AEPD - Décision n° PS/00003/2021 du 25 février 2022 concernant la société PAGE GROUP EUROPE
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 03/03/2020, a través del “Sistema de Información del Mercado Interior” (en lo sucesivo IMI), regulado por el Reglamento (UE) nº 1024/2012, del Parlamento Europeo y del Consejo, de 25 de octubre de 2012 (Reglamento IMI), cuyo objetivo es favorecer la cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y el intercambio de información, se recibió en esta Agencia Española de Protección de Datos (AEPD) una reclamación de fecha 23/12/2018, formulada por A.A.A. (en lo sucesivo la reclamante) ante la autoridad de protección de datos de Países Bajos (Autoreit Persoonsgegevens -AP). El traslado de esta reclamación a la AEPD se realiza de conformidad con lo establecido en el artículo 56 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en lo sucesivo Reglamento General de Protección de Datos o RGPD), teniendo en cuenta su carácter transfronterizo y que esta Agencia es competente para actuar como autoridad de control principal.
La citada reclamación se formula contra la entidad “Michael Page International” por los motivos siguientes:
- La reclamante, ciudadana holandesa, abrió una cuenta en la versión holandesa del portal web de Michael Page International, accesible en la URL “URL.1”, y remitió por ese canal, en marzo 2018, un Curriculum Vitae (CV) para la consecución de un puesto de trabajo ofrecido por la rama holandesa del grupo PageGroup. Unos meses después, solicitó acceso a sus datos personales a través de la dirección de e-mail indicada en la Política de Privacidad del portal web, “EMAIL.1”.
En respuesta a la citada solicitud de acceso, en un primer momento, la entidad responsable exigió a la reclamante que aportara (…). Sin embargo, tras la protesta de la solicitante, que consideró excesiva la petición de documentación, Michael Page International rectificó (…).
- La reclamante considera que no hay motivo para solicitarle esa información identificativa, (…), ni para remitir un CV con el fin de optar a un puesto de trabajo. Entiende la reclamante que el acceso autenticado en la cuenta, que aún está activa, debería ser suficiente para entender ejercitado el derecho de conformidad y acreditada la identidad del solicitante en un sistema como el usado por el responsable, basado en la utilización de una cuenta privada.
Con la reclamación se aportó copia de la correspondencia mantenida por la reclamante con el responsable del tratamiento a raíz de la solicitud de acceso, formulada con fecha 28/09/2018, la cual también se acompañó. Esta correspondencia consta reseñada en los Hechos Probados 4 a 9. La documentación de esta reclamación fue completada a través de una asistencia voluntaria en IMI, remitida por la entidad Autoreit Persoonsgegevens con fecha 12/05/2020, incorporando la consulta que la autoridad holandesa hizo al establecimiento que el grupo PageGroup tiene en Países Bajos (Michael Page International - Nederland Bv), en idioma holandés, sobre la toma de decisiones relacionadas con medios y fines de los tratamientos de datos personales que afectan a residentes de los Estados miembros.
En la respuesta ofrecida por aquel establecimiento a la citada consulta, en idioma inglés, se indica que, a pesar de que la sede del grupo empresarial se encuentra en Reino Unido, el departamento encargado de la gestión de las solicitudes de acceso para Europa continental es el equipo de Cumplimiento Legal, situado en el Centro de Servicios Compartidos sito en Barcelona (España). La dirección postal de dicho departamento se indica en la Política de Privacidad de la versión en holandés de la página web del responsable, accesible en la URL “URL.2”.
De acuerdo con dicha contestación, el establecimiento español del grupo empresarial sería el establecimiento principal, en el sentido de la definición del artículo 4.16 del RGPD. Así, conforme a lo dispuesto en el artículo 56.1 del RGPD, con fecha 21/05/2020, la AEPD se declaró competente para actuar como autoridad de control principal (LSA).
Según las informaciones incorporadas al Sistema IMI, de conformidad con lo establecido en el artículo 60 del RGPD, se han declarado interesadas en el presente procedimiento, además de la autoridad de control que ha comunicado el caso (Países Bajos), las de Bélgica, Irlanda, Polonia, Italia, Hungría, Portugal, Chipre y Austria, así como las regionales alemanas de Renania del Norte-Westfalia, Renania-Palatinado, Mecklemburgo-Pomerania Occidental, Berlín y Baviera Sector Privado.
SEGUNDO: Con arreglo al procedimiento previsto en la legislación nacional interna (artículo 64.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD), con fecha 11/06/2020, la AEPD trasladó la citada reclamación al establecimiento español del grupo PageGroup con sede en LOCALIDAD.1, esto es, la empresa PAGE GROUP EUROPE, S.L. (en lo sucesivo PAGE GROUP EUROPE o entidad reclamada), para que en el plazo de un mes acreditara haber dado respuesta a la solicitud de la reclamante, informara sobre las causas que motivaron la incidencia producida y detallara las medidas adoptadas para evitar situaciones similares.
En respuesta a dicho requerimiento, PAGE GROUP EUROPE aportó las comunicaciones mantenidas con la reclamante y manifestó lo siguiente:
- Explican que son una compañía que forma parte de un grupo empresarial dedicado a servicios de Recursos Humanos, en concreto, a la selección de personal. Por este motivo, tratan datos personales de un elevado número de candidatos en muchospaíses del mundo, siendo muy habitual el ejercicio de derechos por parte decandidatos. Para la tramitación de las solicitudes correspondientes, en cumplimientode su deber de confidencialidad y secreto, ha implementado un estricto proceso deverificación de identidad para garantizar que los datos personales de los candidatos nosean cedidos a terceros, que hayan podido hacerse con las credenciales de acceso depersonas registradas en sus sistemas con el propósito de suplantar su identidad yrealizar la solicitud en su nombre, a través de ataques de phishing o ingeniería social.
En el caso particular de la reclamante no han pretendido poner obstáculos al ejerciciode sus derechos, sino proteger sus datos personales. (…).(…).
Sobre esta cuestión, aporta copia de los “Modelos de contestación” utilizadosactualmente para verificar la identidad de los interesados. (…).
Posteriormente, mediante escrito de 14/08/2020, esta Agencia solicitó a PAGEGROUP EUROPE “copia de la contestación a la solicitud de acceso planteada por lareclamante, toda vez que ha quedado acreditada su identidad a través del proceso dereclamación, iniciado ante la autoridad de control de Países Bajos y continuada enesta Agencia”. Tras esta solicitud, la citada entidad procedió a dar contestación a lasolicitud de acceso formulada por la reclamante y aportó a esta Agencia copia de lacomunicación, de fecha 27/08/2020, mediante la que informa a la misma sobre losaspectos del tratamiento que establece el artículo 15 del RGPD, así como el anexocon los datos personales de la reclamante que obran en su poder. En el escrito derespuesta a esta Agencia se indica que la información fue remitida por correoelectrónico.
TERCERO: Tras revisar la contestación proporcionada por la empresa reclamada,reseñada en el Hecho anterior, esta Agencia apreció que, en la actualidad, losprocedimientos seguidos por PAGE GROUP EUROPE para la atención de derechosen materia de protección de datos, en relación con la identificación de los solicitantes,se ajustan a la normativa aplicable. (…). Además, se tuvo en cuenta que, tras la intervención de esta Agencia, la solicitud deacceso de la reclamante quedó atendida.En consecuencia, se consideró que no existían indicios de infracción y que noresultaba necesaria ninguna otra actuación, ni instar la adopción de medidasadicionales, por lo que, con fecha 10/11/2020, se dictó Proyecto de Resolución dearchivo de la reclamación (Draft decisión).
CUARTO: Con fecha 10/11/2020, el Proyecto de Decisión se incorporó al Sistema IMIa fin de que las autoridades interesadas se manifestaran al respecto.
Al término del plazo establecido, formularon objeciones al citado proyecto de archivolas autoridades de protección de datos de Portugal (CNPD) y Berlín (The BerlinCommissioner for Data Protection and Freedom of Information -Berlin DPA).
La CNPD manifiesta que PAGE GROUP EUROPE tiene implementado unprocedimiento de atención de derechos (…).,no habiendo especificado que en el casode la reclamante tuviera dudas respeto de la identidad de la misma. Considera que lacitada entidad no ha ajustado su actuación a lo establecido en el artículo 12.2 delRGPD, que obliga al responsable a facilitar el ejercicio de los derechos, salvo que nopueda identificar al solicitante, en cuyo caso el artículo 12.6 del RGPD permite pedirinformación identificativa adicional.
Entiende, también, la CNPD que el procedimiento seguido por la entidad responsableno protege los datos de los solicitantes, ya que el tratamiento de los documentosidentificativos requeridos aumenta los riesgos para los afectados (p.ej. posible usopara suplantación de identidad); (…). La autoridad portuguesa piensa que esto vulnerael principio de minimización (artículo 5.1.c) del RGPD), el de privacidad por defecto ydesde el diseño (artículo 25 del RGPD) y el de medidas de seguridad (artículo 32 delRGPD).
La CNPD aboga por una forma menos intrusiva de comprobar la identidad delsolicitante (p.ej. identificación electrónica o enviar la solicitud a través de la cuenta deusuario junto con un factor de autenticación adicional remitido por otro canal diferente).
Berlin DPA, por su parte, aprecia también infracción del artículo 12 del RGPD,apartados 2, 3 y 6, por razones similares a las expuestas por la autoridad portuguesa.Considera que solo se debería solicitar información adicional si existieran dudas sobrela identidad del interesado, solicitando información necesaria y apropiada para esaverificación, en función de los datos disponibles del solicitante; y no comparte lajustificación alegada sobre el posible riesgo de suplantación de direcciones de e-mail.Asimismo, (…), entiende Berlin DPA que no puede utilizarse para hacer verificaciones,o, al menos, no sería la forma más apropiada, y se declara conforme con laapreciación de la reclamante según la cual el acceso registrado a la cuenta privadasería más que suficiente.
Berlín DPA apunta una posible infracción del artículo 12.3 del RGPD debido a que elresponsable no contestó en el plazo de un mes contado desde la remisión de lasolicitud.
Se opone a que la reclamación sea rechazada y considera procedente identificar lasinfracciones y adoptar acciones correctoras contra el responsable, de modo que puedacorregir sus procedimientos para evitar poner en riesgo los derechos de otrossolicitantes o las trabas en su ejercicio.
QUINTO: Se toman en consideración las objeciones planteadas por las autoridades deprotección de datos indicadas en el Antecedente anterior y, con fecha 11/12/2020, seacuerda admitir a trámite la reclamación comunicada por la autoridad de protección dedatos de Países Bajos (Autoreit Persoonsgegevens -AP), por la presunta infracción delo establecido en el artículo 15 del RGPD, sin perjuicio de lo que pueda determinarseen el curso de la tramitación de la citada reclamación.
SEXTO: Con fecha 26/02/2021, por la Subdirección General de Inspección de Datosse accede a la web “www.michaelpage.es” y se obtiene información disponible sobrePageGroup.
