HECHOS
Procedimiento nº.: PS/00439/2016
ASUNTO: Recurso de Reposición Nº RR/00398/2017
Examinado el recurso de reposición interpuesto por la entidad CSQ NON STOP SHOPS, S.L. contra la resolución dictada por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00439/2016, y en base a los siguientes,
HECHOS
PRIMERO: Con fecha 23 xx xxxxx de 2017, se dictó resolución por la Directora de la Agencia Española de Protección de Datos en el procedimiento sancionador, PS/00439/2016 , en virtud de la cual se imponía a la entidad CSQ NON STOP SHOPS, S.L., una sanción de 20.000 € (veinte mil euros), por la vulneración de lo dispuesto en el artículo 12.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), infracción tipificada como leve en el artículo 44.2.d), de conformidad con lo establecido en el artículo 45.1, 4 y 5 de la citada Ley Orgánica.
Dicha resolución, que fue notificada al recurrente en fecha 27/03/2017, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en el artículo 127 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00439/2016, quedó constancia de los siguientes:
<<PRIMERO: Vodafone suscribió con CSQ el día 1 xx xxxxx de 2014 contrato de distribución mayorista no exclusiva, que no ha sufrido cambios, si bien se renueva anualmente manteniendo la misma estructura cambiando las condiciones económicas. El contrato tiene por objeto la compra por parte del mayorista a Vodafone de productos asociados a los servicios de comunicaciones electrónicas móviles del operador, a fin de proceder a su posterior distribución y venta a PVM (puntos de venta minorista), en las condiciones establecidas en el citado contrato, entre otras, se estipula lo siguiente:
"QUINTA. Características de la actividad.
5.7 El MAYORISTA deberá hacer llegar a los PVM con los que trabaje todos los comunicados que VODAFONE genere para su canal de distribución (…).
DECIMOPRIMERA. Cumplimiento de la normativa aplicable.
11.1. VODAFONE y el MAYORISTA deberán cumplir la normativa vigente que les sea de aplicación, con especial mención a la Ley Orgánica 15/1999, al Real Decreto 1720/2007, así como cualquier otra normativa vigente en cada momento (…).
11.3. Asimismo, el mayorista dará traslado de todas las obligaciones en materia de protección de datos a los PVM a los que suministre para lo cual, y con carácter
previo a la entrega de las Tarjetas de Prepago y Packs suscribirá con cada uno de ellos un contrato de tratamiento de datos de conformidad con el modelo que se adjunta Anexo III (…).
11.4. En cumplimiento de la Ley 25/2007, el mayorista deberá cumplir con las instrucciones que VODAFONE le comunique y que se adjuntan al Anexo II, relativas con las obligaciones de la identificación presencial y recogida de datos de los clientes, (…) recogida de los datos personales en nombre y por cuenta de VODAFONE.
En cuanto a los datos que el MAYORISTA recabe en cumplimiento de la citada Ley, este únicamente tratara los mismos con la finalidad de llevar acabo su recogida en nombre y por cuenta de Vodafone, aplicando las medidas de seguridad adecuadas que cumplan los requisitos establecidos en el artículo 9 de la LOPD, así como del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD) para el tratamiento de ficheros de Nivel Básico de Seguridad y, en concreto, las medidas de seguridad definidas en el Anexo V del presente contrato.
El MAYORISTA no podrá realizar, ni siquiera a efectos de conservación, copias de los datos de carácter personal facilitados por los compradores en cumplimiento de las obligaciones de identificación presencial, en ningún soporte documental, físico o electrónico, y no podrá comunicarlos a ningún tercero.
