediante una instalación estable en el territorio de dicho Estado miembro, una actividad efectiva y real, aun mínima, en cuyo marco se realice el referido tratamiento.

Para determinar si así ocurre, en circunstancias como las controvertidas en el litigio principal, el órgano jurisdiccional remitente puede tener en cuenta, por un lado, que la actividad del responsable de dicho tratamiento, en cuyo marco éste tiene lugar, consiste en la gestión de sitios de Internet de anuncios de inmuebles situados en el territorio de dicho Estado miembro y redactados en la lengua de ese Estado y que, en consecuencia, se dirige principalmente, incluso íntegramente, a dicho Estado miembro y, por otro lado, que ese responsable dispone de un representante en el referido Estado miembro que se encarga de cobrar los créditos resultantes de dicha actividad y de representarlo en los procedimientos administrativo y judicial relativos al tratamiento de los datos en cuestión.

En cambio, es irrelevante el tema de la nacionalidad de las personas afectadas por dicho tratamiento de datos.

2) En el supuesto de que la autoridad de control de un Estado miembro que entiende de unas denuncias, de conformidad con el artículo 28, apartado 4, de la Directiva 95/46, llegue a la

conclusión de que el Derecho aplicable al tratamiento de los datos personales de que se trata no es el Derecho de ese Estado miembro, sino el de otro Estado miembro, el artículo 28, apartados 1, 3 y 6, de esa misma Directiva debe interpretarse en el sentido de que dicha autoridad de control sólo podría ejercer en el territorio de su propio Estado miembro las facultades efectivas de intervención que se le han conferido conforme al artículo 28, apartado 3, de la citada Directiva. Por lo tanto, no puede imponer sanciones basándose en el Derecho de ese Estado miembro al responsable del tratamiento de tales datos que no está establecido en dicho territorio, sino que, con arreglo al artículo 28, apartado 6, de la misma Directiva, debe instar la intervención de la autoridad de control dependiente del Estado miembro cuyo Derecho es aplicable…>>.

El citado artículo 28.6 de la Directiva se restringe la competencia territorial de las autoridades de control en el sentido expresado por las entidades interesadas en sus escritos de alegaciones. Dicho precepto está referido a las cuestiones que se susciten entre derecho aplicable y competencia de la autoridad de control dentro xxx xxxxxxx interior.

Procede, asimismo, recordar la doctrina del Tribunal Supremo en un supuesto bastante similar al que aquí se está estudiando, citando la sentencia del Tribunal Supremo 1384/2016, Sala de lo Contencioso-Administrativo, Sección Sexta, de fecha 13 xx xxxxx de 2016:

“El Dictamen 1/2010, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» adoptado el 16 de febrero de 2010 por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/ CE (GT29), dice en relación con el concepto de responsable del tratamiento lo siguiente: <<El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal>>.

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»).

En relación con la determinación de los fines y los medios se señala que "el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento".

No cabe duda alguna de que XXX, que gestiona el motor de búsqueda…, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales. No obstante, ello no implica que XXX sea responsable del tratamiento en solitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE, alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer "sólo o conjuntamente con otros", máxime si tenemos en cuenta, que "las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite

realizar las mencionadas actividades" (apartado 56 de la Sentencia del TJUE de 13 xx xxxx de 2014 ).

A este respecto, en el Dictamen 1/2010 del GT29 se dice: "En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»" . Se añade que "la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases". Y se concluye que "la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles".

En esta misma Sentencia de 13/06/2016, el Tribunal Supremo declara: “…el criterio mantenido por la Sala en esas sentencias, como hemos señalado antes, se ha visto confirmado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos, recientemente aprobado y publicado en el Diario Oficial de la Unión Europea de 4 xx xxxx de 2016, que deroga la Directiva 95/46/CE, el cual, entre otras previsiones a las que ya nos hemos referido y despejando posibles dudas, regula en su art. 26 la corresponsabilidad en el tratamiento de datos, considerando corresponsables a quienes determinen conjuntamente los objetivos y los medios del tratamiento, exigiendo, además, que los corresponsables determinen de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento, en particular en cuanto al ejercicio de los derechos del interesado…”.

También resulta ilustrativa otra sentencia del Tribunal Supremo 210/2016, Sala de lo Civil, de fecha 5 xx xxxxx de 2016, que viene a decir que:

“Los sujetos protegidos por la normativa sobre protección de datos son las personas físicas (art. 1 y 2.a de la Directiva). El efecto útil de la normativa comunitaria se debilitaría enormemente si los afectados hubieran de averiguar, dentro del grupo empresarial titular de un motor de búsqueda, cuál es la función concreta de cada una de las sociedades que lo componen, lo que, en ocasiones, constituye incluso un secreto empresarial y, en todo caso, no es un dato accesible al público en general. También se debilitaría el efecto útil de la Directiva si se diera trascendencia, en el sentido que pretende la recurrente…, a la personificación jurídica que el responsable del tratamiento de datos diera a sus establecimientos en los distintos Estados miembros, obligando de este modo a los afectados a litigar contra sociedades situadas en un país extranjero”.

En consecuencia, hay que desestimar las alegaciones realizadas a este respecto por parte de FACEBOOK, INC., y por consiguiente debe considerarse que dicha entidad es responsable del tratamiento de datos personales a los que se hace referencia en los

Fundamentos de Derechos siguientes, pues su participación en la determinación de los fines y los medios del tratamiento queda constatada.

Por otra parte, las entidades interesadas han manifestado que no hacen uso de medios para el tratamiento de datos que estén situados en España y rechazan que puedan considerarse como tales los equipos pertenecientes a los "usuarios”, sobre los que no ejercen control alguno. Sin embargo, no existe duda alguna sobre la utilización de los dispositivos de los usuarios por parte de las citadas entidades para la recogida de datos personales.

Esta cuestión se analiza con detalle por el Grupo de Trabajo del artículo 29 en el Documento de Trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE, aprobado el 30 xx xxxx de 2002 (Documento WP 56).

En este Documento, el Grupo de Trabajo señala: <<no es necesario que el responsable del tratamiento tenga un control total sobre los medios. El responsable del tratamiento puede tener un control variable de estos medios. El control es suficiente cuando el responsable del tratamiento, al determinar la forma en que estos medios funcionan, toma las decisiones adecuadas en relación con la naturaleza de los datos y su tratamiento. En otras palabras, el responsable determina qué datos se recogen, se almacenan, se transfieren, se modifican, etc., de qué forma y con qué objetivo.

El Grupo de Trabajo considera que el concepto de «recurrir» presupone dos elementos: un determinado tipo de actividad emprendida por el responsable y su intención de tratar datos personales. Esto implica que no todo «recurso» a «medios» dentro de la UE lleva a la aplicación de la Directiva.

No obstante, la facultad de disposición del responsable no debe confundirse con la propiedad o la posesión de los medios, ya sea por el responsable del tratamiento, o por la persona. De hecho, la Directiva no concede ninguna importancia a la propiedad de los medios.

La interpretación presentada por el Grupo de Trabajo concuerda plenamente con la motivación del legislador europeo para la elaboración de la disposición de la letra c) del apartado 1 del artículo 4 de la Directiva. El considerando 20 explica que «el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva». Es el corolario necesario si se quiere lograr el objetivo más amplio de la Directiva, que es: “evitar que una persona sea excluida de la protección garantizada por la presente Directiva”>>.

En el mismo documento se refieren algunas soluciones concretas aplicables a casos típicos. En concreto, se indica que <<los PC, los terminales y los servidores, que se pueden utilizar para casi todos los tipos de operaciones de tratamiento de datos, son ejemplos de “medios”>>.

Entre los ejemplos prácticos que se analizan en el citado Documento figura el relativo a la introducción de cookies en el equipo de un usuario de Internet. Se declara que el equipo del usuario puede considerarse un “medio”:

“Caso A: Cookies

El responsable del tratamiento decide recoger datos de carácter personal por medio de un

fichero de texto (cookie) que se coloca en el disco duro del ordenador personal del usuario… Tal como se ha explicado anteriormente, el PC del usuario puede considerarse un «medio» con arreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE. Está ubicado en el territorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datos personales y, tal como se explica en los apartados anteriores, tienen lugar varias operaciones técnicas sin un control por parte del interesado. El responsable del tratamiento emplea los medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad.

El Grupo de Trabajo opina por lo tanto que las condiciones en que pueden recogerse datos personales del usuario mediante la colocación de cookies en su disco duro son reguladas por el Derecho nacional del Estado miembro donde se sitúa este ordenador personal”.

A este respecto, la propia Política de Privacidad de WHATSAPP INC. advierte en repetidas ocasiones sobre la recogida de información de los terminales y ordenadores de los usuarios. Incluso contiene un apartado específico dedicado a la “información recopilada automáticamente”.

En relación con las cuestiones expuestas en el presente Fundamento de Derecho y en los que preceden, ya recogidos en la propuesta de resolución, la entidad WHATSAPP INC., en su escrito de alegaciones a dicha propuesta reproduce, básicamente, las alegaciones formuladas en respuesta a la apertura del procedimiento, que han sido suficientemente analizadas y desestimadas mediante los argumentos desarrolladas anteriormente.

Así, reitera que es una sociedad sin presencia en España que no utiliza medios situados en este país, señalando al respecto que la aplicación de un software no constituye un medio y que no lleva a cabo ninguna actividad en el dispositivo móvil del usuario, el cual, en todo caso, estaría siendo utilizado con fines de tránsito para transmitir datos personales desde el teléfono hasta los servidores ubicados en EEUU.

Reitera, asimismo, que ya dispone de un establecimiento en un Estado miembro (Irlanda), y afirma nuevamente que, por virtud del principio de soberanía territorial y al amparo de lo establecido en el artículo 28 de la Directiva 95/46/CE, la AEPD no tiene competencia sobre WHATSAPP INC. A lo indicado en sus alegaciones anteriores, añade que el apartado 3 del citado artículo no incluye entre los poderes que puede ejercitar una autoridad de control el de imponer sanciones.