En la información corporativa que consta en el apartado “Quienes somos” de dichaweb se indica:“PageGroup es la consultora líder a nivel internacional en selección de mandos cualificados,intermedios y directivos con carácter temporal e indefinido. Se estableció en el Reino Unido en1976 y desde 2001 cotiza en la bolsa de Londres. Con una red de 140 oficinas propias,operamos en 36 países del mundo. En España ofrecemos cobertura a nivel nacional conoficinas físicas en Madrid, Barcelona, Valencia, Sevilla, Bilbao y Zaragoza a través de loscuales brindamos servicios de reclutamiento y oportunidades de carrera a nivel local, regional yglobal. Dentro del grupo tenemos distintas marcas, cada una experta en su mercado”.
(…).
(…).
(…).
SÉPTIMO: Con fecha 02/06/2021, de conformidad con lo establecido en el artículo 64de la LOPDGDD, apartados 2 (párrafo tercero) y 3, se dictó proyecto de acuerdo deinicio de procedimiento sancionador, motivado por la reclamación recibida a través delSistema IMI que consta reseñada en el Antecedente Primero. Este proyecto toma enconsideración las objeciones reseñadas en el Antecedente Cuarto (proyecto dedecisión revisada).
Siguiendo el procedimiento establecido en el artículo 60 del RGPD, con fecha13/03/2020, el citado proyecto de apertura de procedimiento sancionador fuetransmitido a través del Sistema IMI a las autoridades de control interesadas,haciéndoles saber que, en caso de que no se formulasen objeciones en el plazo dedos semanas desde la consulta, se adoptaría el preceptivo acuerdo de apertura deprocedimiento sancionador.
Ninguna de las autoridades de control interesadas ha formulado objeción alguna alproyecto de acuerdo de apertura de procedimiento sancionador adoptado por laAEPD, entendiéndose, por tanto, que existe acuerdo sobre el mismo.
OCTAVO: Con fecha 29/06/2021, la Directora de la Agencia Española de Protecciónde Datos acordó iniciar procedimiento sancionador a la entidad PAGE GROUPEUROPE, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas(en adelante, LPACAP), por la presunta infracción de los artículos 5.1.c) y 12 delRGPD, tipificadas en los artículos 83.5.a) y b) del mismo Reglamento,respectivamente; determinando que la sanción que pudiera corresponder ascendería aun total de 300.000 euros (250.000 euros por la infracción del artículo 5.1.c) y 50.000euros por la infracción del artículo 12, ambos del RGPD), sin perjuicio de lo que resultede la instrucción.
En el mismo acuerdo de apertura del procedimiento se advertía que las infraccionesimputadas, de confirmarse, podrán conllevar la imposición de medidas, de acuerdocon lo establecido en el citado artículo 58.2 d) del RGPD.
NOVENO: Notificado el citado acuerdo de inicio y ampliado el plazo concedido paraformular alegaciones, PAGE GROUP EUROPE presentó escrito de fecha 21/07/2021,en el que solicita que se mantenga el criterio inicial de la AEPD y se acuerde el archivodel procedimiento sancionador o, subsidiariamente, que se reconsidere la multapropuesta valorando el apercibimiento que prevé la normativa. En síntesis, la citadaentidad basa su petición en las consideraciones siguientes:
1. Con carácter previo, destaca la buena fe y voluntad de cumplimiento que ha regidosu actuación y las políticas internas aplicadas, y manifiesta su intención de aportar consus alegaciones mayor información y claridad sobre el caso, a pesar de que conllevauna renuncia a la aplicación de la reducción de la sanción propuesta, en elconvencimiento de que han seguido las recomendaciones de las autoridades y que sumotivación no fue otra que un exceso de celo en la protección de los datos personalespara no entregar datos a persona distinta del titular real de los datos. Añade que lacuestión suscitada tiene que ver con una interpretación de la norma, aún de recienteaplicación.
2. Entiende contradictorio que se exprese en los Fundamentos de Derecho delacuerdo de apertura que el resultado del trámite de traslado “no fue satisfactorio”,cuando en los Antecedentes Segundo y Tercero se indica que la reclamada diocontestación a la solicitud de acceso formulada por la reclamante, (…), concluyendoque no existían indicios de infracción ni resultaba necesaria la adopción de medidasadicionales.
En base a ello, solicita que se revisen nuevamente los documentos obrantes en elexpediente, aclarando al respecto, para el caso de que aquella afirmación estémotivada por la ausencia de contestación al primer requerimiento de la autoridad dePaíses Bajos, que en junio de 2019 se dispuso el acceso a la dirección EMAIL.2 apersonas del equipo de Cumplimiento Legal de manera temporal, (…), si bien, poralgún motivo técnico la conexión no fue efectiva hasta finales de agosto, sin que fueraposible recuperar los emails recibidos en el ínterin.
Tan pronto como tuvo constancia de que la autoridad de protección de datos dePaíses Bajos (Autoreit Persoonsgegevens -AP) había enviado 2 emails el 23/07/2019,procedió a contactar con la misma, aunque no consta haber recibido respuesta.
Posteriormente, en fecha 30/08/2019 la entidad Autoreit Persoonsgegevens envió unacarta directamente a Michael Page International - Nederland Bv, a lo que diocontestación con fecha 27/09/2019.
3. En relación con la presunta infracción del artículo 5.1.c), pone en valor la revisión desus políticas internas que llevó a cabo en 2016-2018 para adaptarlas a la nuevanormativa, sobre la que no se disponían de criterios orientadores a la hora deinterpretar conceptos novedosos como el principio de minimización de datos o laprivacidad desde el diseño o por defecto, por lo que intentó conjugar medidas yrecomendaciones que permanecían vigentes con una interpretación de la nuevanormativa orientada a un estricto cumplimiento de la misma.
(…).
(…).
(…).
Por otra parte, sobre la interpretación que Berlin DPA realiza sobre la forma apropiadade verificar la identidad de los interesados que ejercitan un derecho, la entidadreclamada entiende que tales apreciaciones derivan de la idiosincrasia local y puedenestar motivadas por cuestiones históricas, heredadas de normativas locales anteriores,aspectos culturales o de cumplimiento, que se irán definiendo y homogeneizando enlos próximos años.(…)
Por otra parte, la entidad reclamada dice haber estudiado que la autoridad de PaísesBajos ha sido activa en lo que respecta al tratamiento ilegal del BSN (número deidentificación personal) y ha tomado varias medidas de aplicación antes de la entradaen vigor del RGPD, entre ellas:
- Airbnb trató ilegalmente el BSN (a través de copias completas de los documentos deidentidad) y la DPA publicó sus conclusiones al respecto. No se impuso ninguna multani se publicó ningún informe de investigación después de que Airbnb cambiara susoperaciones.
- Una empresa de transporte de mercancías llamada Nippon Express procesó copiascompletas de los documentos de identidad y los BSN de los camioneros que entrabanen los locales para recoger la carga. Esto era ilegal según la DPA de Países Bajos ypublicó un informe de investigación sin sancionar a la empresa tras modificar susprocedimientos.
Como se puede entender, y más adelante se desarrollará, la entidad reclamada noobtiene ningún beneficio de dilatar o, supuestamente, obstaculizar el ejercicio de underecho que implica la entrega de una información al interesado. No se trata de unabaja en un servicio o de una oposición a un determinado tratamiento que la entidadtuviese interés en mantener.
(…).
En base a esto, solicita que se reconsideren las alegaciones de Berlín DPA y la CNPDque hicieron cambiar el criterio de la AEPD, que decidió archivar el expediente al noapreciar intencionalidad en la acción llevada a cabo por PAGE GROUP EUROPE, porla ausencia de beneficio y la mejora implementada.
(…).
Considerando esta ausencia de tratamiento ulterior y que el tratamiento llevado a caboera muy limitado en el tiempo, al igual que el acceso a la información en cuestión, laentidad reclamada estima que se cumple lo indicado en el Considerando 156 delRGPD: “Las condiciones y garantías en cuestión pueden conllevar procedimientosespecíficos para que los interesados ejerzan dichos derechos si resulta adecuado a laluz de los fines perseguidos por el tratamiento específico, junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personalesatendiendo a los principios de proporcionalidad y necesidad”; se entendió, trasestudiarlo, que esta medida era necesaria, proporcional e idónea para proteger losderechos de la interesada.
5. Con el requisito comentado, la reclamada no intentó dilatar, entorpecer uobstaculizar el ejercicio de derechos por parte del afectado, ni obtenía beneficio deaquella práctica, que requería diseñar un procedimiento específico e invertir recursosen la gestión y seguimiento. Si finalmente, se determina que tal procedimiento noestaba diseñado de forma correcta, lo único que se puede achacar es un exceso decelo en su voluntad de cumplimiento, para asegurar que no se entregaban datos apersona distinta a su titular, pero no de que con esta solicitud se quisieran ponertrabas al ejercicio.(…).
6. Respecto de la presunta infracción del artículo 12 del RGPD, la reclamada formulaalegaciones con las que pretende dar respuesta a los argumentos puestos demanifiesto por las autoridades de protección de datos de Berlín y Portugal, sin biencomienza insistiendo en que la entidad trata con alerta las solicitudes de accesoporque no son frecuentes en su actividad, dado que son los propios interesados losque facilitan directamente sus datos personales y tienen la información a sudisposición en su área personal.
Respecto de lo indicado por Berlin DPA, que no comparte el posible riesgo desuplantación de direcciones de e-mail, la reclamada pone de manifiesto que existenestudios y estadísticas que demuestran la hipótesis de que la solicitud del derecho deacceso del RGPD puede ser un punto de vulnerabilidad a los ataques de ingenieríasocial.
Y añade:
“Por citar alguno de los referidos estudios, James Pavur (DPhil Researcher Oxford University) yCasey Knerr (Security Consultant Dionach LTD) indican en su publicación “GDPArrrrr: UsingPrivacy Laws to Steal Identities” (la traducción es nuestra a efectos de homogeneidad en elidioma del documento):
“En este trabajo, hemos planteado la hipótesis de que el derecho de solicitud de acceso puedeser un punto de vulnerabilidad a los ataques de ingeniería social. A través de un experimentoque abarcó 150 organizaciones, demostramos la viabilidad en el mundo real de tales ataques.Descubrimos que una gran proporción de organizaciones no verifican adecuadamente laidentidad de origen de las solicitudes de acceso y que, como resultado, la informaciónprofundamente sensible puede ser adquirida de manera repetible y escalable por la ingenieríasocial. Sugerimos una serie de medidas correctoras centradas en los individuos, las empresasy los legisladores, para ayudar a mitigar estos ataques.
(…)
Solicitar una identificación con foto emitida por el gobierno es probablemente la forma mássólida de prevenir este ataque. Sin embargo, las organizaciones que no sean capaces deproteger adecuadamente estos datos, o de verificar su autenticidad, deberían considerar laposibilidad de subcontratar estos servicios a un tercero.
Las empresas también deberían evaluar periódicamente su proceso de solicitud de acceso delsujeto en busca de vulnerabilidades y formar a los representantes individuales del servicio en ladetección y respuesta a tales ataques. La incorporación de solicitudes de acceso malintencionadas…”.
