AEPD - Décision n° PS/00140/2022 du 20 avril 2023 concernant la société KFC

“La empresa KFC Restaurants Spain SL no sigue las directrices del RGPD en su web https://www.kfc.es. Se detallan todas las infracciones a continuación:

- No se puede acceder de forma sencilla a la política de privacidad para usuarios del EEE adaptada al RGPD (https://www.kfc.es/multimarcas), pues el enlace de política de privacidad visible públicamente en la parte inferior de la web lleva a una para los EEUU (https://www.kfc.es/privacidad).

- Al crear una cuenta en el sitio web (https://www.kfc.es/cuenta/registro), no es posible el registro sin seleccionar la casilla "Acepto los términos y condiciones de uso para recibir ofertas especiales y promociones por parte de KFC y Franquiciados", es decir, te obligan a recibir ofertas especiales y promociones. En ningún momento se menciona ni enlaza a la política de privacidad ni a su aceptación en el momento del registro, solo a "términos y condiciones de uso", que lleva a un aviso legal.

- El reclamado es una entidad que desarrolla actividades de publicidad y prospección comercial, y llevan a cabo tratamientos basados en las preferencias de las personas afectadas o realizan actividades que impliquen la elaboración de perfiles de las mismas según su política de cookies y política de privacidad, por lo que están obligados a disponer de una persona Delegada de Protección de Datos, y no lo tienen.

- En la política de privacidad: (a) no se detallan los destinatarios de la información personal · (b) no aparecen detallados los datos del responsable en materia de protección de datos (razón social, NIF, domicilio social); (c) se detalla la posibilidad de hacer transferencias internacionales de datos, y no se informa al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. Solo se usan fórmulas genéricas como garantías adecuadas. Tampoco se explica el procedimiento para obtener una copia de estas o de que se prestaron; (d) no se detalla el tiempo de conservación de los datos, se utilizan fórmulas genéricas como "durante el tiempo necesario"

“a.- La web www.kfc.es facilita la información de protección de datos en doble capa: La primera capa se ubica en la URL www.kfc.es/privacidad e incluye información sobre los tratamientos de datos personales realizados por las diferentes marcas de la compañía y detalla, entre otras, las siguientes: a) El tipo de información tratada; b) Las finalidades del tratamiento; c) Los tratamientos automatizados que pueden realizarse; d) Las categorías de destinatarios de los datos; e) Las opciones y control sobre la información; f) Cómo se almacena y protegen los datos; g) Enlace a la política de privacidad para el Espacio Económico Europeo y Reino Unido; h) Información relativa a la privacidad de menores; i) Información de contacto.

La segunda capa se ubica en la URL www.kfc.es/multimarcas , y detalla, completando la información de primera capa, el resto de información requerida por el artículo 13 del RGPD: a. Base jurídica del tratamiento; b. Almacenamiento y transferencia de datos; c. Información sobre los derechos que asisten a los interesados y forma de ejercerlos; d. Información de contacto; e. Anexos con el detalle de las categorías de datos personales tratados, las finalidades del tratamiento y las bases jurídicas para el tratamiento de los mismos.

Esta segunda capa se encuentra accesible de forma directa a pie de página desde “Aviso de Privacidad” que dirige a la URL www.kfc.es/multimarcas con la información específica para los residentes en el EEE y Reino Unido e incluye el resto de información requerida por el artículo 13 del RGPD.

Del mismo modo, la Política de privacidad debe incluir la siguiente declaración en la parte superior para dirigir a los usuarios a las divulgaciones jurisdiccionales particulares: “Consulte nuestra Política de privacidad global a continuación vigente para su jurisdicción. Consulte el apartado 7 Divulgaciones jurisdiccionales para encontrar información de privacidad adicional específica de su estado o país”.

El no tener esta declaración es una omisión con respecto a nuestras políticas de privacidad globales, que corregiremos junto con el resto de los cambios y mejoras a realizar y derivadas de la presente reclamación. Fecha de implementación: estos cambios estarán aplicados a 30 de septiembre de 2021.

b.- Imposibilidad de crear una cuenta si no se acepta el envío de ofertas especiales y promociones:

El espacio de creación de cuentas web está diseñado para permitir la creación de cuentas sin que se deba aceptar el envío de ofertas especiales y promociones. No obstante, debido a un error o fallo en la configuración del formulario, los textos correspondientes a ambos checkboxes de aceptación, incluyen la autorización para la recepción de ofertas especiales y promociones.

El texto del primer checkbox es correcto, siendo este el correspondiente a la aceptación expresa por el usuario para la recepción de ofertas y promociones de KFC y es de marcación opcional.

El texto del segundo checkbox únicamente debería recoger la aceptación de los términos, condiciones de uso y la política de privacidad, aunque por error se incluyó la coletilla “para recibir ofertas especiales y promociones” cuando debía exponer “Acepto los términos y condiciones de uso y la política de privacidad para registrarme en www.kfc.es”, y es de marcación obligatoria. Si bien el texto del checkbox indica que la autorización se refiere a la recepción de ofertas y promociones, el tratamiento interno de la autorización se limita a la aceptación para la creación de la cuenta de usuario.

Una vez detectado el error, desde KFC se procederá a su corrección y modificación para que los textos de los checkboxes se correspondan con las autorizaciones. Fecha de implementación: estos cambios ya se han aplicado.

Se adjunta captura de pantalla del formulario de creación de cuenta.- Anexo II.

c.- En el formulario no se proporciona enlace a las políticas de privacidad toda vez que estas han de ser aceptadas para la creación de una cuenta.

El enlace del formulario de creación de cuentas web está diseñado para permitir acceder a los términos y condiciones de uso y la política de privacidad.

No obstante, debido a un error o fallo en la configuración del hiperenlace este apunta a la Nota Legal en lugar de a los textos correctos.

Una vez detectado el error, desde KFC se procederá a su corrección y modificación para que el hiperenlace apunte a los términos y condiciones de uso. Fecha de implementación: estos cambios ya se han aplicado.

d.- No se ha nombrado a un Delegado de Protección de Datos habida cuenta que la entidad desarrolla actividades de publicidad y prospección comercial y lleva a cabo tratamientos basados en las preferencias de las personas afectadas o realizan actividades que implican la elaboración de perfiles de las mismas.

Desde KFC interpretamos que, por la naturaleza de los tratamientos de datos llevados a cabo, no nos encontramos obligados a la designación de un Delegado de Protección de Datos dado que, no nos encontramos en ninguno de los supuestos específicos establecidos por el artículo 37.1 del RGPD.

Con relación a estos supuestos, debemos remarcar lo dispuesto en el apartado b del artículo 37.1 RGPD establece que se estará obligado a designar a un DPO “cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala”.

Tal y como establece el considerando 97 del RGP se entiende que las actividades principales de un responsable están relacionadas con «sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares, por tanto, las actividades principales» pueden considerarse las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento».