Ya hemos indicado como WHATSAPP INC. recoge datos personales de los terminales móviles de los usuarios, incluso de forma automática, según la propia entidad reconoce en su Política de Privacidad. En contra de lo que se afirma en las alegaciones, la información no se recopila de forma pasiva y sin ninguna actividad de aquella entidad ni se limita a la facilitada directa y personalmente por el usuario.

Más adelante se detalla la información recabada por WHATSAPP INC. de forma automática. Como ejemplo se puede señalar la información relativa a los números de teléfono del a libreta de direcciones del teléfono del usuario, nombre de perfil, foto de perfil, listas de contacto, información sobre la conexión y dispositivos, estado de conexión e información del dispositivo o a dirección IP y la ubicación..

Estos dispositivos móviles constituye un “medio” al que recurre las entidad interesada para la recogida del a información, que determina la aplicación de la LOPD a este supuesto. El

Grupo de Trabajo del artículo 29, en su Dictamen 13/2011, de 16/05/2011, sobre los servicios de geolocalización en los dispositivos móviles inteligentes, es claro al respecto cuando declara que “el dispositivo concreto es fundamental para calcular su propia ubicación… Este dispositivo cumple también el criterio del artículo 4, apartado 1, letra c), del a Directiva sobre protección de datos, relativo a equipos situados en un Estado miembro”. Lo mismo puede decirse en relación con los ordenadores personales en los que se instale la aplicación de mensajería “Whatsapp”.

Las interesadas han alegado, en relación con los terminales móviles que, en todo caso, tales medios se estarían utilizando con fines de tránsito. Sin embargo, esta excepción no es aplicable al presente caso, en el que no se produce una transmisión de punto a punto que en una parte de su recorrido transite por el territorio español. Al contrario, en este caso se recaban datos personales en el territorio español utilizando para ello medios ubicados en el territorio español. Recurrir a medios solamente con fines de tránsito (como, por ejemplo, las redes de telecomunicaciones (cables) que solo garantizan que las comunicaciones transiten por el territorio de la Unión europea hasta alcanzar los terceros países), constituye una excepción al criterio de los medios sujeta a una “interpretación estricta”, según declara el Grupo de Trabajo del artículo 29, en su Dictamen 8/2010, de 16/12/2010, sobre el Derecho aplicable. El terminal móvil no es in dispositivo por el que transite la información para desde un punto hasta otro situado en un tercer país.

En cuanto al software, no existe duda sobre la condición de responsable del tratamiento de los creadores de sistemas operativos y proveedores de aplicaciones capaces de procesar datos personales resultantes de la instalación y uso de la aplicación.

También se ha hecho alusión con anterioridad a la constitución de la entidad Whatsapp lrelanden en un momento (julio de 2017) posterior a la fecha en que se publica la actualización de los Términos de Servicio y de la Política de Privacidad (agosto de 2016), y muy posterior a la adquisición de WHATSAPP INC. por FACEBOOK, INC. en 2014, de modo que el presente procedimiento se refiere a hechos a los que le son plenamente aplicables los Fundamentos de Derecho expuestos.

En cuanto a lo dispuesto en el artículo 28 de la Directiva y la competencia territorial de las autoridades de control, cabe reiterar que dicho precepto no tiene el alcance que WHATSAPP INC. pretende otorgarle cuando señala que el mismo impide que la Agencia actúe contra una entidad con sede en Estados Unidos, por cuanto el mismo, según se ha indicado, está referido a las cuestiones que se susciten entre derecho aplicable y competencia de la autoridad de control dentro xxx xxxxxxx interior.

Sobre la facultad de estas autoridades de control para imponer sanciones, la citada Directiva, en el artículo 28.3, se refiere a los poderes de estas autoridades, incluyendo entre los mismos la capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la Directiva. Por otro lado, el artículo 24 de la misma Directiva establece que “Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva”. En el caso español, es la AEPD la autoridad que tiene atribuida la potestad sancionadora en materia de protección de datos de carácter personal.

Con carácter previo al análisis del fondo del asunto, se estima conveniente hacer

referencia a las cuestiones previas suscitadas por las entidades interesadas, relativas a los defectos de forma apreciados por las mismas que, a su juicio, han perjudicado su derecho de defensa, por el retraso en la notificación de la apertura del procedimiento y el idioma en el que fue notificado el acuerdo correspondiente.

A este respecto, cabe señalar que el acuerdo de apertura del presente procedimiento sancionador fue puntualmente notificado a ambas entidades, concediéndoles un plazo de quince días para formular alegaciones, y no el xx xxxx días que con carácter general viene concediendo esta Agencia, considerando las circunstancias que concurren en este supuesto y, especialmente, su residencia fuera de España.

En cuanto al idioma en que fue notificado el repetido acuerdo, como ya se advirtió a las citadas entidades, se tiene en cuenta lo dispuesto en el artículo 15 de la LPACAP, según el cual “la lengua de los procedimientos tramitados por la Administración General del Estado será el castellano”.

Por otra parte, tanto WHATSAPP INC. como FACEBOOK, INC., pusieron de manifiesto que en el presente procedimiento se tiene en cuenta el contenido de dos procedimientos (E/04949/2016 y n° E/04948/2016) que fueron archivados, entendiendo por ello que la AEPD no puede apoyarse en los mismos.

Sin embargo, la Agencia se ha limitado a incorporar a las presentes actuaciones, durante la fase previa de investigación, el resultado de algunas de las comprobaciones realizadas en los procedimientos citados, que coincide con lo expresado al respecto por dichas entidades en sus respuestas a los Servicios de Inspección y en sus escritos de alegaciones. Estas comprobaciones tienen que ver con los mecanismos habilitados por WHATSAPP INC. para notificar la actualización de sus Términos de Servicio y la Política de privacidad, así como para recabar el consentimiento de los usuarios de la aplicación de mensajería “Whatsapp”, tanto en relación con los usuarios existentes en el momento en que se publicó la actualización, como respecto de los usuarios nuevos, cuyo contenido consta reseñado en los hechos probados Cuarto y Quinto.

Por otra parte, las entidades interesadas, en sus escritos de respuesta a la propuesta de resolución, alegan que se ha perjudicado su derecho de defensa por la desestimación de la ampliación del plazo que le fue concedido para formular alegaciones a dicha propuesta, de la cual, además, se remitió una única versión en español.

En las respuestas elaboradas por el instructor del procedimiento a las solicitudes de ampliación del plazo, que desestimaron las mismas, ya se advertía a FACEBOOK, INC. y WHATSAPP INC. sobre las circunstancias que justificaron ese acuerdo desestimatorio y se reiteró lo dispuesto en el citado artículo 15 de la LPACAP en relación con la lengua de los procedimientos.

En concreto, se consideró que durante la instrucción del procedimiento no se ha incorporado ningún nuevo elemento de convicción distinto de los que constaban en el mismo en el momento en que fueron formuladas por la solicitante sus alegaciones al acuerdo de apertura y no se ha practicado prueba adicional alguna, y que ya disfrutó de una ampliación del plazo que le fue concedido para formular alegaciones a la apertura del procedimiento.

Y se tuvo en cuenta, especialmente, que en la notificación de la propuesta de resolución,

al igual que en el trámite de apertura del procedimiento, se le concedió un plazo ampliado para formular alegaciones. El plazo concedido al efecto en ambos trámites fue de quince días, y no el xx xxxx días previsto con carácter general en la LPACAP, en atención a las circunstancias que concurren en este supuesto y, especialmente, la residencia fuera de España de las interesadas. Interesa destacar al respecto lo establecido en la citada LPACAP en los artículos siguientes:

“Artículo 32 Ampliación

1. La Administración, salvo precepto en contrario, podrá conceder de oficio o a petición de los interesados, una ampliación de los plazos establecidos, que no exceda de la mitad de los mismos, si las circunstancias lo aconsejan y con ello no se perjudican derechos xx xxxxxxx. El acuerdo de ampliación deberá ser notificado a los interesados.

2. La ampliación de los plazos por el tiempo máximo permitido se aplicará en todo caso a los procedimientos tramitados por las misiones diplomáticas y oficinas consulares, así como a aquellos que, sustanciándose en el interior, exijan cumplimentar algún trámite en el extranjero o en los que intervengan interesados residentes fuera de España”.

“Artículo 73 Cumplimiento de trámites

1. Los trámites que deban ser cumplimentados por los interesados deberán realizarse en el plazo xx xxxx días a partir del siguiente al de la notificación del correspondiente acto, salvo en el caso de que en la norma correspondiente se fije plazo distinto”.

“Artículo 89 Propuesta de resolución en los procedimientos de carácter sancionador”

“2. En el caso de procedimientos de carácter sancionador, una vez concluida la instrucción del procedimiento, el órgano instructor formulará una propuesta de resolución que deberá ser notificada a los interesados. La propuesta de resolución deberá indicar la puesta de manifiesto del procedimiento y el plazo para formular alegaciones y presentar los documentos e informaciones que se estimen pertinentes”.

Por otra parte, WHATSAPP INC. califica también como vicio del procedimiento atribuible a la AEPD la demora producida en la notificación de la propuesta de resolución, cuya entrega tuvo que producirse en las oficinas de la AEPD a un abogado local, a sugerencia de la persona responsable de la investigación.