El propio considerando 64 del RGPD establece que “el responsable del tratamientodebe utilizar todas las medidas razonables para verificar la identidad de losinteresados que soliciten acceso”. Asimismo, el artículo 12.6 del RGPD establece que“cuando el responsable del tratamiento tenga dudas razonables en relación con laidentidad de la persona física que cursa la solicitud a la que se refieren los artículos 15a 21, podrá solicitar que se facilite información adicional necesaria para confirmar laidentidad del interesado”.
En España, la necesidad de aportar el DNI o documento equivalente por parte delinteresado estaba prevista en el artículo 25 del derogado, en su casi totalidad, RealDecreto 1720/2007. Dicho artículo indicaba que la comunicación de ejercicio de losderechos dirigida al responsable debería ir acompañada de una fotocopia deldocumento nacional de identidad del interesado, o de su pasaporte u otro documentoválido que lo identifique.
La propia Agencia Española de Protección de Datos (AEPD), en su “Guía para elCiudadano” indica que, “si el responsable tiene dudas sobre la identidad delinteresado, podrá solicitar información adicional para confirmar la misma, como lafotocopia del DNI, pasaporte u otro documento válido”.
Asimismo, los formularios que la AEPD diseñó como modelos para el ejercicio dederechos y que presenta como modelos para ser utilizados por los ciudadanos,incluyen la siguiente instrucción:
“2. Será necesario aportar fotocopia del D.N.I. o documento equivalente que acreditela identidad y sea considerado válido en derecho, en aquellos supuestos en que elresponsable tenga dudas sobre su identidad. En caso de que se actúe a través derepresentación legal deberá aportarse, además, DNI y documento acreditativo de larepresentación del representante”.
Por tanto, se trata de una práctica habitual, al menos en España, residencia de nuestraempresa, que no vulnera el principio de minimización de datos, el cual exige que losdatos personales sean adecuados, pertinentes y limitados a lo necesario en relacióncon los fines para los que son tratados.
(…).
(…).
(…).
7. Destaca una vez más la buena fe y grado de colaboración mostrados, habiendomodificado el procedimiento interno de gestión de derechos como sigue:
(…).
(…).
8. Alude al archivo de las actuaciones adoptado inicialmente por la AEPD y a las objeciones de las autoridades portuguesa (CNPD) y alemana (Berlin DPA), para ponerde manifiesto la incertidumbre que provoca la falta de unidad de criterio para verificarla identidad en línea durante la gestión de un derecho de acceso.
El RGPD no establece, como hacía la anterior normativa, el listado de medidas deseguridad que los responsables deben adoptar; ahora cada responsable debe realizarsu propio análisis de riesgos y determinar qué medidas debe adoptar para mitigarlos, yasí lo reconoció la AEPD, (…).
Se trata esta de una interpretación realizada en base al análisis de riesgos y desde labuena fe y el convencimiento de una buena actuación, aplicando los principios deminimización, privacidad desde el diseño y por defecto, sobre un asunto específico(solicitud de identificación en el derecho de acceso) sobre el que no hay criterio ni guíapublicados.
9. Sobre los criterios de graduación de la sanción, manifiesta lo siguiente:
- La negligencia en la comisión de la infracción debe apreciarse cuando la conducta sealeje de los estándares reconocidos y, (…). Además, considera que debe tenerse encuenta la actitud proactiva y de mejora demostrada.
(…).
- La valoración del número de interesados debe considerar las solicitudes de ejerciciosde derechos recibidas desde que el RGPD es de plena aplicación, ya detalladas.
- Es la primera vez que la entidad reclamada es objeto de un procedimientosancionador, cumpliendo hasta ahora las obligaciones dispuestas en la normativaaplicable, así como los criterios establecidos por las autoridades supervisoras.
A este respecto, solicita que se valore la imposición de un apercibimiento en especialatención a la naturaleza, escasa gravedad y corta duración de la infracción, a sucarácter no intencional, a las medidas tomadas para paliar los daños y perjuiciossufridos y al grado de responsabilidad demostrado por la entidad.
PAGE GROUP EUROPE, con su escrito de alegaciones a la apertura delprocedimiento, aportó los siguientes Documentos:
- Copia del documento denominado “Proceso de solicitud de datos del RGPD de laUE”
- Las previsiones que contiene sobre la validación de las solicitudes de derechos yla verificación de la identidad de los solicitantes constan reseñadas en el Hechoprobado 12.
- Registro correos recibidos durante ínterin del fallo técnico en email del DPD.
- Correo de 26/08/2019, enviado a la autoridad de Países Bajos solicitando el envío dela comunicación extraviada.
- Correo con la documentación remitida en septiembre de 2019 a la autoridad deprotección de datos de Países Bajos.
DÉCIMO: Con fecha 24/11/2021, se emitió propuesta de resolución en el sentidosiguiente:
1. Que por la Directora de la AEPD se sancione a PAGE GROUP EUROPE, por unainfracción del artículo 12 del RGPD, tipificada en el Artículo 83.5.b) del RGPD ycalificada como leve a efectos de prescripción en el artículo 74.c) de la LOPDGDD,con una multa por importe de 50.000 euros (cincuenta mil euros).
2. Que por la Directora de la AEPD se sancione a PAGE GROUP EUROPE, por unainfracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) y calificadacomo muy grave a efectos de prescripción en el artículo 72.1.a) de la LOPDGDD, conuna multa por importe de 250.000 euros (doscientos cincuenta mil euros).
La citada propuesta de resolución fue notificada a la entidad PAGE GROUP EUROPEen la misma fecha del 24/11/2021. En esta notificación se informaba a dicha entidadque, de conformidad con lo establecido en el artículo 85.2 de la LPACAP, puede, encualquier momento anterior a la resolución del procedimiento, llevar a cabo el pagovoluntario de la sanción propuesta, lo que supondría una reducción de un 20% delimporte de la misma. Con la aplicación de esta reducción, la sanción quedaríaestablecida en 240.000 euros (doscientos cuarenta mil euros) y su pago implicaría laterminación del procedimiento. Asimismo, se advertía que la efectividad de estareducción está condicionada al desistimiento o renuncia de cualquier acción o recursoen vía administrativa contra la sanción.
DECIMOPRIMERO: En fecha 02/12/2021, la parte reclamada ha procedido al pago dela sanción en la cuantía de 240.000 euros, haciendo uso de la reducción prevista en elartículo 85 de la LPACAP, lo que implica la terminación del procedimiento y conlleva larenuncia a cualquier acción o recurso en vía administrativa contra la sanción.
DECIMOSEGUNDO: Con fecha 03/12/2021, tuvo entrada en esta Agencia un escritode la entidad PAGE GROUP EUROPE, de 02/12/2021, mediante el que aporta copiadel justificante del pago realizado, con el que pretende “dar por cerrado” elprocedimiento. En este mismo escrito, la citada entidad advierte sobre laconfidencialidad de los procesos internos corporativos.
De las actuaciones practicadas en el presente procedimiento y de la documentaciónobrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
1. La entidad Michael Page International es una empresa con sede en Reino Unido,matriz del grupo empresarial PageGroup. Está dedicada a la selección de personal yopera bajo diversas marcas, entre ellas, “Michael Page”. Dispone de filiales ennumerosos países europeos, siendo la filial de Países Bajos la entidad Michael PageInternational - Nederland B.V.
Una de las filiales españolas del Grupo, con sede en LOCALIDAD.1, PAGEGROUP EUROPE, S.L., se encarga, a través de su departamento de CumplimientoLegal, de gestionar las solicitudes de ejercicio de derechos en materia de protección de datos personales que los interesados formulen ante las entidades del grupoPageGroup en Europa. La dirección postal de esta filial española se indica como datode contacto para el ejercicio de estos derechos en la Política de Privacidad de laentidad, tanto en España como en la versión de Países Bajos.
2. Los sitios web de PageGroup incluyen un formulario habilitado para que losinteresados puedan enviar su CV a la entidad filial correspondiente.
3. La reclamante, ciudadana holandesa, abrió una cuenta en el portal web de MichaelPage International - Nederland B.V., accesible en la URL “URL.1”, y remitió por esecanal, en marzo 2018, un Curriculum Vitae (CV) para la consecución de un puesto detrabajo ofrecido por esta filial holandesa del grupo PageGroup.
4. Mediante correo electrónico de fecha 28/09/2018, remitido desde la dirección“EMAIL.3”, la misma que consta registrada en la base de datos de PageGroup, lareclamante solicitó el acceso a sus datos personales, detallando expresamente en susolicitud que se le remita copia de sus datos y su interés en conocer los fines para losque son tratados los datos, las categorías de datos personales sometidos atratamiento, los destinatarios, así como la base jurídica de cada operación detratamiento. Dicho correo electrónico se remitió a la dirección “EMAIL.1”, quecoincide con la indicada a tales efectos en la Política de Privacidad accesible a travésdel portal web.
En este correo, la reclamante advierte que recibe correos periódicos de la entidad yque ello prueba que la misma dispone de sus datos personales.
5. Mediante correo electrónico de fecha 02/10/2018, remitido desde la dirección“EMAIL.1”, PageGroup respondió al correo de la reclamante de 28/09/2018señalando que para atender la solicitud de acceso formulada resultaba necesarioconfirmar su identidad y probar su domicilio. (…). Se indica, asimismo, que dichadocumentación puede enviarse a la dirección “EMAIL.1” o al departamento deCumplimiento Legal, por correo postal dirigido a la dirección de PAGE GROUPEUROPE en LOCALIDAD.1.
(…).
(…)
7. Con fecha 22/10/2018, el Departamento de Cumplimiento Legal de PageGRoupremitió un correo electrónico a la reclamante, desde la dirección “EMAIL.1”, en elque reiteran la necesidad de verificar su identidad e insisten en la petición dedocumentación anterior.
8. Con fecha 11/11/2018, mediante correo electrónico remitido a la dirección“EMAIL.1”, la reclamante, después de resumir los hechos y destacar su interés enconocer las comunicaciones de datos personales realizadas a terceros y los datosconcretos compartidos, reiteró sus manifestaciones anteriores sobre la documentaciónexigida para atender esa solicitud, que considera excesiva, y advirtió sobre laposibilidad de formular reclamación ante la autoridad de protección de datos de PaísesBajos.
9. Con fecha 12/11/2018, el Departamento de Cumplimiento Legal de PageGRoupremitió un correo electrónico a la reclamante, desde la dirección “EMAIL.1”,informando que han revisado su (…).
10.Mediante escrito de 14/08/2020, esta Agencia solicitó a PAGE GROUP EUROPE“copia de la contestación a la solicitud de acceso planteada por la reclamante, todavez que ha quedado acreditada su identidad a través del proceso de reclamación,iniciado ante la autoridad de control de Países Bajos y continuada en esta Agencia”.Tras esta solicitud, la citada entidad procedió a dar contestación a la solicitud deacceso formulada por la reclamante y aportó a esta Agencia copia de la comunicación,de fecha 27/08/2020, que da respuesta a la solicitud de acceso formulada por lareclamante, así como el anexo con los datos personales de la misma que obran enpoder de PageGroup. En el escrito de respuesta a esta Agencia se indica que lainformación fue remitida por correo electrónico.