(…)
ANEXO II. RECOGIDA DE DATOS. CONTRATO DE DISTRIBUCIÓN MAYORISTA
El presente anexo contiene las instrucciones relativas al cumplimiento de la Disposición Adicional Única de la Ley 25/2007, respecto de (i) la identificación presencial y recogida de datos de los Clientes que adquieran una Tarjeta de Prepago o un Pack de Prepago con carácter previo a la venta y (ii) la información a los mismos en los términos descritos en la citada Ley, todo ello de conformidad con lo dispuesto en la cláusula 11.2 del Contrato de Distribución Mayorista del que este anexo trae causa.
PRIMERA Identificación presencial y recogida de datos del cliente/comprador
1. El MAYORISTA deberá trasladar al PVM, mediante la suscripción de un acuerdo que recoja las obligaciones relacionadas en el presente anexo, la obligación imprescindible de identificar PRESENCIALMENTE al Cliente/Comprador mediante su tarjeta identificativa original. (El subrayado es de la Agencia)
La documentación a presentar por las personas físicas, según su nacionalidad y situación, es la siguiente:
- Para nacionales españoles: DNI o NIE.
- Para ciudadanos de la Comunidad Europea se acepta DNI, Tarjeta de Residencia y Pasaporte
- Para ciudadanos de fuera de la Comunidad Europea: Pasaporte o NIE
2. Asimismo, el MAYORISTA deberá indicar al PVM el procedimiento que se deberá seguir para recoger datos y activar la tarjeta de forma correcta.
Los datos se deberán recoger en PVM a través de la herramienta informática IRIS o a través de la herramienta Web Service, habilitada en la Web del MAYORISTA. Será obligatorio comprobar que los datos proporcionados por el Cliente/Comprador y grabados en el sistema se corresponden con la documentación proporcionada (…).
En relación con la utilización de la herramienta Web Service, y dado que a través de la misma el MAYORISTA podrá tener acceso a datos de carácter personal, además de cumplir con lo previsto en el Contrato del que el presente Anexo es parte inseparable e implementar las Medidas de Seguridad que resulten pertinentes (…).
SEGUNDA: Datos a recabar de los compradores de servicios prepago
1. PERSONAS FÍSICAS
El MAYORISTA deberá trasladar al PVM la obligación de recabar los siguientes datos de carácter obligatorio: Nombre, Apellidos, Nacionalidad, Tipo y número de Documento (DNI, NIF, Pasaporte, Tarjeta Residencia).
2. PERSONAS JURÍDICAS
El MAYORISTA deberá trasladar al PVM la obligación de recabar los siguientes datos de carácter obligatorio: Razón social, Tipo y número de Documento de identificación fiscal y Domicilio completo.
TERCERA. Impresión y firma a solicitud del cliente
En el caso de que el cliente lo solicite, se imprimirá una única copia de la documentación y se entregara al Cliente/Comprador, sin que el PVM pueda quedarse con una copia.
(ANEXO III AL CONTRATO DE DISTRIBUCIÓN MAYORISTA) MODELO DE CONTRATO DE TRATAMIENTO DE DATOS
REUNIDOS
De una parte, D. xxxxxxxxxx, mayores de edad, que actúan en nombre y representación de xxxxxxxxx (en adelante, "xxxxxxxx") con CIF. xxxxxxx y domicilio en xxxxxxxxxxxx (Madrid) en virtud del poder de representación otorgado ante el Notario de xxxxxxxxxx D.xxxxxxxxxxxx, en fecha xxxxxx xx xxxxx de xxxxxxxx, al número xxxxxxxx de su protocolo y en fecha x de xxxxxxx de xxxxxx, al número xxxxx de su protocolo, respectivamente
Y de otra parte, D. xxxxxxxx, mayor de edad, que actúa en nombre y representación de xxxxxxxxxxxxx (en adelante, "xxxxxxx"), empresa con domicilio social en xxxxxxxxxx en calidad de xxxxxxxxxxxxxxxxx y domicilio profesional en xxxxxxxxxxxxx.