A este respecto, la actividad principal de KFC no se concreta en el tratamiento de datos de usuarios de la página web www.kfc.es, sino que ésta es una actividad auxiliar a la principal, que es la prestación de servicios de restauración a nuestros clientes, y ésta se realiza, principalmente, sin la necesidad de tratar datos personales de los mismos y de forma presencial en nuestros restaurantes y locales. Los pedidos realizados a distancia, bien a través de la web www.kfc.es, bien por otros canales, se tratan como actividad auxiliar a la principal y, debido a la naturaleza del servicio, requieren del tratamiento de determinados datos de los usuarios y clientes para la facturación y entrega de los pedidos.

Del mismo modo, para que resulte la obligación de designación de un DPD, el tratamiento debe requerir una observación habitual y sistemática de interesados.

A este respecto, el Grupo de Trabajo del artículo 29 interpreta «habitual» con uno o más de los siguientes significados: continuado o que se produce a intervalos concretos durante un periodo concreto; recurrente o repetido en momentos prefijados; que tiene lugar de manera constante o periódica.

Y «sistemático» con uno o más de los siguientes significados: que se produce de acuerdo con un sistema; preestablecido, organizado o metódico; que tiene lugar como parte de un plan general de recogida de datos; llevado a cabo como parte de una estrategia.

A este respecto, debido a la naturaleza y finalidad del tratamiento de los datos, como se ha indicado anteriormente, la gestión y facturación de los pedidos realizados a instancia de los clientes y usuarios a través de la página web, consideramos que no puede considerarse como observación habitual y sistemática de interesados.

Del mismo modo, para que nazca la obligación de designación de un DPD, el tratamiento de datos personales debe realizarse a gran escala. A pesar de que el RGPD no define qué se entiende por tratamiento a gran escala, tanto el considerando 91 del RGPD como el Grupo de Trabajo del artículo 29 dan orientaciones al respecto, teniendo en cuenta los siguientes factores a la hora de determinar si un tratamiento se realiza a gran escala: el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia, de la actividad de tratamiento de datos; el alcance geográfico de la actividad de tratamiento.

El tratamiento de datos se limita a aquellos clientes y usuarios que desean realizar pedidos a través de nuestra página web, existiendo otros canales para la realización de pedidos a distancia. El volumen o variedad de datos objeto del tratamiento se limita a los necesarios para la realización de los pedidos en cumplimiento del principio de minimización de los datos. Del mismo modo, el número total de usuarios registrados en la web www.kfc.es no excede de 20.000 y se limita a los clientes y usuarios dentro del territorio nacional, España. KFC no cumple ninguno de los anteriores factores por lo que no consideramos el tratamiento de datos de clientes y usuarios realizado a gran escala.

Por todo lo anteriormente expuesto, desde KFC hemos venido considerando que no nos encontrábamos obligados a designar un Delegado de Protección de Datos. No obstante, y a tenor de la reclamación recibida, si desde la AEPD creen que existen evidencias suficientes de que ciertas actividades del tratamiento requieran que nombremos a un Delegado de Protección de Datos, lo tomaremos en consideración para reevaluar los requisitos legales para su designación.

e.- En las políticas de privacidad:

No se detallan los destinatarios de los datos personales. La política de privacidad general incluida en la URL www.kfc.es/privacidad incluye en su apartado 4 la información relativa a cómo se comparte la información de los usuarios, y en su apartado 7 las revelaciones jurisdiccionales, con relación a la comunicación de datos realizada a las autoridades públicas en función del estado o país de residencia del usuario. El apartado 4 de la política de privacidad describe hasta 10 categorías diferentes de destinatarios de los datos.

A este respecto, el RGPD en su artículo 13.1 e) indica que el responsable del tratamiento deberá informar de los destinatarios o las categorías de destinatarios de los datos personales, en su caso.

Del mismo modo, la propia AEPD en su Guía para el cumplimiento del deber de informar en su epígrafe 7.4 Destinatarios, indica lo siguiente: “Cuando se haya previsto ceder o comunicar, legítimamente, los datos personales que se recogen se informarán acerca de la identidad de los destinatarios, si están claramente predeterminados, o de las categorías de destinatarios, si estos no están determinados previamente.”

En este caso y dado que se trata de una política de privacidad general que aplica a todas las marcas y para diferentes territorios, los destinatarios no están predeterminados y por ello se facilita únicamente información sobre las categorías de destinatarios a los que pueden ser comunicados los datos, incluyendo la finalidad o propósito de la comunicación de estos.

Entendemos que la información facilitada en la política de privacidad general cumple con lo requerido por el artículo 13.1 e) del RGPD en cuanto a la facilitación de información referente a las categorías de destinatarios.

Sobre la No aparición de los detalles del responsable en materia de protección de datos. En este caso, debido al carácter general de ambas políticas de privacidad incluidas en la web www.kfc.es -general aplicable a todos los territorios y específica para residentes en el EEE, RU y Suiza-, la identificación del responsable del tratamiento se encuentra en la Nota Legal.

Tomamos nota de esta carencia e incorporaremos esta mejora para dotar de mayor claridad y transparencia a la información facilitada en las políticas de privacidad, redirigiendo a los usuarios a la Nota Legal en la política de privacidad para la identificación del responsable del tratamiento en cada territorio, incluido España. Estos cambios estarán aplicados a finales de sep. 2021.

Se detalla la posibilidad de hacer transferencias internacionales de datos, pero no se informa al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.

El aviso de privacidad específico para EEE y Reino Unido informa a los usuarios de la posibilidad de realizar transferencias internacionales, se incluye mención a que, de hacerse, KFC se asegurará de que:

a) la información personal se transfiera a países reconocidos por ofrecer un nivel de protección equivalente;

b) la transferencia se realiza de conformidad con las protecciones adecuadas, como las cláusulas tipo sobre protección de datos adoptadas por la Comisión Europea. Sin perjuicio de estas medidas, el país y la jurisdicción a los que se transfieren los datos pueden proporcionar un nivel de protección de datos inferior al previsto en la legislación del EEE o del Reino Unido.

Si bien esta información pueda parecer demasiado genérica, tomamos nota e incorporaremos una mejora para dotar de mayor claridad y transparencia a la formación facilitada en la política de privacidad, redirigiendo a los usuarios a las direcciones de contacto de cada responsable en cada territorio, para que puedan solicitar información adicional sobre las transferencias internacionales que puedan realizarse y las garantías adecuadas utilizadas para garantizar el nivel de seguridad adecuado en las mismas.

Se adjunta captura de pantalla relativa a la información facilitada sobre trasferencias internacionales como Anexo III. Fecha de implementación: estos cambios estarán aplicados a 30 de septiembre de 2021.

d. No se detalla el tiempo de conservación de los datos.

La política de privacidad incluida en la URL www.kfc.es/privacidad incluye en su apartado 6 la información relativa al periodo de retención de los datos.

el RGPD en su artículo 13.1 a) indica que el responsable del tratamiento deberá informar del plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.