Pero no es cierto que se incumpliera la obligación de notificar la propuesta de resolución a la entidad interesada, ni es atribuible a la Agencia la demora producida en la entrega. La propuesta de resolución elaborada por el instructor del procedimiento, de fecha 22/12/2017, fue puntualmente remitida a WHATSAPP INC., al domicilio señalado inicialmente a efectos de notificaciones, mediante certificado internacional admitido por el Servicio de Correos en la misma fecha del 22/12/2017. Corresponde a este Servicio la responsabilidad por la tardanza en la entrega, la cual no tuvo lugar hasta el día 23/01/2018, después de que esta Agencia hubiese formulado la oportuna reclamación en fecha 18/01/2018.

Y tampoco es cierto que se entregara la propuesta a “un abogado local” a sugerencia de la Agencia. Fue la propia entidad WHATSAPP INC. la que, a su iniciativa, autorizó expresamente a dicho abogado para que, en su nombre, se personara en la sede de la Agencia para que le fuera notificada la repetida propuesta de resolución.

VII

Las presentes actuaciones tienen por único objeto analizar la conformidad con la

normativa de protección de datos de las comunicaciones de datos personales que WHATSAPP INC. realiza a FACEBOOK INC. relativos a los usuarios del servicio de mensajería instantánea “Whatsapp” y los tratamiento de tales datos que esta última realiza con carácter de responsable a responsable. Ello a la luz de la información que la misma facilita a los usuarios del producto y de los mecanismos habilitados para que los afectados presten su consentimiento para que esa cesión de datos pueda llevarse a efecto.

No será objeto de pronunciamiento alguno ningún otro aspecto en materia de protección de datos que se ponga de manifiesto en los Términos de Servicio y en la Política de Privacidad de WHATSAPP INC., de modo que esta propuesta no servirá de fundamento para considerar que el resto de cuestiones suscitadas por dicha información resultan conformes a la normativa que regula dicha materia.

Tampoco se analiza ningún tipo de cesión de información relativa a usuarios de “Whatsapp” a Facebook Ireland Limited, a las que repetidamente se refieren las entidades interesadas para señalar que esta comunicación de información se encuentra suspendida según los compromisos asumidos con la autoridad de protección de datos xx Xxxxxxx.

Asimismo, no se consideran objeto del procedimiento los accesos a datos personales de usuarios de “Whatsapp” por parte de FACEBOOK, INC. en su condición de encargado del tratamiento, al amparo del contrato de prestación de servicios formalizado por dicha entidad con WHATSAPP INC., salvo que conlleve un tratamiento de datos personales en el que FACEBOOK, INC. intervenga como responsable, según se expondrá en los Fundamentos de derecho siguientes.

Con esa salvedad que se expondrá más adelante, se entiende que FACEBOOK INC. interviene en la condición de encargado del tratamiento cuando realiza tareas en beneficio de WHATSAPP INC. con las finalidad de prestar servicios de soporte, a los que se refieren ampliamente las mismas en sus escritos de alegaciones, los cuales constituyen el objeto del contrato suscrito por ambas entidades. El acceso a la información por parte de FACEBOOK INC. que conlleva las prestación de tales servicios queda amparado, en consecuencia, por lo establecido en el artículo 12 de la LOPD y no tiene la consideración de comunicación de datos, siempre con la excepción que se expondrá.

VIII

Los hechos objeto de las actuaciones, en relación con los datos personales de usuarios de la aplicación “Whatsapp” que WHATSAPP INC. facilita a FACEBOOK INC., determinaron la imputación a aquella entidad de una infracción del artículo 11.1 de la LOPD, que establece lo siguiente:

"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a Cuando la cesión está autorizada en una Ley.

b Cuando se trate de datos recogidos xx xxxxxxx accesibles al público.

c Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en

cuanto se limite a la finalidad que la justifique.

d Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Xxxxx a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores."

La cesión o comunicación de datos se define en el artículo 3.i) de la LOPD como “toda revelación de datos realizada a una persona distinta del interesado”, y se considera un “tratamiento de datos”, definido en la letra c) del mismo artículo como las “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

El presente supuesto no se ajusta a los previstos en el apartado 2 del citado artículo 11 de la LOPD, en los cuales no se requiere el consentimiento del afectado para la comunicación de los datos a un tercero.

Ni siquiera a la contemplada en la letra c) de este apartado, prevista para aquellos casos en los que una relación jurídica válidamente aceptada implique “necesariamente” la conexión del tratamiento con ficheros de terceros. La relación jurídica que vincula al usuario de la aplicación de mensajería con WHATSAPP INC. no requiere, para su ejecución y cumplimiento, que se realicen las cesiones de datos a las que se refiere este procedimiento.

Por tanto, la comunicación de datos personales que WHATSAPP INC. realiza a FACEBOOK INC., de acuerdo con el artículo 11.1 de la LOPD, exige el consentimiento del afectado.

La manera en la que debe recabarse el consentimiento en el marco de una relación

contractual (como la que vincula a WHATSAPP INC. con el usuario de la aplicación) para el tratamiento de datos con fines no relacionados directamente con la relación contratada, viene recogida en el artículo 15 del Reglamento de desarrollo de la LOPD, que establece lo siguiente:

“Artículo 15. Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento”.

Este artículo 15 de RLOPD impone la obligación de facilitar al interesado la posibilidad de mostrar expresamente su negativa al tratamiento de datos para fines no relacionados directamente con el mantenimiento de la relación contractual, “durante el proceso de formación de un contrato”.

En este sentido la sentencia de la Audiencia Nacional de fecha 30 de enero de 2013, ha declarado lo siguiente: “hay que informar y dar la posibilidad de que el afectado pueda mostrar su negativa al tratamiento de sus datos con dicha finalidad, como así lo exige el art. 15 del RD 1720/2007, en relación con el deber de información en la recogida de datos regulado en el citado art. 5.1 LOPD. Y en el caso de autos no se ha informado y dado la posibilidad al afectado de mostrar su negativa al tratamiento de sus datos personales con esos fines que no guardan relación directa con la relación contractual, ni en el momento de realizar el pedido telefónicamente, ni tampoco cuando se recibe el pedido en el domicilio en el talón de venta que tiene que ser firmado por el destinatario de la mercancía, como así hizo el denunciante”.

WHATSAPP INC. habilitó mecanismos para notificar la actualización de los Términos de Servicio y la Política de privacidad, así como para recabar el consentimiento de los usuarios de la aplicación de mensajería “Whatsapp”, tanto en relación con los usuarios existentes en el momento en que se publicó la actualización, como respecto de los usuarios nuevos, cuyo contenido consta reseñado en los hechos probados Cuarto y Quinto.

Los usuarios existentes, al acceder a la aplicación en un teléfono móvil, recibieron un aviso informando sobre dicha actualización, con un enlace que permitía acceder a la misma, así como una indicación advirtiendo que debía aceptarse en un plazo de 30 días (“En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política de Privacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Xxx los Términos y la Política de Privacidad para aprender más acerca de tus opciones. Por favor acepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuar usando WhatsApp”).

Para la aceptación de los Términos de Servicio y de la Política de Privacidad se habilitó un botón con la indicación “ACEPTAR” y se ofreció la misma posibilidad en el apartado de configuración Ajustes->Cuenta de la aplicación “Whatsapp”, opción “Compartir la info de mi cuenta”, con un botón de activación deslizante.

Asimismo, al acceder a los Términos de Servicio y Política de Privacidad siguiendo el enlace antes indicado, se ofreció un mensaje con un checkbox premarcado, con la leyenda “Compartir la información de mi cuenta de WhatsApp con Facebook para mejorar mi experiencia con los productos y publicidad en Facebook. Tus chats y número telefónico no serán compartidos en Facebook independientemente de este ajuste”, y en la base un botón destacado con la indicación “ACEPTAR”. Al desactivar dicho checkbox aparecía el mensaje “Después de pulsar “Aceptar”, la información de tu cuenta no será usada para mejorar tu experiencia con los productos y publicidad en Facebook. Y al activarlo de nuevo se indicaba al usuario que “Después de pulsar “Aceptar”, la información de tu cuenta será usada para mejorar tu experiencia con los productos y publicidad en Facebook”.

Es decir, si no se marca dicho checkbox, la información no se utiliza por FACEBOOK INC. con la finalidad de “mejorar la experiencia con los productos y publicidad en “Facebook”, pero no significa que la comunicación de datos a dicha entidad por parte de WHATSAPP INC. no se lleve a cabo, sino que la misma se realiza con otras finalidades incluidas en la Política de Privacidad.

En el caso de usuarios nuevos, durante la instalación de la aplicación se muestran los enlaces a los Términos de Servicio y a la Política de Privacidad, y si se elige instalar la misma, antes de utilizarla por primera vez se muestra nuevamente un enlace a la información, además de un botón etiquetado como “Aceptar y Continuar” que es necesario pulsar para avanzar.

En este último caso, es decir, para “usuarios nuevos” que pretender descargar la aplicación, no se ofrece la posibilidad de consentir que su información sea compartida con FACEBOOK, INC. “para mejorar mi experiencia con los productos y publicidad en Facebook”.

En definitiva, tanto en el caso de usuarios existentes al publicar la citada actualización como en el de usuarios nuevos que pretender instalar la aplicación, la aceptación de los nuevos Términos de Servicio y de la Política de Privacidad en su totalidad se impone como obligatoria para poder hacer uso de la misma o para realizar su instalación en los dispositivos, en el caso de nuevos usuarios.

Resulta, además, que las cesiones o comunicaciones de datos personales, que no guardan relación con las finalidades que determinaron la recogida de datos personales se realizan sin ofrecer a los usuarios opción alguna para mostrar su negativa a las mismas, por cuanto WHATSAPP INC. únicamente habilitó mecanismos para aceptar la cesión de información con la finalidad de “mejorar mi experiencia con los productos y publicidad en Facebook” y únicamente en el caso de usuarios existentes.

En consecuencia, el consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse libre, y ello impide que el consentimiento prestado pueda considerarse válido.