EXPONEN
I.Que el MAYORISTA y VODAFONE han suscrito un Contrato de Distribución Mayorista no Exclusiva de VODAFONE (en adelante, "el Contrato") por medio del cual el MAYORISTA compra productos asociados a los servicios de comunicaciones electrónicas móviles prepago de VODAFONE a fin de proceder a su posterior distribución y venta a Puntos de Venta minoristas.
II.- Que para la correcta prestación del servicio, se requerirá el acceso a datos de carácter personal de VODAFONE, acceso que se llevará a cabo por parte del MAYORISTA. Sin embargo, y puesto que el MAYORISTA distribuye los productos entre los Puntos de Venta minoristas estos necesitarán, para la correcta prestación del servicio, acceso a datos titularidad de VODAFONE.
III.- Que como consecuencia de lo anterior, VODAFONE autoriza al MAYORISTA a actuar en su nombre y representación, por lo que, el MAYORISTA y el Punto de Venta minorista desean suscribir el presente Contrato de conformidad con las siguientes
CLÁUSULAS
I - Objeto
Dando cumplimiento al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), es objeto del presente Contrato la determinación por parte del MAYORISTA de las medidas de seguridad que el Punto de Venta minorista como "Encargado del Tratamiento", deberá adoptar en el acceso y tratamiento de los datos personales de Xxxxx Xxxxxx titularidad de que llevará a cabo para prestar el Servicio previsto en el Expositivo I. así como la garantía por parte del Punto de Venta minorista de cumplir con la normativa vigente en materia de Protección de Datos Personales y, especialmente lo dispuesto por la LOPD y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante, "RLOPD").
II.- Encargado del Tratamiento
En ningún caso se entenderá la prestación del Servicio que realice el Punto de Venta minorista a favor del MAYORISTA como una cesión de datos sino como un “Encargo de Tratamiento" del Punto de Venta minorista al MAYORISTA en los términos previstos en el artículo 12 de la LOPD.
El Punto de Venta minorista declara conocer que el Fichero al que tiene acceso contiene datos personales y. como "Encargado del Tratamiento" de los mismos, se compromete a actuar en todo momento conforme a las instrucciones del MAYORISTA, así como a lo dispuesto en la normativa que le resulte aplicable en materia de protección de datos personales.
El Punto de Venta minorista como "Encargado del Tratamiento", se compromete a no aplicar ni utilizar los datos personales que figuran en dichos Ficheros para objeto o fin distinto al que estrictamente figure en el contrato de prestación de servicios firmado.
Ill - Medidas de Seguridad
El Punto de Venta minorista se compromete a implantar todas las medidas de
seguridad que el RLOPD establece para el tratamiento de ficheros de Nivel Básico de Seguridad y, en concreto, las medidas de seguridad exigibles de índole técnica, legales y organizativas que aparecen definidas y enumeradas en los artículos 89 a 94, ambos inclusive, del RLOPD, respecto a ficheros automatizados y los artículos 105 a 108, ambos inclusive, del citado RLOPD para aquellos datos que se encuentren en ficheros no automatizados en caso de que el servicio prestado por el Punto de Venta minorista requiera acceso a este tipo de ficheros.
IV - Deber de Confidencialidad
El personal del Punto de Venta minorista que tenga acceso a los datos personales objeto de tratamiento deberá ser informado acerca de su índole confidencial y de sus responsabilidades. Esta obligación de confidencialidad será notificada por el Punto de Venta minorista a los empleados que intervengan en alguna medida en la ejecución de este contrato.
El punto de venta minorista garantiza que únicamente accederán a dichos ficheros las personas cuya labor sea fundamental para la prestación del servicio objeto de tratamiento.
V.- Prohibición de Comunicación de Datos Personales
El punto de venta minorista se compromete a guardar bajo su control y custodia todos los datos de carácter personal a los que acceda con motivo de la prestación del Servicio objeto de encargo y a no divulgar, transferir, o de cualquier forma comunicar, ni siquiera para su conservación a otras personas, en todo o en parte, los datos contenidos en los ficheros, siendo responsable de cualquier reproducción o utilización ilegítima de los mismos.