(…).
(…).
12. La entidad PAGE GROUP EUROPE, con su escrito de alegaciones a la aperturadel procedimiento, ha aportado copia del documento denominado “Proceso desolicitud de datos del RGPD de la UE”.
(…).
(…).
(…).
(…).
En cuanto a la entrega de del documento mediante el que se atiende el derecho deacceso y se facilita la información correspondiente al interesado, el procedimientodiseñado por la entidad reclamada contempla su envío mediante correo electrónico,protegido con una contraseña que se remite en correo distinto.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada Autoridad deControl y, según lo establecido en los artículos 47, 64.2 y 68.1 de la LOPDGDD, laDirectora de la Agencia Española de Protección de Datos es competente para iniciareste procedimiento.
El artículo 63.2 de la LOPDGDD determina que: “Los procedimientos tramitados por laAgencia Española de Protección de Datos se regirán por lo dispuesto en el RGPD, enla presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normasgenerales sobre los procedimientos administrativos”.
Los apartados 1) y 2), del artículo 58 el RGPD, enumeran, respectivamente, lospoderes de investigación y correctivos que la autoridad de control puede disponer alefecto, mencionando en el punto 1.d), el de “notificar al responsable o encargo deltratamiento las presuntas infracciones del presente Reglamento”; Y en el 2.i), el de“imponer una multa administrativa con arreglo al artículo 83, además o en lugar de lasmedidas mencionadas en el presente apartado, según las circunstancias de cadacaso”.
El caso examinado está motivado por una reclamación de carácter transfronterizoformulada ante la autoridad de protección de datos de Países Bajos (AutoreitPersoonsgegevens -AP), contra un grupo empresarial que tiene sede en Reino Unido.Sin embargo, el departamento encargado de la gestión de las solicitudes de accesopara Europa continental es el equipo de Cumplimiento Legal de la filial del GrupoPAGE GROUP EUROPE, con sede en España. Este establecimiento español dePageGroup es el establecimiento principal del Grupo, en el sentido de la definición delartículo 4.16 del RGPD. Así, conforme a lo dispuesto en el artículo 56.1 del RGPD, laAEPD es la competente para actuar como autoridad de control principal.
Se tienen en cuenta las siguientes “definiciones” establecidas en el artículo 4 delRGPD:
“16) establecimiento principal:
a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de unEstado miembro, el lugar de su administración central en la Unión, salvo que las decisionessobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsableen la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, encuyo caso el establecimiento que haya adoptado tales decisiones se consideraráestablecimiento principal”.
“21) autoridad de control: la autoridad pública independiente establecida por un Estadomiembro con arreglo a lo dispuesto en el artículo 51”.
“22) autoridad de control interesada: la autoridad de control a la que afecta el tratamiento dedatos personales debido a que:a.
- El responsable o encargado del tratamiento está establecido en el territorio del Estadomiembro de esa autoridad de control;b.
- Los interesados que residen en el Estado miembro de esa autoridad de control se vensustancialmente afectados o es probable que se vean sustancialmente afectados por eltratamiento, oc.
- Se ha presentado una reclamación ante esa autoridad de control”.
“23) tratamiento transfronterizo:
a) el tratamiento de datos personales realizado en el contexto de las actividades deestablecimientos en más de un Estado miembro de un responsable o un encargado deltratamiento en la Unión, si el responsable o el encargado está establecido en más de unEstado miembro,
o b) el tratamiento de datos personales realizado en el contexto de las actividades de un únicoestablecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afectasustancialmente o es probable que afecte sustancialmente a interesados en más de un Estadomiembro”.
Según las informaciones incorporadas al Sistema IMI, de conformidad con loestablecido en el artículo 60 del RGPD, en el presente procedimiento actúan encalidad de “autoridades de control interesadas” las autoridades de protección de datospersonales de Países Bajos, Bélgica, Irlanda, Polonia, Italia, Hungría, Portugal, Chiprey Austria, así como las regionales alemanas de Renania del Norte-Westfalia, Renania-Palatinado, Mecklemburgo-Pomerania Occidental, Berlín y Baviera Sector Privado.
II
El artículo 56.1 del RGPD, relativo a la “Competencia de la autoridad de controlprincipal”, establece lo siguiente:
“1. Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimientoprincipal o del único establecimiento del responsable o del encargado del tratamiento serácompetente para actuar como autoridad de control principal para el tratamiento transfronterizorealizado por parte de dicho responsable o encargado con arreglo al procedimiento establecidoen el artículo 60”.
Dicho artículo 60 regula la “Cooperación entre la autoridad de control principal y lasdemás autoridades de control interesadas”:
“1. La autoridad de control principal cooperará con las demás autoridades de controlinteresadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. Laautoridad de control principal y las autoridades de control interesadas se intercambiarán todainformación pertinente.
2. La autoridad de control principal podrá solicitar en cualquier momento a otras autoridades decontrol interesadas que presten asistencia mutua con arreglo al artículo 61, y podrá llevar acabo operaciones conjuntas con arreglo al artículo 62, en particular para realizarinvestigaciones o supervisar la aplicación de una medida relativa a un responsable o unencargado del tratamiento establecido en otro Estado miembro.
3. La autoridad de control principal comunicará sin dilación a las demás autoridades de controlinteresadas la información pertinente a este respecto. Transmitirá sin dilación un proyecto dedecisión a las demás autoridades de control interesadas para obtener su dictamen al respectoy tendrá debidamente en cuenta sus puntos de vista.
4. En caso de que cualquiera de las autoridades de control interesadas formule una objeciónpertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas a partirde la consulta con arreglo al apartado 3 del presente artículo, la autoridad de control principalsometerá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada oestime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherenciacontemplado en el artículo 63.
5. En caso de que la autoridad de control principal prevea seguir lo indicado en la objeciónpertinente y motivada recibida, presentará a dictamen de las demás autoridades de controlinteresadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado sesometerá al procedimiento indicado en el apartado 4 en un plazo de dos semanas.
6. En caso de que ninguna otra autoridad de control interesada haya presentado objeciones alproyecto de decisión transmitido por la autoridad de control principal en el plazo indicado en losapartados 4 y 5, se considerará que la autoridad de control principal y las autoridades decontrol interesadas están de acuerdo con dicho proyecto de decisión y estarán vinculadas poreste.
7. La autoridad de control principal adoptará y notificará la decisión al establecimiento principalo al establecimiento único del responsable o el encargado del tratamiento, según proceda, einformará de la decisión a las autoridades de control interesadas y al Comité, incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se hayapresentado una reclamación informará de la decisión al reclamante.(…)
12. La autoridad de control principal y las demás autoridades de control interesadas sefacilitarán recíprocamente la información requerida en el marco del presente artículo pormedios electrónicos, utilizando un formulario normalizado”.
Sobre las cuestiones reguladas en estos preceptos, se tiene en cuenta lo señalado enlos Considerandos 124, 125, 126 y 130 del RGPD, en particular lo siguiente:
(124) “…Dicha autoridad (la autoridad principal) debe cooperar con las demás autoridadesinteresadas…”.
(125) “En su calidad de autoridad principal, la autoridad de control debe implicar estrechamentey coordinar a las autoridades de control interesadas en el proceso de toma de decisiones”.
(126) “La decisión debe ser acordada conjuntamente por la autoridad de control principal y lasautoridades de control interesadas…”.
(130) “Cuando la autoridad de control ante la cual se haya presentado la reclamación no sea laautoridad de control principal, esta última debe cooperar estrechamente con la primera conarreglo a las disposiciones sobre cooperación y coherencia establecidas en el presenteReglamento. En tales casos, la autoridad de control principal, al tomar medidas concebidaspara producir efectos jurídicos, incluida la imposición de multas administrativas, debe tener encuenta en la mayor medida posible la opinión de la autoridad de control ante la cual se hayapresentado la reclamación y la cual debe seguir siendo competente para realizar cualquierinvestigación en el territorio de su propio Estado miembro en enlace con la autoridad de controlcompetente”.
De conformidad con lo establecido en el artículo 4.24 del RGPD, se entiende por“objeción pertinente y motivada” lo siguiente:
“La objeción a una propuesta de decisión sobre la existencia o no de infracción del presenteReglamento, o sobre la conformidad con el presente Reglamento de acciones previstas enrelación con el responsable o el encargado del tratamiento, que demuestre claramente laimportancia de los riesgos que entraña el proyecto de decisión para los derechos y libertadesfundamentales de los interesados y, en su caso, para la libre circulación de datos personalesdentro de la Unión”.
De conformidad con lo establecido en las normas anteriores, en el presente supuesto,referido a una reclamación presentada ante la autoridad de control de un Estadomiembro (Países Bajos), en relación con tratamientos en el contexto de las actividadesde un establecimiento de un responsable que afectan o es probable que afectensustancialmente a interesados en más de un Estado miembro (tratamientos de datostransfronterizos), la autoridad de control principal, en este caso la Agencia Españolade Protección de Datos, está obligada a cooperar con las demás autoridadesinteresadas.
La Agencia Española de Protección de Datos, en aplicación de los poderes que leconfiere el RGPD, es la competente para adoptar las decisiones concebidas paraproducir efectos jurídicos, ya sea la imposición de medidas que garanticen elcumplimiento de las normas o la imposición de multas administrativas. No obstante,viene obligada a implicar estrechamente y coordinar a las autoridades de controlinteresadas en el proceso de toma de decisiones y tener en cuenta su opinión en lamayor medida. Se establece, asimismo, que la decisión vinculante que deba adoptarsese acuerde conjuntamente.
El artículo 60 del RGPD regula esta cooperación entre la autoridad de control principaly las demás autoridades de control interesadas. El apartado 3 de este artículoestablece expresamente que la autoridad de control principal transmitirá a las demásautoridades de control interesadas, sin dilación, un proyecto de decisión para obtenersu dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista,siguiendo para ello el procedimiento previsto en los apartados 4 y siguientes. Lasautoridades de control interesadas disponen de un plazo de cuatro semanas paraformular objeciones motivadas acerca del proyecto de decisión, entendiéndose queexiste acuerdo sobre dicho proyecto si ninguna autoridad presenta objeciones en elplazo indicado, en cuyo caso todas ellas quedan vinculadas por el repetido proyecto.
En otro caso, es decir, si cualquiera de las autoridades interesadas formula unaobjeción pertinente y motivada acerca del proyecto de decisión, la autoridad de controlprincipal podrá seguir lo indicado en la objeción, presentando a dictamen de las demásautoridades de control interesadas un proyecto de decisión revisado, que se someteráal procedimiento indicado en el apartado 4 en un plazo de dos semanas. De no seguirlo indicado en la objeción o si se estima que la misma no es pertinente, la autoridad decontrol principal debe someter el asunto al mecanismo de coherencia contemplado enel artículo 63 del RGPD.