En el Dictamen 15/2011 del Grupo del Artículo 29, sobre la definición del consentimiento se declara:

“El consentimiento únicamente puede ser válido si el interesado puede elegir una opción real y no hay ningún riesgo de engaño, intimidación, coerción o consecuencias negativas significativas en caso de que no consienta. Si las consecuencias del consentimiento socavan la

libertad de elección de la persona, el consentimiento no es libre...

…el consentimiento “libre” supone una decisión voluntaria, de un individuo en posesión de todas sus facultades, tomada sin ningún tipo de coacción, ya sea social, financiera, psicológica u otra”.

En este caso, exigir la prestación del consentimiento para la cesión de datos personales que contempla la Política de Privacidad, con las finalidades que se expresarán a continuación, como requisito para poder hacer uso de la aplicación de mensajería “Whatsapp”, considerando su implantación social, puede entenderse, en los términos del Grupo del Artículo 29, como “algo que ejerce una influencia real en la libertad de elección del interesado”.

Para ayudar a entender esta conclusión, cabe citar el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, General de Protección de Datos, aunque el mismo no es aplicable al presente caso por razones temporales. Este Reglamento es claro al respecto al señalar en su Considerando 43 que el consentimiento no se ha prestado libremente “cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando éste no sea necesario para dicho cumplimiento”.

Con esta referencia no se pretende fundamentar la infracción conforme al nuevo Reglamento UE, como alegan las entidades interesadas, sino, simplemente, dejar constancia de la confirmación de aquel criterio en la nueva normativa, aplicable a partir del 25/05/2018. Así lo hace también el Tribunal Supremo en la Sentencia de 13/06/2016, reseñada en el Fundamento de Derecho V cuando declara: “…el criterio mantenido por la Sala en esas sentencias, como hemos señalado antes, se ha visto confirmado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos, recientemente aprobado y publicado en el Diario Oficial de la Unión Europea de 4 xx xxxx de 2016, que deroga la Directiva 95/46/CE, el cual, entre otras previsiones a las que ya nos hemos referido y despejando posibles dudas…”.

El artículo 3.h) de la LOPD define el “consentimiento del interesado” como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”, de lo cual se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

Así, para que el consentimiento prestado pueda considerarse válido, el mismo ha de ser informado, de tal modo que la ausencia de información o una información insuficiente sobre los extremos recogidos en el artículo 5 de la LOPD determina la falta de consentimiento para el tratamiento de los datos.

En efecto, el deber de información al afectado aparece regulado en este artículo 5 de la LOPD, cuyos apartados 1 a 3, aplicables al supuesto de recogida de datos del propio afectado, establecen lo siguiente:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de

la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban”.

Asimismo, en cuanto a las formalidades requeridas para la validez del consentimiento prestado, el apartado 3 del mencionado artículo 11 exige que se facilite información al interesado que le permita conocer “la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar”.

La entidad WHATSAPP INC. fue adquirida por FACEBOOK INC. en el año 2014. Esta circunstancia motivó que la primera entidad citada llevase a cabo una actualización de su Política de Privacidad y de los Términos de Servicio de la aplicación de mensajería “Whatsapp”, publicada en fecha 25/08/2016, con la que se pretende informar a los usuarios de dicha aplicación sobre la posibilidad de compartir información relativa a los mismos con la entidad FACEBOOK INC.

De acuerdo con lo indicado en la Política de Privacidad, “WhatsApp recibe o recopila información de nuestros usuarios cuando operamos y proveemos nuestros Servicios, incluso durante la instalación, el acceso o el uso de nuestros Servicios”.

Entre la información que recopila figura la relativa a la cuenta de usuario, que incluye su número de teléfono móvil y los números de teléfono de la libreta de direcciones del teléfono móvil del usuario, ya se trate o no de usuarios de los servicios de WhatsApp Inc., así como un nombre de perfil, foto de perfil y mensaje de estado, en caso de que el usuario los agregue. A la información de la cuenta se asocia las listas de contactos favoritos, grupos y listas de difusión.

Asimismo, se refiere la Política de Privacidad a la información que WhatsApp Inc. recopila automáticamente, sobre la actividad del usuario, archivos de registro, así como informes y registros de rendimiento, sitio web, fallos y diagnóstico; o información sobre transacciones, en su caso.

Entre la información recopilada automáticamente destacar la información sobre la conexión y dispositivos del usuario, las cookies y la información sobre mensajes de estado, estado de conexión y estado de última conexión.

WhatsApp Inc. recopila información específica del dispositivo del usuario cuando

instala, accede o usa los servicios, tal como el modelo de hardware, la información del sistema operativo, información sobre el navegador, la dirección IP e información de la red móvil, incluido el número de teléfono y los identificadores del dispositivo, así como la ubicación del mismo.

Al referirse a las cookies, señala que las utiliza para conocer el idioma del usuario y sus preferencias.

Por otra parte, la Política de Privacidad advierte que WhatsApp Inc. puede recopilar información relativa al usuario proporcionada por terceros, ya sean otros usuarios que proporcionan la lista de contactos de su teléfono, proveedores externos o terceros que prestan servicios a los que el usuario accede a través de WhatsApp.

En cuanto a la comunicación de datos por parte de WhatsApp Inc. a Facebook Inc. y las finalidades para las que se lleva a cabo se informa, con carácter general, que “la Política de Privacidad explica cómo trabajamos en conjunto para brindarte una mejor experiencia; por ejemplo, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes en Facebook”.

Y añade que “nada de lo que compartes en WhatsApp-incluyendo tus mensajes, fotos, e información de perfil será compartido en Facebook, o en alguna de las aplicaciones que pertenecen a la familia de Facebook, para que otros los vean”. No indica que no se ceda esa información a Facebook Inc., sino que la misma no se hará visible a los usuarios de las aplicaciones que pertenecen a la “familia Facebook”.

Se impone a los usuarios del servicio de mensajería “WhatsApp”, y del resto de “aplicaciones, servicios, funciones, software y sitio web” de WhatsApp Inc., la aceptación de las “prácticas de datos”, que incluye el “uso compartido de la información” recopilada, así como la transferencia de la información “a cualquiera de nuestras afiliadas, entidades sucesoras o propietarios nuevos” y la asignación libre a las mismas de todos los derechos y obligaciones establecidos en los Términos de Servicio y en la Política de Privacidad.

En un apartado específico de la Política de Privacidad, dedicado a las “Empresas afiliadas”, WhatsApp Inc. advierte a los usuarios de sus servicios que, “como parte de la familia de empresas de Facebook”, comparte información con esta familia de empresas, señalando en concreto que estas empresas podrán utilizar la información de usuarios de WhatsApp compartida “para ayudar a operar, proveer, mejorar, entender, personalizar y comercializar… sus ofertas”, lo que incluye “entender cómo se usan” los servicios de estas empresas. Y se indica expresamente que “Facebook y las demás empresas de la familia de Facebook también pueden usar nuestra información para mejorar tus experiencias con sus servicios, así como sugerencias (por ejemplo, de amigos o conexiones, o de contenido interesante), mostrar anuncios y ofertas relevantes”.

Es obvio, considerando la información facilitada, que Facebook Inc. utiliza la información de usuarios de “WhatsApp” con finalidades específicas de sus propios servicios y, en definitiva, en beneficio de su propia actividad.

Expresiones como “trabajamos en conjunto”, “compartimos esta información”, “uso compartido de tu información”, “todos nuestros derechos y obligaciones… se asignan libremente a cualquiera de nuestras afiliadas”, “pueden usar nuestra información”, “podemos

compartir tu información” o “Compartir la información de mi cuenta de WhatsApp con Facebook”, permiten concluir que WhatsApp Inc. cede a Facebook Inc. toda la información que recopila de los usuarios del servicio de mensajería “WhatsApp” y que tales cesiones de datos se están produciendo.

Únicamente existe una indicación expresa en el apartado “Empresas afiliadas” sobre el detalle de la información que se comparte, referida a los mensajes de WhatsApp de los usuarios, según la cual estos menajes “se mantienen privados y no se compartirán para que otros lo vean en Facebook”. Por tanto, incluso estos mensajes de WhatsApp se comparten con Facebook Inc., si bien se informa al respecto que “Facebook no usará tus mensajes de WhatsApp para ningún otro propósito distinto del de ayudarnos a operar y proveer nuestros servicios”. Este detalle expreso relativo a los mensajes de WhatsApp confirma la conclusión indicada en el párrafo anterior.

Asimismo, en la información aportada por WHATSAPP INC. y FACEBOOK INC. en respuesta a los requerimientos de información que les fueron realizados por los Servicios de Inspección de esta Agencia, ambas entidades admiten que comparten información de los usuarios de la aplicación “Whatsapp”. En concreto, WHATSAPP INC. confirmó que “actualmente” comparte con FACEBOOK INC. información de todos los usuarios de la aplicación “Whatsapp”, sean o no usuarios de Facebook, advirtiendo al respecto que esa información se transmite con periodicidad tanto diaria como en tiempo real.

En concreto, ambas entidades detallaron que comparten el identificador de la cuenta de usuario de WhatsApp, información sobre el dispositivo (incluyendo un identificador común incluido en las aplicaciones de Facebook y WhatsApp, el prefijo y código de la red móvil del país, información de la plataforma, versión de la aplicación, e identificadores que permiten un seguimiento de la aceptación de la Actualización y las opciones de control); el “estado de última conexión” del usuario (esto es, información sobre la última vez en que el usuario utilizó el servicio); y la fecha en que el usuario se dio de alta en su cuenta de WhatsApp

Considerando los detalles indicados anteriormente, cabe añadir que la información sobre los posibles destinatarios de los datos, sobre las finalidades para las que se le ceden o la utilización que harán de los mismos los cesionarios se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos los datos, lo que impide que el interesado pueda conocer, como señala el Tribunal Constitucional, “a qué uso lo está destinando y, por otro lado, el poder oponerse a esa posesión y usos”. Esta falta de precisión sobre los fines, por otra parte, convierte en ineficaz la información facilitada sobre los tratamientos de datos que se pretenden e impide al usuario conocer el uso al que se destinan sus datos personales.