El Punto de Venta minorista no podrá subcontratar el servicio objeto del presente contrato en todo o en parte a ningún tercero.
VII.- Obligación de Devolución de los Datos
Una vez cumplida la prestación del servicio, el Punto de Venta minorista se compromete a destruir o devolver, según la preferencia del MAYORISTA, aquella información que contenga datos de carácter personal que haya sido facilitada con motivo de la prestación del Servicio, u obtenida por el Punto de Venta minorista como "Encargado de Tratamiento" cualquiera que fuera el soporte en el que conste, lo que acreditará al Punto de Venta minorista mediante la firma de un documento que será remitido al MAYORISTA una vez destruida o devuelta al MAYORISTA toda la información, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
VIII - Copias de Seguridad
El Punto de Venta minorista se compromete a no copiar o reproducir la información facilitada, salvo cuando sea necesario para su tratamiento o para implantar las medidas de seguridad a las que está legalmente obligada como Encargada del Tratamiento.
En este último supuesto, cada una de las copias o reproducciones estará sometida a los mismos compromisos y obligaciones que se establecen en la presente cláusula, debiendo ser destruidas o devueltas, conforme se indica en el apartado anterior.
IX.- Responsabilidades
El Punto de Venta minorista se obliga a mantener indemne al MAYORISTA frente a cualquier reclamación que pueda ser interpuesta (en especial, en caso de apertura de cualquier tipo de expediente por la Agencia Espańola de Protección de Datos) por el incumplimiento por el Punto de Venta minorista de la legislación sobre Protección de Datos de Carácter Personal
y. en especial, de las garantías recogidas en este contrato, y acepta pagar la cantidad a la que en concepto de sanción, multa, indemnización, dańos, perjuicios e intereses por las que puedan ser condenadas, incluyendo honorarios razonables de abogados, con motivo del citado incumplimiento, sin perjuicio de que el MAYORISTA pueda ser obligado a atender la reclamación directamente.
En el caso de que el Punto de Venta minorista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
El incumplimiento de las medidas de seguridad por parte del Punto de Venta Minorista facultará al mayorista a resolver el contrato y a exigir a ésta la indemnización por dańos y perjuicios que, en su caso corresponda.
X.- Verificación del cumplimiento por el responsable
El Mayorista se reserva la facultad de auditar, sin previo aviso, los sistemas e instalaciones del Punto de Venta Minorista, a los únicos efectos de comprobar el cumplimiento de las medidas de seguridad establecidas en el presente contrato.
El Punto de Venta Minorista acepta dicha facultad del mayorista y pondrá a disposición la ayuda y colaboración necesaria para llevar a cabo dicha comprobación.
Y en prueba de conformidad con cuanto antecede y con voluntad de obligarse, las partes firman el presente documento por duplicado y a un solo efecto, en el lugar y fecha expresados a continuación
a de de 2014
Por el Mayorista Por el Punto de Venta
Minorista
D. D.
ANEXO IV. ESPECIFICACIONES EN MATERIA DE SEGURIDAD, FRAUDE Y PROTECCIÓN DE LA INFORMACIÓN. CONTRATO DE DISTRIBUCIÓN MAYORISTA.
ANEXO A: Acuerdo de confidencialidad individual. ANEXO B: Normas y procedimientos de seguridad.
ANEXO V: MEDIDAS DE SEGURIDAD DE NIVEL BÃSICO.
El presente anexo, contiene las Medidas de Seguridad que el MAYORISTA, en su condición de Encargado del Tratamiento deberá cumplir de conformidad con los previsto en la Ley Orgánica 15/1999 y el Real Decreto 1720/2007, respecto de los datos de carácter personal a los que tenga acceso de manera, tanto automatizada, como en papel y que sean datos responsabilidad de VODAFONE.""