En este caso y dado que se trata de una política de privacidad general que aplica a todas las marcas y para diferentes territorios, los plazos de retención de los datos no están predeterminados y por ello se facilita únicamente información relativa a los criterios de conservación de los mismos, indicándose que se conservarán “el tiempo razonablemente necesario para mantener el Servicio, cumplir con las obligaciones legales y contables, y los demás fines descritos en esta Política, o según lo requiera o permita la ley.”

Se adjunta como Anexo IV la información relativa al periodo de retención de los datos. Por tanto, entendemos que la información facilitada en la política de privacidad general cumple con lo requerido por el artículo 13.1 a) del RGPD en cuanto a la facilitación de información referente a los plazos de conservación de los datos o los criterios para establecer dichos plazos.

No obstante, y como si bien esta información pueda parecer demasiado genérica, tomamos nota e incorporaremos una mejora para dotar de mayor claridad y transparencia a la información facilitada en la política de privacidad, incorporaremos criterios de conservación o plazos de conservación más concretos al aviso de privacidad específico para el EEE y RU. Fecha de implementación: estos cambios estarán aplicados a 30 de septiembre de 2021.

“Se aporta extracto del Registro de Actividades del Tratamiento (RAT) en donde se reflejan todas las actividades del tratamiento llevadas a cabo por KFC en relación con actividades publicitarias con clientes, indicándose el número de datos de clientes cuyos datos se tratan y la tipología de datos tratados para cada actividad, así como el tiempo durante el cual se tratan dichos datos.

A este respecto, desde KFC se dispone de un calendario de conservación de datos y protocolo interno de conservación / eliminación de datos personales toda vez han dejado de ser necesarios. Cabe resaltar que desde KFC no se realizan, en ningún caso, análisis de perfiles; las actividades del tratamiento relacionadas con el envío de información comercial se realizan en base al consentimiento del usuario (sistema de opt-in) y sin segmentación de usuarios.

Las actividades del tratamiento relacionadas con la publicidad se llevan a cabo siempre con el consentimiento previo del usuario, a diferencia de las actividades de tratamiento relacionadas con el cumplimiento de los pedidos de los usuarios que se llevan a cabo sobre la base de la ejecución de un contrato. El alcance geográfico de las actividades del tratamiento es España, siendo la gestión de los datos centralizada para todo el territorio nacional.

Sobre los análisis realizados por su entidad para evaluar la necesidad de nombrar un DPD, indicando si lo han nombrado y en caso afirmativo, si está comunicado y publicado:

A este respecto, desde KFC se ha entendido que no existe la obligación de designación del DPD, debido a que las actividades del tratamiento realizadas no se circunscriben a las del art 37 RGPD ni la entidad se encuentra entre las obligadas en el art 34 LOPDGDD.

Del mismo modo, la gestión de cumplimiento en materia de protección de datos viene siendo ejercida por personal interno especialista en protección de datos, en particular, desde UK, a través de B.B.B., Global Privacy Lead CounselHead y la consultoría de expertos externos en cada uno de los países desde los que se opera.

No obstante, y como ya se indicó anteriormente, internamente se procederá a evaluar periódicamente la necesidad designación del mismo, en función de los posibles cambios operacionales así como el inicio de nuevas ramas de negocio que puedan suponer la incorporación de nuevas actividades del tratamiento, el con el objeto de ofrecer mayores garantías de cumplimiento a nuestros clientes y usuarios en cuanto a las actividades y procedimientos en el tratamiento de datos personales, en particular, si se iniciasen actividades del tratamiento para la elaboración de perfiles.

II.- Que en fecha 1 de Marzo de 2022 se presentó escrito de solicitud de ampliación de plazo habida cuenta de la complejidad y volumen de información y/o documentación a gestionar al objeto de estar en disposición de cumplimentar el requerimiento referido de la forma más adecuada posible para el buen fin de la tramitación del requerimiento, así como la necesidad de coordinar la respuesta con la empresa matriz en Estados Unidos, Yum Restaurants International Management LLC, confirmándose por la AEPD la concesión de dicha ampliación de plazo.

III.- Que, en virtud del citado requerimiento, se aporta a esta Agencia la documentación requerida como sigue: Copia de extracto Registro de Actividades del Tratamiento relacionadas con clientes y con finalidades publicitarias como Anexo I y Copia de Análisis Interno realizado para evaluar la necesidad de nombrar DPD como Anexo II

Información básica de Protección de Datos: Responsable: KFC IBERIA; Finalidades: Incluir en la base de datos de candidatos de la Empresa los datos del currículum vitae que nos facilitas al crear tu cuenta con nosotros para usarlos en futuros procesos de selección en los que tu perfil pueda encajar; Legitimación: Consentimiento del interesado; Destinatarios: No comunicaremos sus datos a terceros salvo obligación legal y a las empresas que se indican en la información adicional.

(…) Contacto: las webs son propiedad y están dirigidos por kfc restaurant spain s.l. una empresa registrada en España, cuyo domicilio social se encuentra en serrano Galvache 56, edificio madroño, piso 3, kfc, Madrid, 28033. cif: B86281599. para ponerse en contacto con nosotros, llame al teléfono +34 917 68 07 30.

Registro: Protección de datos: recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra política de privacidad. por favor, lea nuestra <<política de privacidad>> para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta.

Términos y condiciones para los pedidos realizados a través del móvil:

protección de datos: recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra <<política de privacidad>>. por favor, lea nuestra política de privacidad para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta.

Si no está satisfecho con el servicio que ha recibido, póngase en contacto con nosotros a través de clientes@kfc.es o +34 91 904 18 81 (…)

“Sobre la información personal que recopilan; Cómo utilizan la información personal; Qué información se puede recopilar automáticamente; Cómo comparten la información recopilada; Sobre las opciones y control sobre la información recopilada, Cómo almacenan y protegen la información; Sobre la normativa jurisdiccional de Europa se indica expresamente lo siguiente: “Cuando tengamos un establecimiento en el espacio económico europeo (“EEE”), el Reino Unido o Suiza, o estemos procesando datos personales relacionados con personas ubicadas en el EEE, el Reino Unido o Suiza, haga <<clic aquí>> para obtener información adicional sobre nuestras prácticas de privacidad de datos; Sobre la privacidad de los niños; Sobre los enlaces a otros sitios web y servicios; Cómo ponerse en contacto con los responsables del sitio web; Y sobre los cambios en la política de privacidad (…)”.

“ Sobre el e Responsable del Tratamiento: KFC España: KFC Restaurants Spain, S.L. con NIF B86281599 y domicilio en Calle Serrano Galvache (Pq. Empresarial Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid, Madrid. Correo electrónico: clientes@kfc.es . Teléfono: 91 904 18 81. Sobre la base jurídica para el tratamiento de datos. Sobre la base del consentimiento otorgado y sobre el derecho a retirar en cualquier momento su consentimiento, cuando lo haya otorgado. Sobre el almacenamiento y transferencia de datos en el EEE y el Reino Unido. Sobre los derechos individuales de los residentes en el EEE y cómo ejercitarlo, y el derecho a presentar una reclamación ante su autoridad local. Cómo ponerse en contacto con el responsable de la web.