Por su indefinición, no permite al usuario conocer en la forma precisa que resulta exigible el fundamento que justifica la cesión de sus datos personales, con carácter general, y, menos aún, la utilización que se hará de los mismos; no se especifica qué servicios concretos requieren la utilización de sus datos y qué finalidades específicas justifican esta utilización por un servicio del que puede que no sea usuario; o para un servicio que se creará en el futuro.

No establece restricción alguna sobre los datos que se cederán en relación con las finalidades expresadas, salvo la ya indicada sobre los mensajes de Whatsapp, por lo que el usuario, según las expectativas que resultan razonables y el entendimiento común, y considerando los términos empleados, ha de entender que sus datos se utilizarán para todos

estos fines, que son muy generales, a pesar de la diversa naturaleza de los datos recogidos.

En cuanto al detalle de los datos personales que son compartidos, ambas entidades admitieron que la Política de Privacidad no limita la información exacta que WhatsApp puede compartir con Facebook. A este respecto, ha de tenerse en cuenta que la delimitación de la información que se recaba y que será cedida en relación con una finalidad específica contribuye a la delimitación y comprensión de los fines y, además, es necesarias para valorar la proporcionalidad de la comunicación de dicha información y para poder evaluar la compatibilidad de cualquier tratamiento de datos posterior sobre una base cierta.

Tampoco Whatsapp Inc. informa de modo expreso, preciso e inequívoco, sobre el carácter obligatorio o facultativo de la respuesta del usuario a las preguntas que le sean planteadas, o de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

En el Dictamen 15/2011 del Grupo del Artículo 29, sobre la definición del consentimiento se declara:

“Para ser válido, el consentimiento debe ser específico. En otras palabras, el consentimiento indiscriminado sin especificar la finalidad exacta del tratamiento no es admisible.

Para ser específico, el consentimiento debe ser comprensible: referirse de manera clara y precisa al alcance y las consecuencias del tratamiento de datos. No puede referirse a un conjunto indefinido de actividades de tratamiento. Esto significa, en otras palabras, que el consentimiento se aplica en un contexto limitado.

El consentimiento debe darse en relación con los diversos aspectos del tratamiento, claramente identificados. Esto implica saber cuáles son los datos y los motivos del tratamiento. Este conocimiento debería basarse en las expectativas razonables de las partes. Por tanto, el

«consentimiento específico» está intrínsecamente relacionado con el hecho de que el consentimiento debe estar informado. Existe un requisito de precisión del consentimiento con respecto a los diferentes elementos del tratamiento de datos: no puede pretenderse que abarque «todos los fines legítimos» perseguidos por el responsable del tratamiento. El consentimiento debe referirse al tratamiento que es razonable y necesario en relación con la finalidad”.

Y sobre el consentimiento informado:

“… significa en la práctica que «El consentimiento debe ser con conocimiento de causa: un consentimiento «informado» por parte del interesado supone un consentimiento basado en la apreciación y comprensión de los hechos y consecuencias de una acción. El individuo afectado debe contar con información exacta y completa, dada de forma clara y comprensible, sobre todas las cuestiones pertinentes, en especial las especificadas en los artículos 10 y 11 de la Directiva, tal como la naturaleza de los datos tratados, los fines del tratamiento de que van a ser objeto los datos, los destinatarios de los mismos y los derechos del interesado. Esto incluye también el conocimiento de las consecuencias de no consentir el tratamiento de los datos en cuestión”.

En consecuencia, el consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse específico e informado, y ello impide que el consentimiento prestado pueda considerarse válido.

Por tanto, considerando lo expuesto en el presente Fundamento de Derecho y los anteriores, la cesión de datos a FACEBOOK INC. se realiza por WHATSAPP INC. en contra de lo establecido en el artículo 11 de la LOPD. Esta infracción está tipificada como grave en el artículo 44.3.k) de la LOPD, que califica como tal “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”, pudiendo ser sancionada con multa de 40.001 a 300.000 €, de acuerdo con el artículo 45.2 de la citada LOPD.

El artículo 6.1 de la LOPD establece lo siguiente:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”.

El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “… consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).”

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Además, según ha quedado expuesto, para que el consentimiento prestado pueda considerarse válido ha de ser informado.

En este caso, las deficiencias expuestas en relación con la información facilitada a los usuarios de “Whatsapp” sobre la cesión de sus datos personales y el efecto que estas deficiencias produce sobre el la validez del consentimiento prestado al aceptar la Política de Privacidad y Términos de Servicio, deben entenderse reproducidas respecto de la validez del consentimiento prestado para que los datos cedidos puedan ser sometidos a tratamiento por parte de FACEBOOK INC., como destinataria de la información cedida por WHATSAPP INC., resultando, según se ha indicado, que el consentimiento prestado no puede considerarse libre, específico e informado.

Sirven, igualmente, los argumentos expuestos en el Fundamento de Derecho siguiente para desestimar el planteamiento realizado por WHATSAPP INC. y FACEBOOK INC. en las respuestas facilitadas a los Servicios de Inspección, que pretenden justificar la utilización de los datos de usuarios de “Whatsapp” por parte de FACEBOOK INC. en su condición de encargado del tratamiento de los datos, para la prestación de servicios a WHATSAPP INC. Así, el acceso y utilización de los datos personales de usuarios de la aplicación por parte de FACEBOOK INC.

en su propio interés y con finalidades específicas suyas (las detalladas en el Fundamento de Derecho anterior) constituye un tratamiento de datos que exige el consentimiento previo del interesado, el cual no se ha recabado en este caso de conformidad con las normas aplicables.

La infracción de lo establecido en el artículo 6 de la LOPD se encuentra tipificada como grave en el artículo 44.3.b) de dicha norma, que considera como tal “Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”, pudiendo ser sancionada, con multa de 40.001 euros a 300.000 euros, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.

XII

Conforme al artículo 3.d) de la LOPD, el responsable del fichero o del tratamiento es “la persona física o jurídica... que decida sobre la finalidad, contenido y uso del tratamiento”. En el artículo 5.1.q) del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD), se define “Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.

El artículo 3.g) de la LOPD, define la figura del encargado del tratamiento como “…la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento…”. Y el artículo 5.1.i) del RDLOPD lo define como “La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.

En cuanto a las relaciones entre el responsable del fichero o tratamiento y el encargado del tratamiento, habrá que estar a lo dispuesto en el artículo 12 de la LOPD:

“1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los

comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

Con esta regulación se pretende dar respuesta a situaciones en que el responsable del tratamiento precise encomendar a un tercero la prestación de un servicio que requiera el acceso a datos de carácter personal, de modo que dicho acceso no constituya una cesión de datos, sino que se realice en nombre y por cuenta del responsable como si fuera él mismo quien lo lleva a cabo. Se exige que el acceso a los datos por el tercero se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero.

WHATSAPP INC. y FACEBOOK INC. han manifestado que la primera cede los datos a la segunda en calidad de encargado del tratamiento, a efectos de recibir servicios y con el fin de brindar soporte general a la compañía y a sus operaciones. Añaden que eso incluye compartir información con fines de análisis de inteligencia empresarial respecto de los servicios que ofrecen ambas compañías (así como otras aplicaciones pertenecientes a la familia de Facebook), tales como labores de deduplicación, que permiten un recuento preciso de los usuarios de WhatsApp (incluyendo usuarios activos) y conocer el número de usuarios únicos de la familia de aplicaciones, así como un seguimiento de patrones de uso de WhatsApp, en relación con patrones de uso de otras aplicaciones que forman parte de la familia de Facebook.

Se habla, por ejemplo, de que FACEBOOK INC. realiza labores de deduplicación para conocer usuarios únicos de los servicios que prestan la familia Facebook, así como las características de uso y la frecuencia. WHATSAPP INC. y FACEBOOK INC. manifiestan que es necesario correlacionar las cuentas de “Facebook” y “Whatsapp” para realizar un análisis de inteligencia empresarial respecto de los servicios que ofrecen dichas entidades y otras aplicaciones de la familia Facebook, ya que permite la deduplicación de usuarios únicos de la familia de aplicaciones.

Sin embargo, según ha quedado expuesto, en el presente caso se informa a los usuarios de la aplicación de mensajería “Whatsapp” que las entidades interesadas trabajan “en conjunto” o que hacen un “uso compartido de la información” con la finalidad de “ayudar a operar, proveer, mejorar, entender, personalizar y comercializar… sus ofertas” o para brindar a los usuarios “una mejor experiencia; por ejemplo, hacer sugerencias de productos, y mostrarte ofertas y publicidad relevantes en Facebook”.

Además, tanto Facebook Ireland como WHATSAPP INC., en sus respuestas a los requerimientos que les fueron realizados por los Servicios de Inspección de esta Agencia, manifestaron que compartir los datos de todos los usuarios de la aplicación “Whatsapp” es necesario para “identificar” y calcular el número de usuarios únicos de la familia de servicios que ofrece Facebook y que dicha información permite entender si el usuario de “Whatsapp” es realmente usuario único de dicha aplicación o si dispone también de una cuenta en Facebook, así como informar a los medios externos, incluyendo a sus inversores, del número de usuarios con los que cuenta y la frecuencia con la que los mismos utilizan la familia de servicios que ofrece Facebook.