(Folios 18-102, 128-217)
SEGUNDO: La operadora Vodafone facilita el acceso a sus sistemas de los PVM a través de Web Services de los mayoristas, los PVM introducen los datos necesarios del comprador de un servicio prepago para proceder a su activación. Al acceder a la web del mayorista se visualiza una leyenda, que deben aceptar, donde se les recuerda la información de recabar los datos correctamente y verificar la identidad del comprador y textualmente lo siguiente:
""Condiciones legales
Acepto la utilización de la herramienta “Vodafone WAS” para registrar la venta de productos prepago Vodafone, y para ello me comprometo a incorporar únicamente los datos de comprador solicitados en el apartado activación
Los datos obligatorios para las personas físicas son: nombre, apellidos, nacionalidad, tipo y número de documento (DNI, NIF, Pasaporte, Tarjeta Residencia).
Adicionalmente, es obligatorio IDENTIFICAR PRESENCIALMENTE al comprador mediante la documentación original solicitada en cada caso, y comprobar que los datos proporcionados por el comprador y grabados en “Vodafone WAS” son correctos, veraces y están actualizados y se corresponden con la documentación proporcionada. (…).
Me comprometo hacer un buen uso de la información recabada de los compradores y que he registrado en la herramienta “Vodafone WAS”.
Para aceptar las condiciones legales introduce tu contraseña y pincha en el botón ACEPTAR.
Aceptar Rechazar ""
También, los PVM que no disponen de acceso a internet, por lo que no pueden acceder a la web service del mayorista, Vodafone proporciona la posibilidad de facilitar los datos de los clientes a través de una plataforma telefónica. (Folios 13-102, 112-217, 218-224)
TERCERO: Añade la operadora que periódicamente se recuerda a los Mayoristas la obligatoriedad de acreditar la identidad de los compradores a través de reuniones y del envío de correos electrónicos, adjuntan el enviado en mayo de 2015 Comunicad Vodafone Identificación de clientes en PdV, en el que se reitera la correcta identificación
presencial de los clientes y trasladar dichos aspectos al PVM mediante la suscripción de un acuerdo. (Folios 13-102, 218-224)
CUARTO: En relación con las obligaciones de supervisión, control y depuración de datos inexactos o incompletos que Vodafone realiza a CSQ y/o minoristas manifiesta la entidad lo siguiente: De manera previa a la activación de cualquier servicio en la modalidad de prepago, los sistemas de Vodafone verifican que los datos de identificación fiscal (NIF/NIE) son correctos. Si no lo son el sistema no deja seguir con la activación. De forma periódica, Vodafone a través de su departamento de Fraude, Riesgo y Seguridad, hace auditorias de los datos introducidos por los mayoristas y/o los PVM de tal forma que si detecta alguna irregularidad en algún PVM, desde Vodafone exigen al mayorista que corte el acceso a los Sistemas de Vodafone. En algunos casos, se llega a sancionar al mayorista en caso de que no haya puesto las medidas de control correctas exigidas por Vodafone, en el presente caso, a CSQ nunca ha sido necesario proceder a una sanción hasta la fecha. (Folios 13-102, 218-224)
QUINTO: Las líneas prepago contratadas a través del mayorista CSQ Non Stop Shops SL, de las que Vodafone dispone de los datos exigidos por la normativa (Disposición Adicional Única de la Ley 25/2007, de 18 de octubre, de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones) son los siguientes:
***TEL.1: Servicio activado el 10 xx xxxxx de 2014, dado de baja por expiración el 4 xx xxxxx de 2015, titular A.A.A. y nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM (en adelante PVM) Xxxx Xxxxxxx, S.L.
***TEL.2: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 9 xx xxxx de 2015, titular B.B.B. y nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Xxxx Xxxxxxx, S.L.
***TEL.3: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 9 xx xxxx de 2015, no constan datos del comprador. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Xxxx Xxxxxxx, S.L.