PRIMERA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR INFRACCIÓN DEL ARTÍCULO 6.1. DEL RGPD.

1.1. LA ACTIVIDAD INVESTIGADORA DE LA AEPD ES INSUFICIENTE PARA ORDENAR EL INICIO DEL PROCEDIMIENTO SANCIONADOR

Dispone el artículo 53 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»):

«1. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación».

Por su parte, el artículo 67 de la LOPDGDD, dispone lo siguiente: 1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos que justifican el procedimiento».

Es decir, corresponde a la AEPD la ejecución de las labores de investigación suficientes para determinar el alcance de potenciales infracciones cometidas con anterioridad a dictar el acuerdo de inicio de cualquier procedimiento sancionador. Y ello de conformidad con lo dispuesto en el artículo 68 de la LOPDGDD; especificando dicho artículo que el inicio del procedimiento para el ejercicio de la potestad sancionadora procederá una vez concluidas las actuaciones investigadoras de la AEPD y, en todo caso, si como resultado de dichas investigaciones es procedente el inicio de tal procedimiento.

A tenor de lo expuesto, conviene destacar que los motivos por los que la AEPD propone sanción de 30.000 euros en el marco del presente procedimiento sancionador se encuentran expuestos en las páginas 31 y 32 del Acuerdo de Inicio de Procedimiento Sancionador. Dichos motivos se resumen en que KFC realiza tratamientos de datos personales para finalidades «redactadas de forma genérica, que permiten un tratamiento posterior ilimitado, una vez cumplido el fin para el que fueron obtenidos».

Al respecto, la AEPD ampara su decisión –ello sin tener en cuenta las circunstancias agravantes, que serán debidamente refutadas posteriormente en este escrito– ÚNICA Y EXCLUSIVAMENTE en el redactado de la política de privacidad que está publicada en la página web de KFC al momento de llevar a cabo la AEPD su labor de investigación. Y ello, sin tener en cuenta que:

Las finalidades indicadas en la política de privacidad sobre las que se propone sanción describen situaciones potenciales y no implican que sean efectivamente llevadas a cabo, o bien son llevadas a cabo de manera totalmente lícita como se expondrá; y lo más importante, tales ulteriores tratamientos por los que se propone sanción no están recogidos en el Registro de Actividades de Tratamiento aportado ya a la AEPD, lo que supone una clara falta de contraste por parte de la AEPD a la hora de determinar la eventual existencia y alcance de la presunta infracción cometida y el cálculo de la sanción propuesta.

KFC está cumpliendo en todo momento con sus obligaciones en materia de protección y de datos y en concreto con aquellas derivadas de la licitud de los tratamientos de datos personales que sí lleva a cabo en consonancia con el artículo 6 del RGPD. Sin ir más lejos, nada dice la AEPD sobre los formularios de recogida de datos personales que transcribe en las páginas 13 a 16 del Acuerdo de Inicio de Procedimiento Sancionador. Los mismos evidencian el buen proceder de KFC y la correcta gestión que hace a la hora de recoger datos personales de sus interesados y la ajustada información por capas que suministra sobre los tratamientos que efectivamente realiza.

No obstante, la AEPD propone sanción por la infracción del artículo 6 del RGPD contra KFC por la inclusión en su política de privacidad de tratamientos que incluyen términos como: «podemos utilizar»; o «podemos compartir» que en absoluto pueden concluir que KFC efectivamente lleve a cabo tratamiento alguno. La AEPD en su Acuerdo de Inicio de Procedimiento Sancionador está hablando de tratamientos hipotéticos sin ningún tipo de evidencia que sustente que los mismos se están efectivamente llevando a cabo.

Es más, tal y como se expuso en la fase de información previa que precede a este procedimiento sancionador, el Registro de Actividades de Tratamiento de KFC requerido y debidamente aportado en tiempo y forma ante la AEPD, incorpora los tratamientos de clientes con fines publicitarios. Entre dichos tratamientos no se encuentra ninguno de los que ahora menciona la AEPD para proponer sanción. Por mucho que la política de privacidad de KFC dejara abierta la posibilidad de tratar datos con fines de «realizar perfiles, programas de recompensa o de fidelización a los clientes; para compartir, vender o divulgar la información obtenida a la empresa matriz, a otras empresas del grupo o a filiales que no sea para la gestión administrativa o para vender, compartir o divulgar los datos personales obtenidos», lo cierto es que dichos tratamientos no son realizados en la actualidad por KFC, como consta debidamente del citado Registro de Actividades de Tratamiento aportado al expediente, el cual no dice nada al respecto sobre dichos tratamientos, ni sobre las comunicaciones de datos a terceros que se mencionan (y no puede decirlo, pues dichos tratamientos no son realizados por nuestra empresa).

Además, KFC no realiza ninguna actividad relacionada con un programa de recompensa o fidelización de clientes. Esto no ha sido confirmado por la AEPD en la transcripción de los textos de privacidad aportados a este procedimiento ni por el denunciante en su reclamación.

La actividad investigadora de la AEPD en las presentes actuaciones fue exclusivamente la de requerir a KFC a aportar:

«Listado de actividades de la entidad que implican tratamientos de datos personales, detallando expresamente si se realizan tratamientos de clientes para fines publicitarios Para cada actividad se debe aportar:

O número de datos de clientes que tratan, O variedad de elementos de datos de cada cliente que son objeto de tratamiento, O tiempo durante el que se tratan los datos de cada cliente y detalle de la permanencia de dichos datos en sus sistemas de información; O el alcance geográfico o territorial de los tratamientos detallando si sus sistemas tratan datos relativos a clientes de un determinado ámbito territorial o de todo el territorio nacional».

De haber observado las incongruencias existentes entre lo descrito en el Registro de Actividades de Tratamiento de KFC y lo informado en su política de privacidad, la AEPD debería haber continuado su labor investigadora y no debería haber propuesto sanción ante la clara y evidente falta de elementos de convicción que permitieran tan si quiera intuir que KFC había cometido infracción alguna del RGPD de la naturaleza aquí descrita.

A modo ilustrativo, se acompaña el RAT aportado al procedimiento de requerimiento de información E/12752/2021 seguido ante esta Agencia: 1.2. EN LA POLÍTICA DE PRIVACIDAD INVESTIGADA SE IDENTIFICAN TRATAMIENTOS QUE SÍ SE PUEDEN LLEVAR A CABO Y EXISTE BASE LEGITIMADORA SUFICIENTE PARA ELLO

Sin perjuicio de lo descrito en la Alegación 1.1. anterior, y de que KFC nunca ha llevado a cabo los tratamientos descritos en el Acuerdo de Inicio de Procedimiento Sancionador de la AEPD, es de destacar que incluso en el caso de que los tratamientos de datos personales indicados por la AEPD hubieran tenido lugar, los mismos son identificados en la política de privacidad de KFC que se transcribe en el referido Acuerdo de Inicio de Procedimiento Sancionador y carece de fundamento proponer sanción con base en el artículo 6.1 del RGPD.