Y declararon, asimismo, que es necesario correlacionar de forma fiable las cuentas de Facebook y Whatsapp con la finalidad de permitir a Facebook mejorar la experiencia de publicidad y productos que ofrece a sus usuarios, lo que esta última entidad describe como mejorar el producto principal de Facebook (como por ejemplo, a efectos de mejorar la exactitud

de las sugerencias que ofrece la característica de ‘Gente que podrías conocer”) o de los productos publicitarios de Facebook (como por ejemplo, a efectos de relacionar con mayor precisión sus propios usuarios con anuncios que los anunciantes dirigen a sus clientes). Para ello, según informó Facebook Ireland, se utiliza fundamentalmente la identificación de la cuenta de usuario de “Whatsapp”.

Considerando estas finalidades, no puede decirse que el acceso a los datos de usuarios de “Whatsapp” por FACEBOOK INC. se efectúa con la exclusiva finalidad de prestar un servicio al responsable del fichero. El acceso y tratamiento por parte de FACEBOOK INC. a los datos personales de usuarios de “Whatsapp” no se realiza únicamente para prestar servicios a WHATSAPP INC., sino también en el propio beneficio de FACEBOOK INC. y con finalidades de su interés exclusivo, empresarial o de otro tipo.

La correlación de datos a la que se refieren estas entidades conlleva contrastar las bases de datos de ambas empresas para delimitar aquellos usuarios que son comunes a ambas, de forma que es posible conocer a las personas que no figuran en la base de datos de cada una de las empresas y que, por tanto, se convierten en potenciales clientes de las mismas. Una entidad obtiene datos de usuarios de otra entidad, que no eran suyos propios, pasando a estar a su disposición. Y ello con el propósito de mejorar el producto principal de Facebook y los productos publicitarios de la misma.

El artículo 47 del Reglamento de desarrollo de la LOPD se refiere a la “Depuración de datos personales” en los términos siguientes:

“Cuando dos o más responsables por sí mismos o mediante encargo a terceros pretendieran constatar sin consentimiento de los afectados, con fines de promoción o comercialización de sus productos o servicios y mediante un tratamiento cruzado de sus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos, el tratamiento así realizado constituirá una cesión o comunicación de datos”.

Siendo así, en relación con la correlación de datos con las finalidades expresadas, FACEBOOK INC. no puede ser considerada encargada del tratamiento y la entrega de información a la misma por parte de WHATSAPP INC. para dicha correlación de datos constituye una verdadera comunicación o cesión de datos, puesto que por esa vía FACEBOOK INC. establece un nuevo vínculo con los usuarios de “Whatsapp”. FACEBOOK INC. no sólo presta el servicio al responsable del fichero, WHATSAPP INC., sino que destina los datos a su propia finalidad publicitaria y de mejora de sus productos.

A este respecto, el artículo 20 del mismo Reglamento de desarrollo de la LOPD establece que “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”.

Por ello, la operación no encaja en la figura del encargado del tratamiento y requiere el previo consentimiento libre, específico e informado del afectado, con el alcance expresado en los Fundamentos de Derechos anteriores.

Se alega que no es aplicable el artículo 47 del Reglamento de desarrollo de la LOPD, según la propia doctrina de la AEPD recogida en el informe jurídico 0364/2015. Sin embargo, el presente caso no se ajusta al supuesto analizado en dicho Informe, en el que se analiza la depuración que una entidad realiza en dos bases de datos para identificar los registros

comunes y excluirlos de una acción publicitaria. En el presente caso, FACEBOOK INC. utiliza la información de usuarios de “Whatsapp” para realizar una deduplicación con el alcance expresado, en su propio beneficio y en el del grupo de empresas, lo que constituye una cesión de datos.

El Grupo de Trabajo del Artículo 29, en el Dictamen sobre cuestiones de protección de datos en relación con buscadores de fecha 04/04/2008, indica lo siguiente sobre la correlación de datos entre servicios:

“El Grupo de Trabajo considera que la correlación de datos personales entre los servicios y plataformas para usuarios registrados sólo puede realizarse de forma legítima basándose en el consentimiento después de haber informado adecuadamente a los usuarios.

Registrarse ante el proveedor del buscador para beneficiarse de un servicio de búsqueda más personalizado debe ser un acto voluntario…

También puede efectuarse una correlación para los usuarios no registrados, basándose en la dirección IP o en una cookie única que pueden reconocer todos los distintos servicios ofrecidos por un proveedor de un buscador. Normalmente esto se hace de forma automática, sin que el usuario sea consciente de dicha correlación. La vigilancia encubierta del comportamiento de las personas, por supuesto, de comportamientos privados como visitar páginas web, no cumple los principios de tratamiento xxxx y legítimo de la Directiva de protección de datos. Los proveedores de servicios de búsqueda deben ser muy claros sobre el grado de correlación de datos entre los diversos servicios y actuar exclusivamente cuando exista consentimiento.

Por último, algunos proveedores de servicios de búsqueda admiten explícitamente en su política de privacidad que enriquecen los datos proporcionados por los usuarios con datos de terceros, otras empresas… Este tipo de correlación puede ser ilegal si no se informa a los interesados en el momento de recabar sus datos personales y si no se les proporciona una forma fácil de acceder a sus perfiles personales, así como el derecho a rectificar o suprimir algunos elementos incorrectos o superfluos. Si el tratamiento en cuestión no es necesario para prestar el servicio (de búsqueda), se requerirá el consentimiento informado y libre del usuario para que el tratamiento sea legítimo”.

XIII

El consentimiento no es el único fundamento de legalidad. El tratamiento y cesión de datos podría resultar conforme con los preceptos de la LOPD si concurriera alguno de los supuestos contemplados en el artículo 6.2 de la Ley mencionada, que eximen de la obligación de recabar el consentimiento del afectado, como excepciones a la regla general contenida en el 6.1, estableciendo que “2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el xxx xxxxxxx a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.

En este caso, interesa analizar las excepciones relativas a la existencia de un contrato o precontrato de una relación negocial, para cuyo mantenimiento o cumplimiento resulte necesario el tratamiento de los datos personales, o de un interés legítimo perseguido por el

responsable.

La excepción a la regla general del consentimiento relativa al interés legítimo del responsable ha de completarse, conforme a lo prescrito por la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, con la contenida en el artículo 7.f) de la Directiva 95/46/CE, dotado según esa sentencia de efecto directo, y que prescribe que “Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si (…) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

Indica la Sentencia de 24 de noviembre de 2011 citada, en su apartado 38, que el artículo 7.f) de la Directiva “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” y, en relación con la citada ponderación, el apartado 40 recuerda que la misma “dependerá, en principio, de las circunstancias concretas del caso particular de que se trate y en cuyo marco la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado”.

Por este motivo, la sentencia señala en su apartado 46 que los Estados miembros, a la hora de adaptar su ordenamiento jurídico a la Directiva 95/46, deberán procurar basarse en una interpretación de ésta que les permita garantizar un justo equilibrio entre los distintos derechos y libertades fundamentales protegidos por el ordenamiento jurídico de la Unión, por lo que, conforme a su apartado 47, “nada se opone a que, en ejercicio del margen de apreciación que les confiere el artículo 5 de la Directiva 95/46, los Estados miembros establezcan los principios que deben regir dicha ponderación”.

De este modo, para aplicar la causa legitimadora establecida en el citado artículo 7 f) será preciso aplicar la regla de ponderación prevista en el mismo; es decir, valorar si de las circunstancias en las que se produce el tratamiento o cesión de datos puede determinarse que el interés legítimo de los responsables, en que éstos fundan la cesión y el tratamiento de los datos ha de entenderse prevalente sobre los derechos del interesado, debiendo tenerse en cuenta el artículo 1 de la LOPD, según el cual “la presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”. Para ello habrán de tenerse en cuenta todas las circunstancias que rodean la recogida, tratamiento y cesión de los datos y el modo en que se ven cumplidos o reforzados los principios, derechos y obligaciones exigidos por la normativa de protección de datos de carácter personal

El artículo 7.f) de la Directiva 95/46/CE no puede ser interpretado en el sentido de que la mera invocación del interés legítimo del responsable pueda justificar por sí solo el tratamiento o cesión de los datos, sino que es necesario que el mencionado interés legítimo sea preponderante sobre los derechos e intereses de los afectados. Así lo ha puesto de manifiesto el Tribunal de Justicia de la Unión Europea en la tan repetida Sentencia de 24 de

noviembre de 2011, tal y como se ha indicado en un lugar anterior de la presente resolución.

Así, el mero interés legítimo derivado de la simple voluntad de ejercer una actividad empresarial o las simples mejoras en la prestación de un servicio (“para ayudar a operar, proveer, mejorar, entender, personalizar y comercializar… sus ofertas”; “mejorar tus experiencias con sus servicios, así como sugerencias (por ejemplo, de amigos o conexiones, o de contenido interesante), mostrar anuncios y ofertas relevantes”), en beneficio de la propia actividad, no es suficiente para legitimar una cesión de datos si una vez efectuado el juicio de ponderación impuesto por el artículo 7.f) de la Directiva han de prevalecer otros derechos fundamentales e intereses dignos de protección y, en particular, los derechos a la intimidad y a la protección de datos de carácter personal, consagrado por los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea y 18 de la Constitución. Xxxx impone que el interés legítimo invocado deba ostentar la relevancia necesaria para que quepa apreciar su prevalencia una vez llevada a cabo la mencionada ponderación.

Por otra parte, deberá tenerse en cuenta que el interés legítimo ha de valorarse atendiendo, especialmente, a la proporcionalidad del tratamiento en relación con la finalidad pretendida, y que el mismo se encuentra estrechamente vinculado al establecimiento de mecanismos que permitan al usuario anteponer su propio interés y el respeto de sus derechos.

En este caso, como se ha puesto de manifiesto, de las actuaciones practicadas se desprende que no resulta posible la determinación clara de las finalidades que justifican el tratamiento de los datos, ni qué datos son recogidos y cedidos para cada una de ellas. Del mismo modo, se ha constatado que la información facilitada al interesado no resulta ajustada a lo exigido por la normativa nacional y de la Unión Europea en materia de protección de datos de carácter personal.