***TEL.4: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 9 xx xxxx de 2015, titular C.C.C. y nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM D.D.D..
***TEL.5: Servicio activado el 24 xx xxxxx de 2014, dado de baja por expiración el 3 xx xxxx de 2015, titular Xxxxxx Xxxxxxx Xxxxxxxxx y nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM D.D.D..
***TEL.6: Servicio activado el 3 de septiembre de 2014, dado de baja por expiración el 30 xx xxxxx de 2015, titular la empresa Sodimper Málaga, S.L. con CIF B*******. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Gran Vía 282, S.L.
***TEL.7: Servicio activado el 2 de septiembre de 2014, dado de baja por expiración el 12 de febrero de 2015, titular la empresa Sodimper Málaga, S.L. Este
servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Gran Vía 282, S.L.
***TEL.8: Servicio activado el 20 xx xxxxx de 2014, dado de baja por expiración el 13 xx xxxxx de 2015, titular E.E.E. y nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Xxx Xxxx, S.L.
***TEL.9: Servicio activado el 9 de septiembre de 2014, dado de baja por expiración el 30 xx xxxxx de 2015, titular la empresa Telkia, S.L. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Watanya, S.L.
***TEL.10: Servicio activado el 10 xx xxxxx de 2014, dado de baja por expiración el 2 xx xxxx de 2015, titular F.F.F. y con nacionalidad española. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Watanya, S.L.
***TEL.11: Servicio activado el 9 de septiembre de 2014, dado de baja por expiración el 30 xx xxxxx de 2015, titular la empresa Telkia, S.L. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM G.G.G..
***TEL.12: Servicio activado el 3 de septiembre de 2014, dado de baja por expiración el 13 xx xxxxx de 2015, titular la empresa Sodimper Málaga, S.L. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM G.G.G..
***TEL.13: Servicio activado el 3 de septiembre de 2014, dado de baja por expiración el 13 xx xxxxx de 2015, su titular la empresa Sodimper Málaga, S.L. Este servicio fue adquirido por el mayorista CSQ y fue vendido al comprador en el PVM Xxxxx Xxx Food, S.L..
(Folios 6-8, 218-219)
SEXTO: CSQ ha informado (entrada 01/08/16) a la Inspección de Datos en relación con la contratación de líneas prepago del operador Vodafone por parte de minoristas lo siguiente: Que tienen suscrito con la operadora Vodafone contrato de distribución mayorista no exclusiva Vodafone que coincide con el aportado por la operadora y contrato de suministro de recargas prepago. Que CSQ suscribe con cada minorista un Contrato, en el que se detallan los aspectos contemplados en el artículo 12 de la Ley Orgánica 15/1999, y el Real Decreto 1720/2007.
---Con respecto al procedimiento mediante el cual los PVM dan de alta a los clientes éste se realiza mediante el acceso a la herramienta de activación de clientes de Vodafone (denominada WAS), se visualiza la pantalla con las condiciones legales que el PVM debe de aceptar mediante firma con contraseña para continuar con el proceso, y cumplimentan los datos obligatorios que la operadora ha habilitado a tal efecto y que son los siguientes: Tipo de documento (NIF, Pasaporte, Tarjeta de residente); Número de documento de identidad; Nacionalidad; Nombre, Primer apellido; Fecha de nacimiento. Una vez completados dichos datos obligatorios, la herramienta WAS verifica que son correctos y acepta o rechaza la activación, quedando registrados en la base de datos de Vodafone.
---El PVM acepta las instrucciones cuando se conecta a la plataforma de Vodafone, bien directamente a través de la herramienta propia de la operadora o a
través de la página de CSQ, que redirecciona a los usuarios a la página del operador, el PVP debe aceptar las condiciones legales del aplicativo Vodafone mediante firma con contraseña, para seguir adelante con el proceso. Por lo que los datos del cliente residen en Vodafone.