La AEPD propone sanción a KFC por llevar a cabo tratamientos ulteriores a los identificados en la política de privacidad de KFC con base en el artículo 6.1 del RGPD, pero en realidad la única forma por la que tiene noticia de dichos tratamientos es precisamente por lo indicado en la política de privacidad de KFC.

Esto es, se está proponiendo sanción por llevar a cabo tratamientos ulteriores que sí que están identificados en la propia política de privacidad de KFC. De hecho, es la propia AEPD la que, para justificar su propuesta de sanción extrae párrafos de la política de privacidad de KFC en los que se indica que KFC podrá llevar a cabo dichos tratamientos con respecto de sus interesados.

Lo que no debe confundirse es la ejecución de tratamientos con finalidades ulteriores, por un lado, con el deber de transparencia ex artículo 13 del RGPD por otro, a la hora de describir dichos tratamientos y sus bases legitimadoras. Y es que, para esto, la AEPD ya está proponiendo sanción según es de ver en la página 40 del Acuerdo de Inicio de Procedimiento Sancionador. A KFC ya se la está proponiendo sanción por incumplimiento del deber de transparencia, y la realidad es que la AEPD está maquillando una segunda sanción por falta de transparencia escudada en una inverosímil infracción del artículo 6.1 del RGPD a partir de evidencias que precisamente se obtienen de la propia política de privacidad de KFC. Es incongruente de todo punto proponer una sanción a un responsable del tratamiento por llevar a cabo un tratamiento ulterior identificado en su propia política de privacidad precisamente debido a que el fundamento principal de sancionar por un tratamiento ulterior reside en un tratamiento de datos para un fin distinto del informado inicialmente – Considerando 50 RGPD–.

En todo caso, podemos hablar de una omisión de identificación de las bases legitimadoras de cada uno de los tratamientos que la AEPD identifica en su Acuerdo de Inicio de Procedimiento Sancionador, pero como se verá, la falta de transparencia sobre la identificación de las bases legitimadoras no implica un tratamiento de datos personales ilícito:

Cuando se habla de «personalización de su experiencia con nosotros» la AEPD está confundiendo la elaboración de perfiles con una actividad de mera segmentación con la exclusiva finalidad de llevar a cabo actividades de mercadotecnia perfectamente compatibles con las normas de protección de datos y con los criterios del Comité Europeo de Protección de Datos, así como del Grupo de Trabajo del Artículo 29. El hecho de que KFC ajuste la oferta de sus productos y servicios a las preferencias expresadas por sus clientes durante la compra de productos es inherente a la actividad de cualquier empresa que esté debidamente organizada y que lleve a cabo una actividad diligente y orientada al mejor servicio a sus clientes.

El Grupo de Trabajo del Artículo 29, en sus Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, de 3 de octubre de 2017, indica que las actividades de segmentación de usuarios pueden tratarse con distintas bases legitimadoras, entre ellas, la ejecución de la relación contractual entre el cliente y el responsable del tratamiento, y el interés legítimo perseguido por el responsable del tratamiento, en este caso KFC.

Lo cierto, es que, hasta la fecha, la AEPD no ha requerido a KFC a indicar la base legitimadora de este tratamiento de datos personales por cuanto está proponiendo una sanción por una infracción desacertada e inexistente. Asimismo, la segmentación que se desprende del redactado de la política de privacidad de KFC coincide con los parámetros expuestos por el Grupo de Trabajo del Artículo 29 para basar dicho tratamiento bien en la ejecución de la relación contractual, o bien en el interés legítimo de KFC: de la lectura de la política de privacidad no se desprende la elaboración por parte de KFC de un perfil exhaustivo ni detallado sujeto a previo consentimiento del interesado, máxime si tenemos en cuenta la actividad principal de KFC, que no es otra que la venta de pollo frito en establecimientos físicos.

¿Cuál puede ser el grado de exhaustividad del perfilado para la venta de productos de este tipo? ¿si el cliente prefiere un cubo de pollo frito o una hamburguesa de pollo? Desde luego, no puede llegarse a la conclusión de que se estén llevando a cabo actividades de perfilado sujetas a consentimiento a partir de la información de la que dispone la AEPD.

En lo que respecta al tratamiento de geolocalización que indica la Agencia, debe ponerse de relieve, que nuestra política de privacidad dice claramente en la sección «5. Sus opciones y control sobre su información» que sólo se tratará bajo el consentimiento del interesado: consentimiento que, además, viene complementado por las opciones de configuración de privacidad que se ofrecen a los usuarios y que se explican de forma clara en nuestra política de privacidad.

El otro de los tratamientos identificados por la AEPD es «promocionar nuestros programas de afinidad y recompensas»: esto claramente lo puede hacer KFC, tanto para aquellos clientes que han dado su consentimiento con fines promocionales, como para cualquier otro cliente conforme a lo dispuesto en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. Además de que, como se ha indicado, no es un tratamiento ulterior, es un tratamiento claramente identificado en la política de privacidad y claramente vinculado con la propia actividad de KFC vinculada al tratamiento de los datos de las personas que, voluntariamente, se registran en nuestra página web.

En lo que respecta a la comunicación de datos personales tanto con terceros como intragrupo, indicar que la sección 4 de la política de privacidad de KFC identifica todas las categorías de terceros que pueden acceder a datos personales de los interesados y bajo qué circunstancias. De nuevo, no estamos hablando de una cuestión de tratamientos ulteriores ex artículo 6.1. del RGPD sino de si la información suministrada es suficientemente transparente, para lo cual, ya se está proponiendo sanción (por lo que la que se propone ahora no procede, en función del principio de non bis in idem).

Por último, en cuanto a considerar contraria al art 6.1 RGPD la referencia en nuestra política de privacidad a “proveedores de servicios” como destinatarios de los datos de nuestros usuarios web registrados, no puede estar más fuera de lugar, por los siguientes motivos:

Reiteramos: en cualquier caso, lo anterior supondría una supuesta vulneración del artículo 13 RGPD, para cuya presunta vulneración por parte de KFC ya se propone sanción por lo que, de nuevo, no procede volver a sancionar en base al artículo 6.1 RGPD por aplicación del principio non bis in idem;

Pero es que, además, compartir datos de nuestros usuarios registrados con proveedores de servicios, con los cuales KFC tiene debidamente firmados los correspondientes contratos de encargo de tratamiento, no es en absoluto ningún tratamiento de datos ulterior al tratamiento principal de los datos de dichos usuarios, sino algo intrínsecamente vinculado a dicho tratamiento principal. Cualquier persona con conocimientos elementales de economía sabe de la existencia de la cadena de valor, y de que toda actividad económica está soportada por la concurrencia de proveedores externos a los cuales se confía una gestión más eficiente de los procesos productivos de cualquier organización

Si lo anterior no fuese suficiente, el propio art. 13 RGPD permite de forma expresa identificar a los destinatarios de datos por «categorías» de los mismos, con lo cual, con la referencia a proveedores externos, se cumple de forma dichos precepto a la hora de proporcionar información a nuestros usuarios registrados.

SEGUNDA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR INFRACCIÓN DEL ARTÍCULO 37 DEL RGPD.