De este modo, considerando lo anterior y que ni siquiera es posible conocer claramente las finalidades del tratamiento difícilmente las mismas pueden asociarse a intereses legítimos que puedan prevalecer sobre los derechos de los interesados, a los que no se informa claramente acerca de los extremos exigidos por las normas de protección de datos.

Por otra parte, tampoco cabe apreciar la excepción relativa a la existencia de un contrato o relación negocial, por cuanto la relación que vincula a la entidad WHATSAPP INC. con los usuarios de la aplicación de mensajería no requiere, como necesaria para su mantenimiento o cumplimiento, la comunicación de datos constitutiva de la infracción declarada. Esta relación no cumple el requisito de necesidad al que se refiere el artículo 6.2 de la LOPD cuando señala que “No será preciso el consentimiento cuando los datos de carácter personal… se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

La legitimación para el tratamiento se limita a lo necesario para la adecuada prestación de dicho servicio, de modo que no puede considerarse que los usuarios, por el simple hecho de usar una aplicación, permitan la cesión a terceros de sus datos personales y el tratamiento posterior por parte de estos.

XIV

En las alegaciones presentadas por WHATSAPP INC. a la propuesta de resolución se limita a reiterar las mismas razones puestas de manifiesto con anterioridad. Básicamente, señala que las cesiones se realizan en virtud del contrato de encargo de tratamiento, no

existiendo prueba sobre cesiones de datos indiscriminadas, y que esta Agencia se basa en una interpretación errónea de la Política de Privacidad y de las respuestas facilitadas durante la fase previa de investigación.

No comparte esta Agencia esa conclusión sobre la interpretación errónea de la información que las propias entidades interesadas aportaron en respuesta a los requerimientos que le fueron efectuados por los Servicios de Inspección, con el alcance que nuestro ordenamiento jurídico otorga a tales actuaciones.

Esa información ha sido detallada ampliamente en los Antecedentes y Fundamentos de Derecho que preceden. No obstante, se estima oportuno reseñar nuevamente, como ejemplo, algunas de las manifestaciones realizadas por WHATSAPP INC. a los Servicios de Inspección de esta Agencia:

<<Sus Preguntas:

Datos que comparte WhatsApp con Facebook

Dando respuesta a la primera pregunta de la Carta de la AEPD, debe inicialmente advertirse que WhatsApp únicamente recopila ciertas categorías limitadas de datos personales de sus usuarios, y que a su vez únicamente comparte con Facebook cierta información igualmente limitada.

(…)

WhatsApp actualmente comparte las siguientes categorías limitadas de información con Facebook:

• El identificador de la cuenta de usuario de WhatsApp (WhatsApp Account ID);

• Cierta información sobre el dispositivo (incluyendo un identificador común incluido en las aplicaciones de Facebook y WhatsApp, el prefijo y código de la red móvil del país, información de la plataforma, versión de la aplicación, e identificadores que permiten un seguimiento de la aceptación de la Actualización y las opciones de control);

• El “estado de última conexión” del usuario (esto es, información sobre la última vez en que el usuario utilizó el servicio); y

• La fecha en que el usuario se dio de alta en su cuenta de WhatsApp>>.

Y en el párrafo siguiente puntualiza que a esa fecha no comparte los contactos de los usuarios de la aplicación de mensajería:

“Si bien la Política de Privacidad de WhatsApp no limita la información exacta que WhatsApp puede compartir con Facebook, WhatsApp no comparte a esta fecha los contactos de WhatsApp de sus usuarios con Facebook, sin que tampoco exista a esta fecha previsión alguna a efectos de compartir dicha información”.

Dentro del mismo apartado “Sus preguntas” incluye la siguiente respuesta: “Detalles en relación con las cesiones

En respuesta a las preguntas cuarta y quinta que se plantean en la Carta de la AEPD, las

distintas categorías limitadas de datos que WhatsApp comparte son recopiladas de los propios usuarios de WhatsApp con ocasión del uso por su parte de nuestros servicios, incluyendo a través de su uso de nuestra aplicación de mensajería WhatsApp Messenger. Esto se explica con mayor detalle en el apartado de “Información recopilada” previsto en la Política de Privacidad de WhatsApp. Dicha información se transmite de forma segura a través xx xxxxxxx tecnológicos cifrados a través de Internet a los servidores de Facebook”.

En relación con los usuarios que no consintieron que sus datos sean cedidos, WHATSAPP INC. manifestó lo siguiente:

“Además, tal y como se ha indicado anteriormente, WhatsApp proporcionó un control sobre el uso de los datos sin precedentes con el fin de permitir a los usuarios existentes que eligiesen si Facebook puede utilizar la información de su cuenta de WhatsApp para mejorar los productos y la experiencia publicitaria de Facebook. Los usuarios existentes que han aceptado la Actualización pero que utilizaron ese control para no permitir a Facebook utilizar la información de sus cuentas de WhatsApp para mejorar los productos y la experiencia publicitaria de Facebook pudieron continuar utilizando el servicio de WhatsApp como antes, de acuerdo con los actualizados Términos y la Política de Privacidad. En estos casos, Facebook no utilizará esta información de las cuentas de usuarios de WhatsApp para mejorar sus productos y su experiencia publicitaria. No obstante, dicha información de las cuentas de usuarios de WhatsApp podría seguir siendo compartida con Facebook con otras finalidades incluidas en la Política de Privacidad como, por ejemplo, para entender cómo son utilizados los servicios de WhatsApp o los servicios de otras sociedades del grupo Facebook…”.

Es tanto como decir que la información relativa a usuarios que si prestaron su consentimiento será utilizada por Facebook Inc. para mejorar sus productos y su experiencia publicitaria.

El artículo 45.2 y 4 LOPD establece lo siguiente:

“2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros”. “4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora”.

Tras las evidencias obtenidas, se considera que procede graduar las sanciones a imponer de acuerdo con los siguientes criterios que establece el artículo 45.4) de la LOPD, que operan en el presente caso concreto como circunstancias agravantes tanto en relación con la entidad WHATSAPP INC. como con FACEBOOK INC., a saber:

1. Por el carácter continuado de la infracción (apartado a), dado que no consta en el expediente que se haya informado correctamente a los usuarios sobre las comunicaciones de datos realizadas por WHATSAPP INC. y su utilización posterior por parte de FACEBOOK INC.

2. Por el volumen de los tratamientos efectuados (apartado b), pues se estima que WHATSAPP INC. tiene 37 millones de usuarios en España y FACEBOOK INC. 21 millones también en España.

3. Por la vinculación de la actividad de las infractoras con la realización de tratamientos de carácter personal (apartado 4.c), pues la actividad empresarial de las entidades interesadas exige un continuo tratamiento de datos de carácter personal, tanto de los usuarios de sus servicios como de terceros, que se traduce en un deber de extremar la diligencia a fin de garantizar una tutela efectiva del derecho fundamental que nos ocupa.

La sentencia de la Audiencia Nacional de 17 de octubre de 2007 (Rec. 63/2006) exige a estas entidades que observen un adecuado nivel de diligencia, e indica a este respecto: “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.

4. Por el volumen de negocio o actividad del infractor (apartado 4.d); indicar al respecto que, como dato a tener en cuenta en la graduación de la sanción a imponer, WHATSAPP INC. y FACEBOOK INC. tienen un gran volumen de facturación, como resulta público y notorio.

5. Por los beneficios obtenidos como consecuencia de la comisión de la infracción: los ingresos de Facebook se basan en la publicidad, y el propósito de la cesión es tener una medida más precisa del público de Facebook y perfilado para publicidad. Whatsapp Inc., por su parte, manifiesta que comparte información para el análisis de las oportunidades de monetización de Whatsapp con la ayuda de los sistemas de Facebook.

6. En relación con el grado de intencionalidad (apartado 4.f), conviene recordar que el elemento de la exigibilidad de una conducta diferente es considerado por el Tribunal Supremo como un elemento delimitador de la culpabilidad de las conductas sancionables (sentencias de fechas 23 de octubre de 2006 y 22 de noviembre de 2004), ya que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Así, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva.

En este caso si bien no es posible sostener que WHATSAPP INC. y FACEBOOK INC. hayan actuado intencionadamente o con dolo, no cabe ninguna duda de que han incurrido en una grave falta de diligencia. El elevado volumen de tratamientos que realiza se traduce en un

deber de extremar la diligencia y de actuar con un mayor rigor a fin de garantizar una tutela efectiva del derecho fundamental que nos ocupa.

Por todo ello, procede imponer a la entidad WHATSAPP INC. una sanción por importe de 300.000 euros, por la infracción del artículo 11 de la LOPD; y a la entidad FACEBOOK INC. una sanción por el mismo importe de 300.000 euros por la infracción del artículo 6 de la misma norma.

WHATSAPP INC. ha presentado escrito de alegaciones a la propuesta de resolución en el que se opone a los criterios de graduación reseñados, que coinciden con lo valorados por el instructor del procedimiento. Sin embargo, basa esta oposición en la inexistencia de infracción y en los mismos argumentos empleados para justificar esa posición, que no se estiman adecuados para desvirtuar el análisis realizado por esta Agencia para la determinación de la sanción.

Así, frente a los criterios tenidos en cuenta, no se estima suficiente con negar la infracción y el intercambio de información o acudir de nuevo a la existencia de un contrato de encargo de tratamiento, ni la mera afirmación sobre el ínfimo volumen de información que conllevaría la comunicación de datos, la cual se realiza sin tener en cuenta en modo alguno el número de afectados. Lo mismo ocurre respecto de la negligencia apreciada, sobre la que WHATSAPP INC. únicamente expresa que “no cabe atribuir negligencia o mala praxis” a su conducta.