En el presente caso, la AEPD estimó inicialmente que no existían indicios de infracciónni resultaba necesario instar la adopción de medidas adicionales a las implementadaspor PAGE GROUP EUROPE, por lo que, con fecha 10/11/2020, se dictó Proyecto deDecisión, mediante el que se sometía a la consideración del resto de autoridades decontrol interesadas el archivo de la reclamación (Draft decisión).
Al término del plazo establecido, formularon objeciones al citado Proyecto de Decisiónlas autoridades de protección de datos de Portugal (CNPD) y Berlín (The BerlinCommissioner for Data Protection and Freedom of Information -Berlin DPA), en elsentido expresado en los Antecedentes del presente acuerdo.
Teniendo en cuenta los motivos expuestos en las objeciones formuladas, y deconformidad con lo establecido en el apartado 1 del artículo 60 del RGPD, antestranscrito, que obliga a la autoridad de control principal a cooperar con las demásautoridades, esforzándose por llegar a un consenso, se siguió el procedimientoprevisto en el apartado 5 del citado artículo 60, en lugar de acudir al mecanismo decoherencia contemplado en el artículo 63 del RGPD.
Aunque esta Agencia, como señala la entidad reclamada en sus alegaciones,consideró inicialmente que no existían indicios de infracción, una vez analizadas lasobservaciones u objeciones planteadas por las autoridades de control interesada sepusieron de manifiesto algunas circunstancias que no habían sido suficientementevaloradas en el proyecto de archivo de actuaciones (Draft decisión), que seránexpuestas en los Fundamentos de Derecho que siguen.
Por ello, procedía la elaboración de un Proyecto de Decisión Revisado quecontemplase la apertura de un procedimiento sancionador a PAGE GROUP EUROPE.
Esta actuación es acorde con el procedimiento de cooperación regulado en el artículo 60 del RGPD; y tiene en cuenta lo establecido en el artículo 58.4 del mismoReglamento, según el cual el ejercicio de los poderes conferidos a la autoridad decontrol debe respetar las garantías procesales establecidas en el Derecho de la Unióny de los Estados miembros.
Las normas procesales españolas, en concreto, la Ley 39/2015, de 1 de octubre, delProcedimiento Administrativo Común de las Administraciones Públicas (LPACAP),establece que los procedimientos de naturaleza sancionadora se iniciarán siempre deoficio por acuerdo del órgano competente, el cual debe contener, entre otrasindicaciones, la identificación de la persona o personas presuntamente responsables,los hechos que motivan la incoación del procedimiento, su posible calificación y lassanciones que pudieran corresponder
La adopción del proyecto de acuerdo de inicio de procedimiento sancionador estáprevista en el artículo 64 de la LOPDGDD, apartados 2 (párrafo tercero) y 3,estableciéndose la obligación de dar conocimiento formal al interesado. Estanotificación interrumpe la prescripción de la infracción.
El Proyecto de Decisión Revisado elaborado por la AEPD, en forma de proyecto deapertura de procedimiento sancionador, fue sometido a la consideración de lasautoridades interesadas, a fin de que las mismas formulasen las objeciones queestimasen pertinentes o prestasen su conformidad. Para ello, fue transmitido a travésdel Sistema IMI a dichas autoridades, haciéndoles saber que, en caso de que no seformulasen objeciones en el plazo de dos semanas desde la consulta, se adoptaría elpreceptivo acuerdo de apertura de procedimiento sancionador. Ninguna de lasautoridades de control interesadas formuló objeción alguna, por lo que se entendióque existía acuerdo sobre el citado proyecto.
En consecuencia, con fecha 29/06/2021, la AEPD acordó iniciar el presenteprocedimiento sancionador, de acuerdo con los argumentos y las imputacionescontenidas en el Proyecto de Decisión Revisado.
Por otra parte, en el apartado 4 del citado artículo 64 de la LOPDGDD establece quelos plazos de tramitación establecidos en este artículo quedarán automáticamentesuspendidos cuando deba recabarse información, consulta, solicitud de asistencia opronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de unao varias autoridades de control de los Estados miembros conforme con lo establecidoen el RGPD, por el tiempo que medie entre la solicitud y la notificación delpronunciamiento a la Agencia Española de Protección de Datos.
III
De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española deProtección de Datos es competente para desempeñar las funciones que se le asignanen su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover lasensibilización de los responsables y los encargados del tratamiento acerca de lasobligaciones que les incumben, así como tratar las reclamaciones presentadas por uninteresado e investigar el motivo de las mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsablesy encargados del tratamiento de cooperar con la autoridad de control que lo solicite enel desempeño de sus funciones. Para el caso de que éstos hayan designado undelegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función decooperar con dicha autoridad.
Del mismo modo, el ordenamiento jurídico interno, en el artículo 65.4 la LOPDGDD, haprevisto un mecanismo previo a la admisión a trámite de las reclamaciones que seformulen ante la Agencia Española de Protección de Datos, que consiste en dartraslado de las mismas a los delegados de protección de datos designados por losresponsables o encargados del tratamiento, a los efectos previstos en el artículo 37 dela citada norma, o a éstos cuando no los hubieren designado, para que procedan alanálisis de dichas reclamaciones y a darles respuesta en el plazo de un mes.
De conformidad con esta normativa, con carácter previo a la admisión a trámite de lareclamación que da lugar al presente procedimiento, se dio traslado de la misma a laentidad responsable para que procediese a su análisis, diera respuesta a esta Agenciaen el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida,en el supuesto de ejercicio de los derechos regulados en los artículos 15 a 22 delRGPD.
El resultado de dicho traslado no fue satisfactorio, considerando la tramitación seguidapor el proyecto de archivo de actuaciones (Draft decisión) y las objeciones formuladasal respecto, de modo que se estimó procedente la continuación de actuaciones para ladepuración de las posibles responsabilidades puestas de manifiesto. En consecuencia,con fecha 11/12/2020, a los efectos previstos en su artículo 64.2 de la LOPDGDD, laAgencia Española de Protección de Datos acordó admitir a trámite la reclamacióncomunicada por la autoridad de protección de datos de Países Bajos (AutoreitPersoonsgegevens -AP) por presuntas infracciones relacionadas con el ejercicio de losderechos reconocidos a los titulares de datos personales. Dicho acuerdo de admisióna trámite determinó la apertura del presente procedimiento sancionador.
Tratándose exclusivamente de una reclamación por falta de atención de una solicitudde ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, se sigueel procedimiento regulado en el artículo 64.1 de la LOPDGDD, según el cual:
“1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud deejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679,se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en elartículo siguiente.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde lafecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite.Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.”
En sentido contrario, cuando el procedimiento no se refiera exclusivamente a laatención de una solicitud de ejercicio de los derechos, procede la depuración deresponsabilidades administrativas en el marco de un procedimiento sancionador,siendo competencia exclusiva de esta Agencia valorar si existen responsabilidadesadministrativas que deban ser depuradas en un procedimiento de esta naturaleza y, enconsecuencia, la decisión sobre su apertura.
En este caso, existen elementos que justifican el ejercicio de la actividadsancionadora, considerando que con el procedimiento previsto en el artículo 64.1 de laLOPDGDD citado no quedarían debidamente restauradas las garantías y derechos delos interesados.
El origen de las actuaciones viene determinado por una reclamación formulada por uninteresado concreto, la cual tiene por objeto la falta de atención del derecho de accesoejercitado por la reclamante ante la entidad reclamada. Con ello, podría pensarse queestamos ante el procedimiento regulado en el artículo 64.1 de la LOPDGDD.
Sin embargo, esta reclamación de una persona individual ha puesto de manifiesto unaactuación general del responsable, resultando que este caso concreto es el reflejo deuna pauta o política común aplicada a todas aquellas personas afectadas que estén enel mismo caso que la reclamante. Cuando una actuación que se considera incorrectaderiva de una política general adoptada por el responsable del tratamiento, de maneraque no se trata de errores puntuales en un caso, la infracción no resideexclusivamente en el caso examinado sino en esa actuación general adoptada por elresponsable.
Lo contrario sería inconsistente con la finalidad y la voluntad del legislador comunitario,plasmada expresamente en el RGPD cuando señala que corresponde a lasautoridades de control hacer aplicar la norma.
En consecuencia, este procedimiento analiza la repercusión de la actuación generalseguida por PAGE GROUP EUROPE en la gestión y resolución de las solicitudes deejercicios de derechos de acceso y portabilidad que le formulasen los interesados,(…).
A la vista de las deficiencias advertidas en el procedimiento diseñado por la entidadreclamada respecto de la normativa de protección de datos, resulta que talesdeficiencias tienen un alcance general, de modo que se ven afectados todos losinteresados que hubiesen formulado las indicadas solicitudes, y no sólo la reclamante.
Así se concluye a la vista de las informaciones y declaraciones que la propia entidadreclamada ha facilitado a esta Agencia, en las que reconoce que el proceso deatención de derechos respondía al diseño realizado por la misma y expone las razonesque le llevaron a implementar un estricto proceso de verificación de identidad, quefundamenta, entre otras razones que constan reseñadas en los Antecedentes, en lanaturaleza de los servicios de Recursos Humanos que presta, (…). Defiende susistema aduciendo que responde a un exceso de celo de la entidad.
(…).
La información facilitada por la entidad reclamada, además, resulta congruente con laactuación desarrollada en relación con la concreta solicitud de acceso de lareclamante
Por ello, no se entiende que PAGE GROUP EUROPE, en sus alegaciones a laapertura del procedimiento, manifieste que cometió un error al explicar el mencionadoproceso de gestión de derechos y que modifique su planteamiento anterior para exponer unas circunstancias que no se ajustan a la realidad. Lo cierto, según loacreditado en las actuaciones, es que el esquema de verificación de identidaddiseñado por la reclamada se aplicaba a todos los casos de ejercicio de derechos deacceso y portabilidad, con carácter general, y no solo a los casos en los que existierandudas sobre la identidad del solicitante, como ahora señala en sus alegaciones; (…).
Por otra parte, PAGE GROUP EUROPE manifiesta en su escrito de alegaciones queha seguido las recomendaciones de las autoridades, sin embargo, no cita cuáles sonesas recomendaciones que justificarían el procedimiento que sigue.
A lo largo del texto de su escrito de alegaciones únicamente se refiere a la “Guía parael Ciudadano” elaborada por la AEPD y las instrucciones que contienen los formulariospara el ejercicio de derechos que esta Agencia pone a disposición de los ciudadanos através de su web. En ambos casos, como bien señala la entidad reclamada, seinforma a los ciudadanos sobre la posibilidad de que los responsables les solicitenfotocopia del DNI o documento equivalente, pero se advierte que esto debe plantearsecuando el responsable tenga dudas sobre la identidad del solicitante y también quepuede usarse la firma electrónica en vez del documento identificativo.
El contenido de aquellos documentos no contradice los criterios que se exponen eneste acto. Debe tenerse en cuenta que el objetivo específico que cubren estas guíases orientar sobre las mejores prácticas en los casos más generales, de modo que nocubren todos los supuestos específicos que pueden plantearse y ello supone que lasorientaciones que contienen deban ser completadas según proceda.