Identifica la AEPD una posible infracción cometida por KFC por no haber designado un delegado de protección de datos estando obligada a ello según los criterios del artículo 37 del RGPD, mencionando los criterios establecidos por el Grupo de Trabajo del Artículo 29 para determinar la necesidad de designar un delegado de protección de datos.

En lo que no coincide esta parte con la actuación de la AEPD en el presente procedimiento es en la forma de aplicar las Directrices sobre Delegados de Protección de Datos al presente supuesto de hecho para concluir que KFC debe designar un delegado de protección de datos.

A continuación, se exponen las conclusiones a las que llega esta parte para considerar que los elementos indicados en el artículo 37.1 b) del RGPD no se cumplen y que, por lo tanto, no es necesaria la designación de un delegado de protección de datos:

(i) Respecto de la «actividad principal»: De acuerdo con lo especificado por el Grupo de Trabajo del Artículo 29, las actividades principales deben asociarse a aquellas actividades y «operaciones clave necesarias para lograr los objetivos» de cualquier compañía en su actividad comercial.

La AEPD hace uso de ejemplos tales como hospitales o empresas de seguridad privada cuyas operaciones y actividades están íntimamente ligadas al tratamiento de datos personales –datos de salud, y vigilancia sistemática respectivamente–. Ahora bien, la actividad principal de KFC es la prestación de servicios de restauración en puntos de venta físico a través de sus franquiciados sin que sea necesario tratamiento de datos personales alguno relativos a los consumidores de dichos productos.

No tiene sentido que la AEPD en la página 43 del Acuerdo de Inicio de Procedimiento Sancionador, indique que el objeto social no tiene relación con la actividad principal, y luego use el objeto social de KFC para decir que está obligada a designar un delegado de protección de datos. Pero es que, además, nuestra página web no constituye en absoluto el centro de la actividad de KFC, sino que es, únicamente, uno de los canales que KFC utiliza para poner en contacto a los consumidores de nuestros productos con los franquiciados a través de los cuales pueden adquirirse nuestros productos (entre los otros canales de los que se sirve KFC para conseguir tal finalidad está la publicidad en medios de comunicación, la publicidad en vías públicas, las campañas de patrocinio y esponsorización, las alianzas con terceras organizaciones, etc…).

En consecuencia, resulta palmario que KFC no hace uso de su sitio web como punto de venta principal de sus productos (dichos puntos de venta principal son y serán siempre los establecimientos de su red de franquiciados). Como indicado anteriormente, las ventas de KFC en línea durante 2021, ascendieron a 2.530.000 euros. Esto es un 1.1 % del total de ventas totales de KFC en España a través de sus franquiciados; por lo tanto, indicar que «la naturaleza de la actividad del demandante requiere indisolublemente el tratamiento de datos personales, sin los cuales su desarrollo devendría imposible» es una conclusión que no sólo es errónea e imprecisa desde el momento en que el grueso de los ingresos de KFC en España proviene de ventas distintas a las de su página web, si no que, además, está carente de cualquier prueba por parte de la Agencia.

En esta misma línea se pronuncia precisamente el RGPD en su Considerando 97 al entender que «las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares». Teniendo en cuenta la desproporción de las ventas on-line de KFC respecto de su volumen de ventas totales, difícilmente puede entenderse que tal actividad sea considerada como primaria y, por ende, como principal.

En síntesis, si se siguiera el criterio expuesto por la AEPD, toda empresa que disponga de una página web como canal complementario de su actividad estaría obligada a designar un delegado de protección de datos, y esta conclusión vaciaría de contenido los artículos 37 del RGPD y 34 de la LOPDGDD, y sería palmariamente contrario a la letra y al espíritu de la norma en cuanto a esta obligación específica de designación de un responsable de velar por el cumplimiento de la normativa de privacidad.

Respecto de «la observación habitual y sistemática»: No puede coincidir la actividad de KFC en su página de internet con las definiciones dadas por la propia AEPD por cuanto ni existe «un plan general de recogida de datos» ni se lleva a cabo «como parte de una estrategia», ni la AEPD aporta prueba ni evidencia alguna de tales acusaciones. Lo único que sucede con los datos personales tratados en el entorno web de KFC de sus clientes es que realizan pedidos para recibir comida a domicilio o recogerla en establecimientos franquiciados de KFC y se realizan campañas y acciones promocionales para fidelizar clientes. En ningún caso realizando un seguimiento sistematizado de los interesados. Las tareas de geolocalización sólo se producen, como es obvio y evidente, cuando el interesado desea ubicar una tienda próxima a él, cuando desea recibir el pedido en su domicilio, o cuando –existiendo base legitimadora apropiada– desea recibir información promocional del lugar en el que se encuentra. Esto en ningún caso es constante en el tiempo y sólo se produce a petición del usuario que hace uso del sitio web de KFC y tras haber obtenido su consentimiento.

Respecto del tratamiento «a gran escala»: Llegados a este punto, nos remitimos íntegramente a lo indicado en la Alegación Cuarta posterior. El volumen de datos de clientes que realizaron pedidos en el entorno en línea de KFC en 2021 asciende a 110.000 registros, los cuales realizaron 153.439 pedidos; otros 100.000 registros son los que recibieron comunicaciones comerciales durante 2021. Todos ellos, limitados al ámbito geográfico de España para unas finalidades concretas e identificadas en la política de privacidad.

Sumado a ello, el riesgo en el tratamiento es bajo, por cuanto no se tratan datos de las categorías establecidas en los artículos 9 y 35 del RGPD, así como tampoco concurren las circunstancias indicadas a tal efecto en las guías y directrices del Grupo de Trabajo del Artículo 29, ni en las condiciones indicadas en el artículo 28 de la LOPDGDD. Todo ello, según es de ver el Registro de Actividades de Tratamiento de constante referencia.

Sumado a ello, debe ponerse de manifiesto que la AEPD en toda la fase de investigación no ha podido vincular los datos tratados por KFC en su página web a ninguna app y mucho menos a una app de amplia implantación (lo cual es un término demasiado ambiguo como para considerarse criterio suficiente como para proponer una sanción de 20.000 euros).

Por último, en lo que concierne a la geolocalización debe de indicarse que, como se ha especificado antes, dicha actividad no se encuentra recogida en ninguna norma de protección de datos como un dato de alto riesgo o especialmente protegible. El único ejemplo lo podemos encontrar en el artículo 28.2 apartado d) de la LOPDGDD, y al respecto debe matizarse que dicha geolocalización, en realidad se corresponde con una monitorización sistemática destinada a la generación de perfiles y basada en la geolocalización y seguimiento de movimientos; cosa que en absoluto realiza KFC.

Los anteriores elementos, valorados en su conjunto, en absoluto pueden determinar que KFC deba designar un delegado de protección de datos y confirman el análisis jurídico al procedimiento de requerimiento de información E/12752/2021, en el que KFC confirmaba haber llevado a cabo los análisis pertinentes y concluido que no necesitaban designar a tal figura. Lo que convierte a esta segunda propuesta de sanción en improcedente.