Tampoco la colaboración con la AEPD y la entrega de la información solicitada por ésta, que están configuradas como una obligación legal, puede salvar los efectos de las circunstancias agravantes reseñadas.

Por otra parte, en cuanto al volumen de negocio, se alega que no cabe considerar los ingresos de Facebook Inc. para la fijación de la sanción que proceda imponer a WHATSAPP INC., que sólo procede considerar a estos efectos las cifras de la actividad en España, las cuales corresponden a Facebook Xxxxxxx y no a Facebook Inc. Sin embargo, se entiende que todas ellas pertenecen a un mismo grupo empresarial y que las acciones a las que se refiere el procedimiento se emprenden con el propósito claro de favorecer las actividades desarrolladas por las entidades que integran dicho grupo.

Los mismos argumentos, en su totalidad, sirven para rechazar la solicitud formulada por WHATSAPP INC. para que se considere lo establecido en el artículo 45.5 de la LOPD, la cual se justifica por dicha entidad simplemente señalando que dicho precepto es aplicable por las mismas razones expuestas.

Finalmente, debe recordarse que según las respuestas facilitadas, la información se transmite de forma diaria o en tiempo real>>.

III

En su escrito de recurso, FACEBOOK se limita a reproducir los argumentos expuestos en los escritos de alegaciones presentados durante la tramitación del procedimiento que dio lugar a la resolución impugnada, sin considerar los hechos constatados y los fundamentos que determinaron el acuerdo adoptado, en los que se analizan ampliamente las circunstancias

puestas de manifiesto por la misma.

Incluso, en su mayor parte, el escrito de recurso reproduce de forma casi literal el escrito presentado por Whatsapp de alegaciones a la propuesta de resolución elaborada por el instructor del procedimiento. Por esta razón, en la transcripción de los Fundamentos de Derecho efectuada anteriormente no han sido suprimidas aquellas partes dedicadas a exponer los motivos que desvirtúan aquellas alegaciones de Whatsapp Inc., ahora válidos para rechazar las pretensiones de FACEBOOK.

La recurrente, por otra parte, omite en su recurso cualquier referencia a las principales circunstancias de hecho o de derecho puestas de manifiesto en el acto impugnado, aquellas que resultaron determinantes para declarar la infracción o para rechazar los planteamientos defendidos por las entidades interesadas.

Por tanto, dichos alegatos quedan sobradamente rebatidos con los argumentos transcritos, que se consideran válidos y suficientes para rechazar la solicitud de revocación y anulación de la resolución de 02/03/2018 que dicho recurso contiene.

Interesa destacar, no obstante, que FACEBOOK basa su recurso en la ausencia de pruebas sobre la cesión de datos personales objeto de las actuaciones. Sin embargo, no considera esta entidad que dicha cesión o comunicación de datos, la cual conlleva ineludiblemente el tratamiento de datos por parte de FACEBOOK, ha sido expresamente reconocida por las dos entidades interesadas, detallando incluso las categorías de datos comunicados por Whatsapp Inc. a FACEBOOK. Y que consta igualmente reconocido que la información se transmite de forma diaria o en tiempo real.

Así resulta de las respuestas ofrecidas a los requerimientos de información que les fueron remitidos por los Servicios de Inspección de esta Agencia. Parte de estas respuestas, cuya simple lectura lleva a la conclusión expresada sin ningún margen de error, fue resaltada en el Fundamento de Derecho XIV, al que cabe remitirse nuevamente.

Esta comunicación de datos constituye, además, el fundamento último de la actualización de la Política de Privacidad y Términos de Servicio llevada a cabo por Whatsapp Inc. en agosto de 2016. Con esta actualización dicha entidad pretende, específicamente, informar a los usuarios de la aplicación de mensajería “Whatsapp” sobre su incorporación al “Grupo Facebook”, al haber sido adquirida por FACEBOOK INC., y sobre las implicaciones que dicho cambio societario representa en materia de protección de datos, destacando entre ellas las cesiones de datos que realizan las citadas compañías. En el Fundamento de Derecho X de la resolución recurrida se destacan algunos aspectos concretos de la información ofrecida al respecto a los usuarios de la aplicación.

También esa cesión o comunicación de datos es el motivo que llevó a Whatsapp Inc. a habilitar mecanismos para que los repetidos usuarios pudieran acceder y conocer a la nueva Política de Privacidad y Términos de Servicio, así como para que los mismos pudieran consentir en concreto la cesión de datos a FACEBOOK, hasta el punto de que la aceptación de esta cesión se configura como un requisito necesario para el uso de la aplicación. Aunque los mecanismos diseñados no se han considerado suficientes para entender válido el consentimiento prestado por el usuario, por las razones detalladas en la resolución, no existe duda ni error posible en la conclusión sobre su propósito, que no es otro que imponer al usuario la cesión de sus datos personales a FACEBOOK.

Nada que añadir, por otra parte, a los argumentos expuestos en la resolución impugnada sobre la plena aplicabilidad al presente supuesto de los principios y normas regulados en la LOPD y la competencia de esta Agencia para sancionar la infracción, basados en dos hechos irrefutables, como son la existencia en España de un establecimiento permanente de FACEBOOK en cuyo contexto se tratan los datos y la utilización por dicha entidad de medios situados en territorio español con el fin de captar información en nuestro territorio.

También reproduce Whatsapp las alegaciones sobre las irregularidades formales que dicha entidad aprecia en la tramitación del procedimiento y también a este respecto omite las circunstancias esenciales. Consta debidamente acreditado en las actuaciones que los actos de instrucción fueron debidamente remitidos y notificados a FACEBOOK y que fueron respetados los trámites de audiencia preceptivos que la norma establece, otorgándole en cada caso un plazo para formular alegaciones con la ampliación por la mitad del tiempo prevista en supuestos en los que interviene una entidad con residencia fuera de España.

Y no es cierto lo señalado en el recurso cuando FACEBOOK refiere que la resolución fue recibida en su sede de Estado Unidos el 22/03/2018, una vez vencido el período máximo de seis meses previsto para resolver el procedimiento. Dicha Resolución fue notificada a FACEBOOK en fecha 02/03/2018, a través de su establecimiento permanente es España (Facebook Spain), y también en su domicilio en California el 09/03/2018, por el servicio de mensajería, según consta debidamente acreditado mediante los correspondientes justificantes de entrega. Ambas notificaciones tuvieron lugar antes de la finalización del plazo de seis meses establecido como plazo máximo para resolver y notificar la resolución dictada.

Finalmente, en cuanto a la graduación de la sanción, tampoco se aporta ninguna razón que justifique estimar el recurso que, una vez más, reproduce casi de forma literal las alegaciones a la propuesta de resolución formuladas por Whatsapp Inc. en relación con los criterios de graduación del artículo 45.4.

Considera FACEBOOK que no son aplicables las circunstancias agravantes consideradas en la resolución impugnada por las mismas razones que dicha entidad argumentada para justificar la inexistencia de infracción, señalando que el tratamiento de datos que realiza es lícito, que no existe intercambio de datos o que no presta servicio en la Unión Europea. En cuanto al volumen de facturación, indica que no tiene ingresos en España.

Ya se advertía en la resolución que no es adecuado desvirtuar el análisis realizado por la Agencia para graduar la sanción negando la infracción o el intercambio de información, ni la mera afirmación sobre el ínfimo volumen de información que conllevaría la comunicación de datos, la cual se realiza sin tener en cuenta en modo alguno el número de afectados. Lo mismo ocurre respecto de la negligencia apreciada, sobre la que FACEBOOK únicamente expresa que “no cabe atribuir negligencia o mala praxis” a su conducta. Según se indicó, tampoco la colaboración con la AEPD y la entrega de la información solicitada por ésta, que están configuradas como una obligación legal, puede salvar los efectos de las circunstancias agravantes apreciadas. Y en cuanto al volumen de negocio se entendió que las entidades intervinientes pertenecen a un mismo grupo empresarial y que las acciones a las que se refiere el procedimiento se emprenden con el propósito claro de favorecer las actividades desarrolladas por las entidades que integran dicho grupo.

Sobre los criterios de graduación valorados por la AEPD, se estima suficiente con remitir la respuesta a lo argumentado en el Fundamento de Derecho XV de la resolución impugnada. No obstante, se reproducen a continuación los criterios tenidos en cuenta para determinar la cuantía de la multa, para destacar que no han si quiera mencionados por FACEBOOK, a pesar de su notoriedad:

“1. Por el carácter continuado de la infracción…

2. Por el volumen de los tratamientos efectuados (apartado b), pues se estima que WHATSAPP INC. tiene 37 millones de usuarios en España y FACEBOOK INC. 21 millones también en España.

3. …la actividad empresarial de las entidades interesadas exige un continuo tratamiento de datos de carácter personal, tanto de los usuarios de sus servicios como de terceros…

4. Por el volumen de negocio o actividad del infractor…

6. …han incurrido en una grave falta de diligencia. El elevado volumen de tratamientos que realiza se traduce en un deber de extremar la diligencia y de actuar con un mayor rigor a fin de garantizar una tutela efectiva del derecho fundamental que nos ocupa”.

En consecuencia, en este caso, la recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución de 02/03/2018, en la que se acordó imponer a la misma una sanción por la infracción de lo establecido en el artículo 6 de la LOPD.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por FACEBOOK INC. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 2 xx xxxxx de 2018, en el procedimiento sancionador PS/00219/2017.

SEGUNDO: NOTIFICAR la presente resolución a la entidad FACEBOOK INC., en su domicilio social, y también a través de FACEBOOK SPAIN, S.L. como establecimiento del responsable en España para que dé traslado de la misma a FACEBOOK INC.

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los

días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso- administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.

Mar España Xxxxx

Directora de la Agencia Española de Protección de Datos

Document Metadata

Table of Contents

HECHOS

Document Metadata