Finalmente, interesa destacar en este momento que las conclusiones que se exponenseguidamente se obtienen por la aplicación de las normas establecidas por el RGPD yla LOPDGDD, sin considerar normativas derogadas, como el Real Decreto 1720/2007,ni aspectos culturales o cuestiones históricas heredadas de normativas locales, a lasque se refiere la entidad reclamada en su escrito de alegaciones.
IV
Los derechos de las personas en materia de protección de datos personales estánregulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Secontemplan los derechos de acceso, rectificación, supresión, oposición, derecho a lalimitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en losartículos 12 del RGPD y 12 de la LOPDGDD.
El artículo 12 “Transparencia de la información, comunicación y modalidades deejercicio de derechos” del RGPD establece lo siguiente:
“1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesadotoda información indicada en los artículos 13 y 14, así como cualquier comunicación conarreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente,inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier informacióndirigida específicamente a un niño. La información será facilitada por escrito o por otrosmedios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesadopor otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtudde los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsableno se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud delos artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar alinteresado.
3. El responsable del tratamiento facilitará al interesado información relativa a sus actuacionessobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en elplazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otrosdos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Elresponsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes apartir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesadopresente la solicitud por medios electrónicos, la información se facilitará por medioselectrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otromodo.”
4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sindilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones desu no actuación y de la posibilidad de presentar una reclamación ante una autoridad de controly de ejercitar acciones judiciales.
5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación ycualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido asu carácter repetitivo, el responsable del tratamiento podrá: a) cobrar un canon razonable enfunción de los costes administrativos afrontados para facilitar la información o la comunicacióno realizar la actuación solicitada, o b) negarse a actuar respecto de la solicitud. El responsabledel tratamiento soportará la carga de demostrar el carácter manifiestamente infundado oexcesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tengadudas razonables en relación con la identidad de la persona física que cursa la solicitud a quese refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicionalnecesaria para confirmar la identidad del interesado.
7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14podrá transmitirse en combinación con iconos normalizados que permitan proporcionar deforma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto deltratamiento previsto. Los iconos que se presenten en formato electrónico serán legiblesmecánicamente.
8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92a fin de especificar la información que se ha de presentar a través de iconos y losprocedimientos para proporcionar iconos normalizados”.
Por su parte, el artículo 12 “Disposiciones generales sobre ejercicio de los derechos”de la LOPDGDD, en sus apartados 2 y 4, añade lo siguiente:
“2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios a sudisposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmenteaccesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivode optar el afectado por otro medio”.
“4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de susderechos formulado por el afectado recaerá sobre el responsable”.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes delRGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamientodebe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de susderechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3del RGPD); viene obligado a responder las solicitudes formuladas a más tardar en unmes, salvo que pueda demostrar que no está en condiciones de identificar alinteresado; así como a expresar sus motivos en caso de que no atendiera la solicitud.
De lo anterior se desprende que la solicitud de ejercicio de derechos formulada por elinteresado debe ser respondida en todo caso, recayendo sobre el responsable laprueba del cumplimiento de este deber.
Esta obligación de actuar no resulta exigible cuando el responsable del tratamientopueda demostrar que no está en condiciones de identificar al interesado (en los casosa que se refiere el artículo 11.2 del RGPD). En supuestos distintos al previsto en esteartículo, en los que el responsable del tratamiento tenga dudas razonables en relacióncon la identidad del solicitante, podrá requerir información adicional necesaria paraconfirmar esa identidad.
A este respecto, el Considerando 64 del RGPD se expresa en los términos siguientes:
“(64) El responsable del tratamiento debe utilizar todas las medidas razonables para verificar laidentidad de los interesados que soliciten acceso, en particular en el contexto de los serviciosen línea y los identificadores en línea. El responsable no debe conservar datos personales conel único propósito de poder responder a posibles solicitudes”.
En lo que se refiere al derecho de acceso, el RGPD estipula en su artículo 15 losiguiente:
“1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de sise están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso alos datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o seráncomunicados los datos personales, en particular destinatarios en terceros u organizacionesinternacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no serposible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datospersonales o la limitación del tratamiento de datos personales relativos al interesado, o aoponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier informacióndisponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativasobre la lógica aplicada, así como la importancia y las consecuencias previstas de dichotratamiento para el interesado.”
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional,el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto detratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesadoun canon razonable basado en los costes administrativos. Cuando el interesado presente lasolicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, lainformación se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a losderechos y libertades de otros”.
Al igual que el resto de los derechos del interesado, el derecho de acceso es underecho personalísimo. Permite al ciudadano obtener información sobre el tratamientoque se está haciendo de sus datos personales, la posibilidad de obtener una copia delos datos personales que le conciernan y que estén siendo objeto de tratamiento, asícomo la información enumerada en el artículo antes citado.
En el presente caso, la reclamante, ciudadana holandesa, abrió una cuenta en laversión holandesa del portal web de la entidad Michael Page International, accesibleen la URL “URL.1”, y remitió por ese canal, en marzo 2018, un Curriculum Vitae(CV) para la consecución de un puesto de trabajo ofrecido por la filial holandesa delgrupo PageGroup.
Posteriormente, en fecha 28/09/2018, ejercitó el derecho de acceso a sus datospersonales mediante correo electrónico remitido a la dirección “EMAIL.1”, quecoincide con la indicada a tales efectos en la Política de Privacidad del portal web,señalando expresamente en esta solicitud su interés en conocer los datos tratados, losfines para los que son tratados, los destinatarios y los datos compartidos, así como labase jurídica de cada operación de tratamiento (esta petición se ajusta al contenido delderecho de acceso que establece el citado artículo 15 del RGPD, que, según haquedado expuesto, no solo implica informar al solicitante sobre los datos personales ocategorías de datos que son tratados, por lo que no se entienda el carácterexcepcional que le atribuye la entidad reclamada cuando alega que estas solicitudesde acceso no son frecuentes dado que son los propios interesados los que facilitandirectamente sus datos personales y tienen la información a su disposición en su áreapersonal).
La solicitud formulada por la reclamante se envía desde la misma dirección de correoelectrónico de la reclamante que consta registrada en la base de datos de PageGroup,la cual, según ha manifestado la interesada, venía siendo utilizada por la filialholandesa del Grupo para remitirle ofertas de trabajo y comunicaciones comerciales.
(…).
También en dos ocasiones, mediante correos electrónicos, de fechas 20/10 y11/11//2018, la reclamante advirtió que la identificación requerida constituye un tratamiento de datos excesivo o un impedimento del ejercicio de su derecho y señalóexpresamente que el proceso de identificación se simplifica considerando que disponede cuenta en el sitio web de la entidad.
No sería hasta el 12/11/2018, una vez la reclamante comunicó su intención deformular reclamación ante la autoridad de protección de datos de Países Bajos,cuando PAGE GROUP EUROPE modificó sus exigencias iniciales, (…).
Sobre la cuestión relativa a verificación de la identidad de los solicitantes de derechos,las normas antes expuestas son claras al señalar que este proceso de verificacióndebe limitarse a los supuestos concretos en los que el responsable tenga dudas“razonables” en relación con la identidad de la persona física que cursa la solicitud.
El artículo 12.6 del RGPD se refiere a todas las solicitudes de derechos y admite laposibilidad de requerir, en aquellos supuestos, “información adicional” necesaria paraconfirmar la identidad del interesado. Particularmente, en relación con las solicitudesde acceso en el contexto de los servicios en línea, el Considerando 64 del mismoReglamento se refiere a la posibilidad de que el responsable utilice todas las “medidasrazonables” para verificar la identidad de los interesados.
Las normas que regulan el ejercicio de derechos no establecen, por tanto, lanecesidad de aportar ningún documento identificativo concreto para que puedan seratendidas, ni siquiera exigen que esa verificación de la identidad se realice mediantedocumentación. Se refieren a la posibilidad de recabar “información adicional” y a lautilización de “medidas razonables”, correspondiendo al responsable determinar quéinformación y qué medidas resultan razonables en cada caso, atendidas lascircunstancias concurrentes y acudiendo siempre a los medios menos invasivos parala intimidad de las personas solicitantes. Todo ello, bajo la condición previa de que setrate de un supuesto en el que existan “dudas razonables” sobre la identidad delsolicitante.
PAGE GROUP EUROPE no ha justificado que existieran esas dudas razonables enrelación con la identidad de la reclamante. Al contrario, la actuación de esta entidadresponde al procedimiento de gestión de derechos diseñado por ella misma, en sucondición de responsable, (…), sin analizar previamente si se planteaban o no esasdudas razonables.
(…).
Se da la circunstancia, en este caso, que la reclamante figuraba registrada en lossistemas de información de la entidad responsable, que disponía de una ampliainformación sobre la misma; y que la solicitud de acceso a los datos personales seformuló desde la misma dirección de correo electrónico de la reclamante que yaconstaba en la base de datos de dicha entidad.
No se entiende, por ello, que este caso se haya tratado como uno de esos supuestosen los que existe dudas sobre la identidad del solicitante (…), cuando disponía demedios menos intrusivos para asegurar que la información sería remitida a la titular delos datos en cuestión, como haber contrastado alguno de los datos ya disponibles.
PAGE GROUP EUROPE conocía los datos de contacto de la reclamante, de modoque la solicitud recibida desde la dirección de correo electrónico que dicha entidadtenía registrada en sus sistemas y el envío a esta dirección de la información solicitadacon el acceso ofrecía suficientes garantías, a juicio de esta Agencia, como para haberatendido la solicitud recibida. Más aún, considerando que no se ha acreditado ningunacircunstancia que llevara a la entidad reclamada a pensar en una suplantación deidentidad o en un ataque informático.
Las rigurosas exigencias impuestas a la reclamante para dar curso a su solicitud deacceso motivaron que esta solicitud quedara sin respuesta, a pesar de las dosadvertencias realizadas por la propia reclamante sobre las peticiones excesivas dedocumentación que le fueron remitidas; las cuales determinaron que la reclamanteoptara por acudir a la autoridad de protección de datos de Países Bajos en lugar decontinuar con la tramitación de su solicitud, como bien había advertido en su correoelectrónico de 11/11/2018.
En consecuencia, PAGE GROUP EUROPE es responsable de que el plazoestablecido para atender la solicitud de la reclamante transcurriera sin que se hubiesedado la respuesta debida, facilitando a la misma la información solicitada.
El derecho de acceso fue finalmente atendido en fecha 27/08/2020, durante latramitación de la reclamación llevada a cabo por esta Agencia como autoridad decontrol principal, previo requerimiento expreso de esta Agencia de fecha 14/08/2020. Aeste respecto, cabe precisar que la respuesta que corresponde realizar a la solicitudde acceso no puede manifestarse con ocasión de un mero trámite administrativo,como es el traslado de la reclamación a la parte reclamada en cumplimiento de loestablecido en el artículo 64.3 de la LOPDGDD.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechossuponen una vulneración de lo dispuesto en el artículo 12, apartados 2 y 3, del RGPD,por la no atención del derecho de acceso ejercitado por la reclamante, que da lugar ala aplicación de los poderes correctivos que el artículo 58 del citado Reglamentootorga a la Agencia Española de Protección de datos.