TERCERA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR INFRACCIÓN DEL ARTÍCULO 13 DEL RGPD.

Considera la AEPD que a partir de la lectura de la política de privacidad de KFC y de la descripción de finalidades del tratamiento que en ella se hace, KFC está cometiendo una infracción del artículo 13 del RGPD por cuanto no está cumpliendo con el deber de transparencia que le es exigible al informar a sus interesados sobre las finalidades de los tratamientos que lleva a cabo.

Para ello, aplica los criterios establecidos en el artículo 74 de la LOPDGDD y califica la infracción como leve. A este respecto, KFC no tiene nada que añadir y se remite a lo indicado en la Alegación Primera de este escrito de alegaciones, sin perjuicio de reseñar que, como la propia AEPD constata en su resolución de inicio de procedimiento sancionador, durante todo el proceso de información previa que antecede al presente procedimiento KFC ha ido mejorando su política de privacidad en aquellos aspectos en que, conforme a los requerimientos de información recibidos de la propia AEPD, se ha entendido eran susceptibles de mejora. Ahora bien, la AEPD impone por tal incumplimiento una sanción que excede de los criterios para imposición de sanciones establecidos en el propio RGPD. Sin ir más lejos, el Considerando 148 del RGPD establece lo siguiente:

«A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento».

Lo cierto es que no existen antecedentes sancionadores en materia de protección de datos que comprometan a KFC, y la entidad ya se encuentra en trámites de actualizar la información que facilita a sus interesados en entornos digitales. Considera KFC que no concurriendo circunstancias agravantes para la imposición de sanción alguna –como se expone a continuación– y atendiendo a lo expuesto en las distintas alegaciones, así como que la infracción se ha calificado como leve, corresponde un apercibimiento como sanción en lugar de la multa de 5.000 euros que se propone por la AEPD.

CUARTA.- NO CONCURREN CIRCUNSTANCIAS AGRAVANTES QUE INCREMENTEN LA CUANTÍA DE LAS SANCIONES PROPUESTAS

Para determinar el importe de las sanciones propuestas por la AEPD por importe de 30.000 y 20.000 euros, la propia Agencia recurre a dos elementos que en nada se acercan a la realidad de la actividad comercial de KFC en España.

El primero de ellos, hace referencia a la intencionalidad de la infracción cometida. Para ello, la AEPD basa su razonamiento en la Sentencia de la Audiencia Nacional de 17 de octubre de 2007. Dicha sentencia especifica que para valorar el grado de diligencia exigible al responsable del tratamiento debe atenderse a determinar si «la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal».

Lo cierto es que, aunque se lleven a cabo actividades en entornos digitales –la venta de productos de KFC en internet– y pueda desprenderse que se lleva un tratamiento de datos constante, BAJO NINGÚN CONCEPTO dicho tratamiento de datos constante deben entenderse automáticamente por abundante, por el mero hecho de que KFC sea una marca reconocida en España. El Registro de Actividades de Tratamiento aportado al procedimiento de requerimiento de información E/12752/2021 indica claramente que el número total de usuarios registrados a través del sitio web de KFC en España en 2021 no supera los 110.000, los cuales realizaron 153.439 pedidos en 2021, y el número de registros que reciben comunicaciones comerciales (opt-in) es de 100.000; siendo estos los datos máximos de interesados vinculados a los tratamientos por los que la AEPD propone sanción.

Hemos de recordar que el Grupo de Trabajo del Artículo 29, Directrices sobre los delegados de protección de datos (DPD), especifica qué criterios han de tenerse en cuenta para considerar que existe un tratamiento de datos a gran escala, o abundante, como indica la Audiencia Nacional:

«En cualquier caso, el Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia, de la actividad de tratamiento de datos; el alcance geográfico de la actividad de tratamiento».

En el presente caso, debe indicarse que los datos de usuarios on-line por parte de KFC (110.000 usuarios registrados), con respecto al total de la población española que compra por internet (28,5 millones de ciudadanos) es ínfimo1, tan sólo es el 0,00385 % del total. La variedad de datos de dichos usuarios registrados de KFC, como la propia AEPD reconoce, también es reducida pues se tratan únicamente datos de contacto, datos de ubicación y datos identificativos para prestar los servicios y proveer los productos ofertados. La duración del tratamiento según indicado en el Registro de Actividades de Tratamiento es de 5 años como máximo. Y el alcance geográfico está limitado a España.

Por todo ello, la aplicación de esta agravante resulta de todo punto improcedente. Además, y en lo que concierne particularmente a la sanción relativa a no designar delegado de protección de datos, es de todo punto improcedente aplicar tal agravante de culpabilidad, por cuanto KFC ha realizado –y así lo ha demostrado– las evaluaciones pertinentes para considerar que no es necesario designar un delegado de protección de datos. De confirmarse la sanción, tal agravante no debería ser tenida en cuenta por cuanto KFC ha tomado todas las cautelas cumpliendo con su deber de responsabilidad proactiva para analizar la necesidad de designar delegado de protección no considerándolo necesario.

En segundo lugar, y respecto del segundo agravante propuesto por la AEPD, cuesta creer que se imponga a KFC un agravante en la sanción propuesta por «el nivel de implementación de la entidad KFC en la economía del país». Al respecto, se ponen de relieve los siguientes datos:

De acuerdo con los datos del Instituto Nacional de Estadística en su Encuesta sobre el uso de TIC y del comercio electrónico en las empresas del Año 2020 – Primer trimestre de 2021 (https://www.ine.es/prensa/tic_e_2020_2021.pdf)-, el volumen de ventas realizadas por empresas a través de comercio electrónico en 2020 ascendió a 275.011.398.000 euros. Los 2,5 millones de euros de ventas realizadas por KFC a través de su página web no supone más que el ínfimo 0,00009 % del total nacional de ventas realizadas por comercio electrónico.

Asimismo, de acuerdo con el estudio publicado por la entidad Adevinta y denominado «el comercio online se consolida en España: el 86% de la población compra y vende a través de internet» (https://www.adevinta.es/stories/articles/comercio-onlineconsolida-pulso-digital), «el 48% de la población española realizó todo el proceso de compra por internet». Esto es, casi 23 millones de personas en España. Los 110.000 usuarios registrados en la página web de KFC representan la ínfima proporción de 0,00478% de los mencionados 23 millones.

Desde luego, el criterio agravante planteado por la AEPD no tiene cabida desde el momento en que es muy cuestionable que KFC por su actividad online y a la vista de los datos expuestos, tenga un nivel de implantación relevante en la economía española, máxime si se tiene en cuenta que los 2,5 millones de euros facturados por KFC no suponen nada con respecto de las ventas totales identificadas por el Instituto Nacional de Estadística y que los 110.000 usuarios registrados en su página web representan un porcentaje muy pequeño de la población total que compra on-line en España.