---Con objeto de la identificación y autenticación para el acceso al sistema, el cliente contacta telefónicamente con el departamento de Atención al Cliente de CSQ, el cual, mediante diversas preguntas de seguridad verifica la personalidad del cliente y le asigna un usuario. A su vez, por correo electrónico le envía una clave de acceso, que viene obligado a modificar en su primer acceso y que resulta desconocida para nosotros. Se recoge una pregunta de seguridad para una posterior identificación en caso de bloqueo del usuario. (Folios 112-217, 218-224
SEPTIMO: CSQ –igualmente informa a la Inspección- en relación con las líneas prepago que han remitido SMS´s al denunciante (PS/00518/2015), que no le consta que hayan sido activadas en su red de distribución, han podido ser activadas a través de la red de otro mayorista pero algunas han realizado recargas con posterioridad a la activación. (Folios 113-114, 222-224)
OCTAVO: Con fecha 11/11/16 se inició el período de práctica de pruebas y entre otras se acordó: 2. Se requiere a CSQ Non Stop Shops SL para que en el plazo xx xxxx días aporte a este procedimiento los documentos necesarios que acreditan ante esta AEPD el procedimiento mediante el cual comunica las instrucciones dadas a los minoristas (PVM) y la obligación de los mismos de suscribirlas o aceptarlas.
Igualmente se le requiere para que -en ese mismo plazo- aporte copia de los contratos suscritos en el periodo xx xxxx a diciembre de 2014, las prórrogas de los mismos en periodos posteriores –si hubiere- o, en su caso, los contratos suscritos hasta la fecha o al término de la relación contractual, con los minoristas (PVM) siguientes.
Sodimper Málaga, S.L. Xxxxx Pack Food SL. G.G.G.
Watanya SL Raj Wali SL
Gran Vía 282 SL
D.D.D.
Xxxx Xxxxxxx SL. (Folio 465)
NOVENO: En su respuesta la denunciada afirma lo dicho en su escrito de alegaciones, que no es la responsable de los datos, ni del fichero, ni del tratamiento; la responsabilidad del fichero corresponde a Vodafone. Los datos son transmitidos
directamente por el punto de venta al responsable del fichero Vodafone. Puntualiza quienes realizan recargas solo y quienes activan tarjetas SIM. Adjunta copia de los contratos suscritos con tres de los PVM requeridos. (Folios 466-476)>>
TERCERO: CSQ NON STOP SHOPS, S.L. ha presentado en fecha 26 xx xxxxx de 2017, en esta Agencia Española de Protección de Datos, recurso de reposición fundamentándolo, básicamente, en las alegaciones formuladas en el procedimiento sancionador cuya resolución es objeto del citado recurso.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver el presente recurso la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo LPACAP).
II
En relación con las manifestaciones efectuadas por CSQ NON STOP SHOPS, S.L., reiterándose básicamente, en las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en los Fundamentos de Derecho del II al IV ambos inclusive, de la Resolución recurrida, tal como se transcribe a continuación:
<<II
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD) dispone:
"Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente."
En el artículo 44 de la LOPD se establecen los tipos de infracciones:
"1. Las infracciones se calificarán como leves, graves o muy graves.
2. Son infracciones leves:
a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley."
En el artículo 45.1 de la citada Ley Orgánica se establece la infracción leve puede ser sancionada con multa de 900 a 40.000 euros.
III
CSQ, la entidad investigada como responsable de la infracción arriba descrita, está obligada por el contrato suscrito con Vodafone, en el desarrollo de su actividad de distribución como mayorista con los PVM (punto de venta minorista) de un producto. Este producto consiste en una tarjeta prepago para telefonia móvil que al ser adquirida debe ser registrada en la red de Vodafone, asociada a los datos personales y de identidad de la persona adquirente para su activación y uso posterior.