V
(…).
Según ha quedado expuesto en el Fundamento de Derecho anterior, esta actuación dela entidad reclamada responde al procedimiento de gestión de derechos diseñado porella misma, como responsable del tratamiento, (…).
La reclamante estimó que no había motivo para requerirle esa informaciónidentificativa como necesaria para la atención del derecho, considerando que no le fueexigida para abrir una cuenta en el portal web ni para remitir su CV. Entiende lareclamante que el acceso autenticado en la cuenta, que aún estaba activa en elmomento en que se dirige la solicitud a la entidad responsable, debería ser suficientepara entender ejercitado el derecho y acreditada su identidad en un sistema como elusado por el responsable, basado en la utilización de una cuenta privada.
Respecto de esta cuestión, sirven los argumentos expresados por las autoridades decontrol CNPD y Berlin DPA, que constan reseñados en el Antecedente Cuarto, (…);que este procedimiento no protege los datos de los solicitantes y aumenta los riesgospara los afectados; que aquella documentación no se exige a los interesados paraabrir una cuenta o enviar un CV; que solo se debería solicitar información adicional siexistieran dudas sobre la identidad del interesado, solicitando información necesaria yapropiada para esa verificación, en función de los datos disponibles del solicitante.
Ambas autoridades de control abogan por una forma menos intrusiva de comprobar laidentidad del solicitante, (…), (p.ej. identificación electrónica o enviar la solicitud através de la cuenta de usuario junto con un factor de autenticación adicional remitidopor otro canal diferente); y coinciden con la reclamante en que el acceso a la cuentaprivada debería entenderse suficiente.
Y sirven también, por coincidentes, los argumentos expresados en el fundamento dederecho precedente, sobre la posibilidad de solicitar información adicional necesariapara confirmar la identidad del interesado únicamente cuando el responsable tengadudas razonables en relación con la identidad del solicitante del derecho (artículo 12.6del RGPD).
(…).
La valoración de estos hechos requiere tener en cuenta, asimismo, lo establecido enlos artículos 25 y 32 del RGPD, en los que se establece lo siguiente:
“Artículo 25. Protección de datos desde el diseño y por defecto.
1.Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito,contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad queentraña el tratamiento para los derechos y libertades de las personas físicas, el responsabledel tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como enel momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como laseudonimización, concebidas para aplicar de forma efectiva los principios de protección dedatos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, afin de cumplir los requisitos del presente Reglamento y proteger los derechos de losinteresados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas conmiras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales quesean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación seaplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a suplazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, pordefecto, los datos personales no sean accesibles, sin la intervención de la persona, a unnúmero indeterminado de personas físicas.
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 comoelemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2del presente artículo”.
“Artículo 32. Seguridad del tratamiento.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, elalcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargadodel tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivelde seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilienciapermanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de formarápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidastécnicas y organizativas para garantizar la seguridad del tratamiento.2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta losriesgos que presente el tratamiento de datos, en particular como consecuencia de ladestrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichosdatos.(…)”.
En este caso, el sistema diseñado por PAGE GROUP EUROPE establece unasexigencias para la atención de los derechos de los interesados que van más allá de loprevisto en la normativa que regula estos derechos; y que no responden a ninguno delos criterios y factores referidos en el citado artículo 25.1 del RGPD, como son elcontexto, los riesgos o la finalidad del tratamiento.
(…).
(…).
(…).
(…).
Como resultado de todo ello, (…), da lugar, en las circunstancias señaladas, altratamiento de datos personales inadecuados, no pertinentes y no necesarios paraeste fin específico del tratamiento, contrario a los principios de protección de datos,especialmente, al principio de “minimización de datos”, regulado en el artículo 5.1.c)del RGPD:
“Artículo 5 Principios relativos al tratamiento
1.Los datos personales serán:
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que sontratados («minimización de datos»)”.
Sobre el alcance de este principio, el Considerando 39 del RGPD indica que “los datospersonales solo deben tratarse si la finalidad del tratamiento no pudiera lograrserazonablemente por otros medios”.
No hace falta insistir en el hecho de que en los casos analizados no es necesaria larecogida de documentación identificativa de las personas solicitantes de un derecho, alexistir otros medios de identificación fiables menos intrusivos; y menos necesaria aúnes la recogida de varios documentos de identidad.
(…).
También considera la reclamada que (…), hacen su actuación compatible con elrespeto al principio de minimización, por necesaria, proporcional e idónea paraproteger los derechos de la interesada, cumpliendo así con lo indicado en elConsiderando 156 del RGPD, según el cual “Las condiciones y garantías en cuestiónpueden conllevar procedimientos específicos para que los interesados ejerzan dichosderechos si resulta adecuado a la luz de los fines perseguidos por el tratamientoespecífico, junto con las medidas técnicas y organizativas destinadas a minimizar eltratamiento de datos personales atendiendo a los principios de proporcionalidad ynecesidad”. Sin embargo, este Considerando está referido a los tratamientos con finesde archivo en interés público y no cabe traerlo a colación en el caso que nos ocupa.
En consecuencia, los hechos citados, en relación con el tratamiento de datos queconlleva el procedimiento de gestión de derechos seguido por PAGE GROUPEUROPE para la verificación de la identidad de los interesados, suponen unavulneración de lo dispuesto en el artículo 5.1.c) del RGPD, que da lugar a la aplicaciónde los poderes correctivos que el artículo 58 del citado Reglamento otorga a laAgencia Española de Protección de datos.
VI
Para el caso de que concurra una infracción de los preceptos del RGPD, entre lospoderes correctivos de los que dispone la Agencia Española de Protección de Datos,como autoridad de control, el artículo 58.2 de dicho Reglamento contempla lossiguientes:
“2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados acontinuación:
(…)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando lasoperaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;”
(…)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento seajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinadamanera y dentro de un plazo especificado;
(…)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de lasmedidas mencionadas en el presente apartado, según las circunstancias de cada casoparticular;”.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d)anterior es compatible con la sanción consistente en multa administrativa.
VII
Los hechos expuestos incumplen lo establecido en los artículos 12 y 5.1.c) del RGPD,con el alcance expresado en los Fundamentos de Derecho anteriores, lo que suponela comisión de sendas infracciones tipificadas, respectivamente, en los apartados 5.b)y 5.a), del artículo 83 del RGPD, que bajo la rúbrica “Condiciones generales para laimposición de multas administrativas” dispone lo siguiente:
“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con elapartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de unaempresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anualglobal del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento atenor de los artículos 5, 6, 7 y 9.
b) los derechos de los interesados a tenor de los artículos 12 a 22”.
A este respecto, la LOPDGDD, en su artículo 74, considera como infracción “leve” aefectos de prescripción las infracciones de carácter meramente formal de los artículosmencionados en el artículo 83.5 del RGPD y, en concreto, “c) No atender lassolicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 delReglamento (UE) 2016/679, salvo que resultase de aplicación lo dispuesto en elartículo 72.1.k) de esta Ley Orgánica”.
Por su parte, el apartado 1.a) del artículo 72 de la LOPDGDD considera, como “muygrave”, a efectos de prescripción:“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 seconsideran muy graves y prescribirán a los tres años las infracciones que supongan unavulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en elartículo 5 del Reglamento (UE) 2016/679”.
A fin de determinar la multa administrativa a imponer se han de observar lasprevisiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
“1. Cada autoridad de control garantizará que la imposición de las multas administrativas conarreglo al presente artículo por las infracciones del presente Reglamento indicadas en losapartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada casoindividual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58,apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantíaen cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,alcance o propósito de la operación de tratamiento de que se trate así como el número deinteresados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar losdaños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuentade las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a lainfracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si elresponsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadaspreviamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificaciónaprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como losbeneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través dela infracción”.
Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDDdispone:
“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en elapartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 tambiénpodrán tenerse en cuenta:a) El carácter continuado de la infracción.b) La vinculación de la actividad del infractor con la realización de tratamientos de datospersonales.c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de lainfracción.e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción,que no puede imputarse a la entidad absorbente.f) La afectación a los derechos de los menores.g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.h) El sometimiento por parte del responsable o encargado, con carácter voluntario, amecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existancontroversias entre aquellos y cualquier interesado”.
En este caso, considerando la gravedad de las infracciones constatadas, procede laimposición de multa y, en su caso, la adopción de medidas. No cabe aceptar lasolicitud formulada por PAGE GROUP EUROPE para que se impongan otros poderescorrectivos, como es el apercibimiento, que está previsto para personas físicas ycuando la sanción constituya una carga desproporcionada (considerando 148 delRGPD). A este respecto, no comparte esta Agencia que las infracciones declaradassean de escasa gravedad, considerando los efectos que han determinado en elejercicio de los derechos reconocidos a los interesados; ni la corta duración de lasmismas alegada por la reclamada, dado que el proceso irregular de gestión deaquellos derechos se ha venido imponiendo desde el momento en que resultóaplicable el RGPD.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de las sancionesa imponer en el presente caso, se considera que procede graduar las multas deacuerdo con los siguientes criterios:
1. Infracción del artículo 12 del RGPD, tipificada en el artículo 83.5.b) y calificada comoleve a efectos de prescripción en el artículo 74.c) de la LOPDGDD:
Se estiman concurrentes como agravantes los criterios de graduación siguientes:
- Artículo 83.2.a) del RGPD: “a) la naturaleza, gravedad y duración de lainfracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y elnivel de los daños y perjuicios que hayan sufrido”.
- La naturaleza de la infracción, por cuanto la no atención del derecho deacceso, por su contenido, incide en la capacidad de la reclamante de ejercerun verdadero control sobre sus datos personales.
- La naturaleza de los perjuicios causados a la persona interesada, que viodesatendido uno de sus derechos básicos en materia de protección de datospersonales, a pesar de las comunicaciones remitidas por la misma insistiendoen su interés.
- Artículo 83.2.d) del RGPD: “d) el grado de responsabilidad del responsable o delencargado del tratamiento, habida cuenta de las medidas técnicas u organizativasque hayan aplicado en virtud de los artículos 25 y 32”.
La entidad imputada no tiene implantados procedimientos adecuados deactuación en la recogida y tratamiento de los datos de carácter personal, en lo quese refiere a la gestión de solicitudes de ejercicio de derechos, de modo que lainfracción no es consecuencia de una anomalía en el funcionamiento de dichosprocedimientos sino un defecto del sistema de gestión de los datos personalesdiseñado por la responsable. Dicho procedimiento se adoptó por la reclamada ainiciativa propia estableciendo unas exigencias que excedían las previsionesnormativas aplicables.
- Artículo 76.2.b) de la LOPDGDD: “b) La vinculación de la actividad del infractorcon la realización de tratamientos de datos personales”.
La alta vinculación de la actividad del infractor con la realización de tratamientosde datos personales, considerando la actividad que desarrolla en el sector deRecursos Humanos y el nivel de implantación de la entidad (en el AntecedenteSexto se recogen algunos detalles sobre esta implantación).
- Artículo 83.2.k) del RGPD: “k) cualquier otro factor agravante o atenuanteaplicable a las circunstancias del caso, como los beneficios financieros obtenidoso las pérdidas evitadas, directa o indirectamente, a través de la infracción”.
La condición de gran empresa y volumen de negocio de PageGroup y PAGEGROUP EUROPE (en el Antecedente Sexto se recogen algunos detalles alrespecto).
Se considera, asimismo, que concurren como atenuantes las circunstanciassiguientes:
- Artículo 83.2.f) del RGPD: “f) el grado de cooperación con la autoridad de controlcon el fin de poner remedio a la infracción y mitigar los posibles efectos adversosde la infracción”.
El derecho de acceso ejercitado por el reclamante fue finalmente atendido por laentidad reclamada, si bien fue precisa la intervención de las autoridades decontrol.
PAGE GROUP EUROPE, en su escrito de alegaciones, no ha efectuado manifestaciónalguna respecto de los criterios y factores valorados para graduar esta infracción.
Considerando los factores expuestos, la valoración que alcanza la multa, por laInfracción del artículo 12 del RGPD, es de 50.000 euros (cincuenta mil euros).
2. Infracción por incumplimiento de lo establecido en el artículo 5.1.c) del RGPD,tipificada en el artículo 83.5.a) y calificada como muy grave a efectos de prescripciónen el artículo 72.1.a) de la LOPDGDD:
Se estiman concurrentes como agravantes los criterios de graduación siguientes:
- Artículo 83.2.a) del RGPD: “a) la naturaleza, gravedad y duración de lainfracción, teniendo en cuenta la naturaleza, alcance o propósito de la operaciónde tratamiento de que se trate así como el número de interesados afectados y elnivel de los daños y perjuicios que hayan sufrido”.
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta lanaturaleza, alcance o propósito de las operaciones de tratamiento de que setrata. La infracción afecta a aspectos fundamentales de la protección de datos(…), según el procedimiento de gestión de derechos que implantó lareclamada en el momento en que resultó aplicable el RGPD, el cual no haquedado rectificado hasta la apertura del procedimiento.
- El número de interesados: la infracción afecta a todos los interesados quehayan ejercitado el derecho de acceso o portabilidad, si bien es precisoconsiderar la transcendencia que ha podido tener la conducta infractora entodos los clientes de la entidad, muy numerosos considerando el nivel deimplantación internacional de la misma.
- La naturaleza de los perjuicios causados a las personas interesadas, quehan visto limitados sus derechos e incrementado el riesgo en su privacidad.
- Artículo 83.2.b) del RGPD: “b) la intencionalidad o negligencia en la infracción".
La negligencia apreciada en la comisión de la infracción.
A este respecto, no cabe admitir la alegación formulada por PAGE GROUPEUROPE, según la cual la negligencia debe apreciarse cuando la conducta sealeje de los estándares reconocidos. Si una actuación se separa de lo establecidopor la norma no puede decirse que responda a los estándares.
Además, en relación con la solicitud de acceso de la reclamante, la citada entidad,(…), no atendió el derecho hasta la intervención de las autoridades de control.
- Artículo 83.2.d) del RGPD: “d) el grado de responsabilidad del responsable o delencargado del tratamiento, habida cuenta de las medidas técnicas u organizativasque hayan aplicado en virtud de los artículos 25 y 32”.
La entidad imputada no tiene implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, de modoque la infracción no es consecuencia de una anomalía en el funcionamiento dedichos procedimientos sino un defecto del sistema de gestión de los datospersonales diseñado por la responsable.
- Artículo 76.2.a) de la LOPDGDD: “a) El carácter continuado de la infracción”.(…). Se trata de una pluralidad de acciones que siguen la actuación diseñada porPAGE GROUP EUROPE, las cuales infringen el mismo precepto.
- Artículo 76.2.b) de la LOPDGDD: “b) La vinculación de la actividad del infractorcon la realización de tratamientos de datos personales”.La alta vinculación de la actividad del infractor con la realización de tratamientosde datos personales, atendiendo a los motivos ya expresados al exponer losfactores de graduación de la infracción anterior.
- Artículo 83.2.k) del RGPD: “k) cualquier otro factor agravante o atenuanteaplicable a las circunstancias del caso, como los beneficios financieros obtenidoso las pérdidas evitadas, directa o indirectamente, a través de la infracción”.
- El volumen de datos y tratamientos que constituye el objeto del expediente,atendiendo al nivel de información que tiene la reclamada de las personasque accede a sus servicios.
- La condición de gran empresa y volumen de negocio de PageGroup y PAGEGROUP EUROPE.
Se considera, asimismo, que concurren como atenuantes las circunstanciassiguientes:
- Artículo 83.2.c) del RGPD: “Cualquier medida tomada por el responsable oencargado del tratamiento para paliar los daños y perjuicios sufridos por losinteresados”.
- Artículo 83.2.f) del RGPD: “El grado de cooperación con la autoridad de controlcon el fin de poner remedio a la infracción y mitigar los posibles efectos adversosde la infracción”.
PAGE GROUP EUROPE ha diseñado un nuevo procedimiento de gestión dederechos que subsana los reparos que han dado lugar a la comisión de lasinfracciones. Sin embargo, se tiene en cuenta que esta subsanación no se haproducido hasta después de acordada la apertura del procedimiento.
Considerando los factores expuestos, la valoración que alcanza la multa, por laInfracción del artículo 5.1.c) del RGPD, es de 250.000 euros (doscientos cincuenta mileuros).
Ninguno de los factores de graduación considerados queda atenuado por el hecho deque la entidad reclamada no haya sido objeto de un procedimiento sancionador conanterioridad, circunstancia esta que ha sido alegada por la entidad reclamada para que sea considerada como una atenuante.
A este respecto, la Sentencia de la AN, de 05/05/2021, rec. 1437/2020, indica que“Considera, por otro lado, que debe apreciarse como atenuante la no comisión de unainfracción anterior. Pues bien, el artículo 83.2 del RGPD establece que debe tenerseen cuenta para la imposición de la multa administrativa, entre otras, lacircunstancia "e) toda infracción anterior cometida por el responsable o el encargadodel tratamiento". Se trata de una circunstancia agravante, el hecho de que noconcurra el presupuesto para su aplicación conlleva que no pueda ser tomada enconsideración, pero no implica ni permite, como pretende la actora, su aplicacióncomo atenuante”.
PAGE GROUP EUROPE se refiere, asimismo, en sus alegaciones a dos actuacionesseguidas por la autoridad de protección de datos de Países Bajos por tratamientoilegal de documentos de identidad en los que no se sancionó a las empresasimplicadas, si bien, según manifiesta la propia entidad reclamada, se trata deactuaciones previas a la entrada en vigor del RGPD. Además, no se aportan losdetalles que determinaron dichos acuerdos.
VIII
Las infracciones cometidas pueden conllevar la imposición al responsable de laadopción de medidas adecuadas para ajustar su actuación a la normativa mencionadaen este acto, de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD,según el cual cada autoridad de control podrá “ordenar al responsable o encargadodel tratamiento que las operaciones de tratamiento se ajusten a las disposiciones delpresente Reglamento, cuando proceda, de una determinada manera y dentro de unplazo especificado…”. La no atención de los requerimientos de este organismo puedeser considerado como una infracción administrativa grave al “no cooperar con laAutoridad de control” ante tales requerimientos, pudiendo ser valorada tal conducta ala hora de la apertura de un procedimiento administrativo sancionador con multapecuniaria.
En tal caso, en la resolución que se adopte, esta Agencia podrá requerir a la entidadresponsable para que, en el plazo que se determine, adecúe a la normativa deprotección de datos personales las operaciones de tratamiento que realiza y losmecanismos y procedimientos que sigue para atender las solicitudes de ejercicio dederechos que le formulan los interesados, con el alcance expresado en losFundamentos de Derecho del presente acuerdo.
Asimismo, las medidas que pudieran adoptarse en la resolución que ponga fin alprocedimiento, en relación con las actividades de tratamiento y el ejercicio dederechos, serán de aplicación en todos los países de la Unión Europea en los queopera PageGroup.
(…).
(…).
(…).
(…).
No obstante, la citada entidad ha aportado con su escrito de alegaciones a la aperturadel procedimiento el documento denominado “Proceso de solicitud de datos del RGPDde la UE”, mediante el que establece la gestión que sigue actualmente en relación conlas solicitudes de ejercicio de derechos.
(…).
(…).
Se considera que estas nuevas medidas implementadas por PAGE GROUP EUROPEse ajustan a los criterios valorados en las presentes actuaciones, en relación con losprocedimientos de gestión de solicitudes de ejercicio de derechos y los medios paravalidar la identidad de los solicitantes, no resultando procedente la imposición demedidas adicionales.
IX
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento AdministrativoComún de las Administraciones Públicas (LPACAP), bajo la rúbrica “Terminación enlos procedimientos sancionadores” dispone lo siguiente:
“1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podráresolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una sanciónpecuniaria y otra de carácter no pecuniario pero se ha justificado la improcedencia de lasegunda, el pago voluntario por el presunto responsable, en cualquier momento anterior a laresolución, implicará la terminación del procedimiento, salvo en lo relativo a la reposición de lasituación alterada o a la determinación de la indemnización por los daños y perjuicios causadospor la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el órganocompetente para resolver el procedimiento aplicará reducciones de, al menos, el 20 % sobre elimporte de la sanción propuesta, siendo éstos acumulables entre sí. Las citadas reducciones,deberán estar determinadas en la notificación de iniciación del procedimiento y su efectividadestará condicionada al desistimiento o renuncia de cualquier acción o recurso en víaadministrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementadoreglamentariamente”.
La entidad PAGE GROUP EUROPE, durante el plazo que le fue concedido paraformular alegaciones a la propuesta de resolución, ha procedido al pago voluntario dela sanción con la reducción prevista legalmente, lo que determina la finalización delprocedimiento y conlleva la renuncia a cualquier acción o recurso en vía administrativacontra la sanción.
Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00003/2021, seguidocontra la entidad PAGE GROUP EUROPE, S.L. por las infracciones de los artículos 12y 5.1.c) del RGPD, tipificadas en los artículos 83.5.b) y 83.5.a) del mismo Reglamento,respectivamente; de conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a la entidad PAGE GROUP EUROPE,S.L.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presenteResolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado porlos artículos 48.6 de la LOPDGDD y 114.1.c) de la Ley 39/2015, de 1 de octubre, delProcedimiento Administrativo Común de las Administraciones Públicas, los interesadospodrán interponer recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 yen el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio,reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses acontar desde el día siguiente a la notificación de este acto, según lo previsto en elartículo 46.1 de la referida Ley.
938-231221
Mar España Martí
Directora de la Agencia Española de Protección de Datos
Le texte correspond au texte original. Des modifications visuelles ont pu toutefois être apportées pour améliorer la lecture du document.
Source : www.aepd.es.