Debido a dicho tratamiento de datos de carácter personal necesarios conforme a la normativa en vigor el mayorista CSQ está obligado al distribuir el producto a celebrar con el minorista un contrato que regule la realización de ese tratamiento por cuenta de un tercero siguiendo las instrucciones del responsable (Vodafone) y que no podrá hacerlo para fin distinto, ni comunicará otra persona. Además ese contrato debe establecer las medidas de seguridad (art 9 LOPD) que el encargado (PVM) está obligado a implementar.
CSQ no ha acreditado la celebración por escrito de ese contrato con sus
minoristas, ni en concreto con los minoristas requeridos. La copia de los contratos aportados no sigue el modelo proporcionado por la operadora Vodafone ni incorpora el contenido referido a la regulación necesaria para que los PVM puedan realizar tratamiento de datos de carácter personal por cuenta de la operadora Vodafone. Por esta razón se considera que ha infringido el art 12 de la LOPD, en su apartado 2. Dicha infracción está tipificada como infracción leve en el art 44.3.d) de la misma ley orgánica.
IV
El artículo 45. LOPD, en su redacción vigente en el momento en que tuvieron lugar los hechos, dispone lo siguiente:
“1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000
euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»
Los hechos probados, según han quedado redactados, ponen de manifiesto una falta de la diligencia debida que ha provocado la incidencia que motiva el presente procedimiento sancionador.
Los criterios de graduación de las sanciones establecidas en el artículo 45.4, aplicados a las circunstancias del presente procedimiento, dan lugar a las siguientes observaciones:
--- Es claro el carácter continuo de la infracción: El carácter anual prorrogable del contrato de distribución mayorista que obliga a CSQ a celebrar un determinado contrato con los minoristas ha de considerarse vigente, pues nada indica lo contrario, y por tanto la obligación de realizar dicho contrato con los minoristas. Las manifestaciones de dicha mayorista indican que mantiene su actividad y que la sigue desarrollando según indica, sin suscribir contrato escrito con los minoristas –conforme a la obligación contractual con la operadora y la norma de protección de datos de carácter personal- y sin utilizar "alguna otra forma que permita su celebración y contenido" que permite el 12.2 citado arriba. (45.4.a))
--- La vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal, puesto que es una empresa que tiene como actividad la distribución de servicios de telefonia a todo tipo de personas y tiene un constante tratamiento de datos de carácter personal derivado del volumen de negocio y clientes que tiene, estando, por tanto, su actividad estrechamente relacionada con el tratamiento de datos personales. (45.4.c))
--- El grado de intencionalidad no puede ser valorado como el de una persona física, ha de contemplarse como el de una entidad jurídica que realiza su actividad dirigida por los órganos de dirección que toman las decisiones relevantes y que son puestas en práctica por los empleados de todos los niveles. Todos los incumplimientos de toda la cadena de ejecución perfilan el grado de intencionalidad de la entidad al no tomar las medidas de control que hubieran evitado los hechos. (45.4.f))
--- Los procedimientos implantados no han sido efectivos, y todo hace pensar en
que no es una anomalía de funcionamiento de dichos procedimientos, sino un claro incumplimiento de los mismos. (45.4.i))
El balance de todas las circunstancias contemplados por el 45.4 de la LOPD permite fijar la sanción en 20.000 €.>>
III
Por lo tanto, en el presente recurso de reposición, CSQ NON STOP SHOPS,
S.L. no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DESESTIMAR el recurso de reposición interpuesto por CSQ NON STOP SHOPS, S.L. contra la Resolución de esta Agencia Española de Protección de Datos dictada con fecha 23 xx xxxxx de 2017, en el procedimiento sancionador PS/00439/2016.
SEGUNDO: NOTIFICAR la presente resolución a la entidad CSQ NON STOP SHOPS, S.L..
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Mar España Xxxxx
Directora de la Agencia Española de Protección de Datos