A LA AEPD SUPLICO: Tenga por presentado el presente escrito, sus copias, los admita, y tenga por formuladas las anteriores alegaciones en Acuerdo de Inicio de Procedimiento Sancionador PS/00140/2022, para que incorporándose al mismo dicte resolución por la que deje sin efecto las propuestas de sanción formuladas y archive sin mayores trámites el referido procedimiento sancionador.

SUBSIDIARIAMENTE, A LA AEPD SUPLICO: Para el caso de considerar que KFC ha cometido alguna de las infracciones descritas en su proposición de sanción, sancione a KFC sólo con respecto de la relativa al incumplimiento de las obligaciones de transparencia indicadas en el artículo 13 del RGPD, y con apercibimiento, dado que no tiene antecedentes sancionadores ante esta Agencia, la levedad de la infracción cometida en los propios términos de la AEPD, la patente voluntad de KFC de mejorar su nivel de cumplimiento normativo demostrada en los trámites de información previa que preceden al presente procedimiento, y la no comisión de las otras infracciones indicadas en su Acuerdo de Inicio de Expediente Sancionador”.

“(…) Protección de datos: Recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra Política de Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta (…)”.

“KFC® (“KFC”, “nosotros”, “nuestro” o “nos”) se compromete a proteger su privacidad. Esta Política de privacidad de KFC (esta “Política”) se aplica a nuestros sitios web, experiencias en línea y aplicaciones móviles para dispositivos móviles con Apple iOS, Windows o Android que se vinculan a la Política (colectivamente, nuestros “Sitios”), y describe cómo recopilamos, utilizamos y divulgamos su información personal cuando visita nuestros Sitios o nuestros restaurantes y quioscos en tienda, o interactúa de otra manera con nosotros (colectivamente, nuestro “Servicio”).

Al acceder o utilizar nuestro Servicio, usted indica que ha leído, comprendido y acepta nuestra recopilación, almacenamiento, uso y divulgación de su información personal según se describe en esta Política y en nuestras Condiciones de uso, disponibles en nuestro sitio.

Para obtener más información sobre las prácticas de privacidad de otras empresas de Yum Brands, Inc. (“Yum Brands”) (las “Marcas”), visite: Política de privacidad de YUM Brands. Política de privacidad de PIZZA HUT®. Política de privacidad de TACO BELL®. Política de privacidad de THE HABIT®

“(…) 2. CÓMO UTILIZAMOS LA INFORMACIÓN PERSONAL:

(…) También podemos utilizar su información para personalizar su experiencia con nosotros y promover nuestros programas de recompensas o fidelización. También utilizamos esta información para proporcionarle el Servicio en todas nuestras operaciones, lo que incluye apoyar su experiencia en tienda cuando interactúa con nuestras ubicaciones propiedad de franquiciados (…).

4. CÓMO COMPARTIMOS SU INFORMACIÓN

Podemos compartir, vender o divulgar su información en los casos que se describen a continuación. Para obtener más información sobre sus opciones en relación con su información, consulte “Sus opciones y control sobre su información”.

Otras Marcas: Podemos compartir información personal con nuestra empresa matriz Yum Brands y otras empresas de Yum Brands y nuestras filiales, que pueden utilizar su información de forma similar a la que se describe en esta Política. (…)

Socios promocionales: Podemos compartir información limitada con terceros con quienes nos asociamos para proporcionar concursos y sorteos, u otras actividades promocionales conjuntas. Normalmente, estos socios se identificarán claramente en las reglas del concurso o en los materiales de promoción.

Socios comerciales estratégicos y de marketing seleccionados: Podemos compartir datos limitados con nuestros socios comerciales estratégicos y de marketing preferidos para que puedan proporcionarle información y mensajes de marketing sobre productos o servicios que puedan interesarle. Estas partes pueden utilizar su información de acuerdo con sus propias políticas de privacidad.

Socios publicitarios en línea: Podemos compartir información con socios de publicidad en línea externos o permitir que estos socios recopilen información de usted directamente en nuestros Sitios para facilitar la publicidad en línea. Para obtener más información, consulte nuestra Política sobre cookies y anuncios, disponible en nuestro Sitio. (…)

Otros casos en los que podemos compartir su información personal:

Proveedores de servicios y asesores: La información personal puede compartirse con proveedores externos y otros proveedores de servicios que nos prestan servicios o en nuestro nombre. Esto puede incluir proveedores y distribuidores que participan en actividades de marketing o publicidad o que proporcionan servicios de correo postal o electrónico, servicios fiscales y contables, cumplimiento de productos, servicios de entrega, procesamiento de pagos, servicios de mejora de datos, prevención del fraude, alojamiento web o servicios analíticos.

En relación con cualquiera de los puntos anteriores, podemos compartir información con otras partes de forma agregada o anonimizada que no le identifique razonablemente”.

Si se accede a la Política de Privacidad complementaria para países, EEE y Reino Unido de la web www.kcf.es , en el enlace, https://www.kfc.es/multimarcas, se puede leer, sobre, las finalidades a las que se destinarán los datos personales obtenidos y la base legal para ese tratamiento, lo siguiente: “El presente Aviso de privacidad para el EEE y el Reino Unido complementa la información que contiene nuestra Política de privacidad y se aplica únicamente a personas físicas residentes en el Espacio Económico Europeo (“usted” y a los Sitios y Servicios disponibles en el EEE, así como en el Reino Unido que enlazan con este Aviso de privacidad).

A menos que se indique expresamente lo contrario, todos los términos tienen el mismo significado que el que se define en nuestra Política de privacidad o que se define de otro modo en el Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo (“RGPD”).

En el Anexo 1 se exponen detalladamente las categorías de información personal que recopilamos sobre usted y cómo utilizamos dicha información cuando usted utiliza el Servicio, así como la base jurídica en la que nos basamos para tratar la información personal y los destinatarios de dicha información.

Además, en la tabla del Anexo 2 se exponen detalladamente las categorías de información personal que recopilamos sobre usted automáticamente y cómo utilizamos dicha información. La tabla también enumera la base jurídica en la que nos basamos para tratar la información personal y los destinatarios de dicha información personal.

ANEXO 1 a).- Información de perfil como su nombre, número de teléfono, fecha de nacimiento y foto de perfil.

a.1. Podemos utilizar esta información para configurar y autentificar su cuenta en el Servicio: El tratamiento es necesario para cumplir un contrato con usted y para tomar medidas antes de celebrar un contrato con usted.

a.2. Podemos utilizar esta información para comunicarnos con usted, incluido el envío de comunicaciones relacionadas con el servicio: El tratamiento es necesario para cumplir un contrato con usted.

a.3. Podemos utilizar esta información para enviarle comunicaciones de marketing de conformidad con sus preferencias: Solo utilizaremos su información personal de esta forma en la medida en que usted nos haya dado su consentimiento para hacerlo.

a.4. Podemos utilizar esta información para tratar las consultas y quejas realizadas por usted o sobre usted en relación con el Servicio: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar el Servicio y comunicarnos con usted de forma efectiva para responder a sus consultas o quejas.

b).- Información sobre pagos y transacciones, incluida la información sobre pagos (como datos de su tarjeta de crédito o débito o datos de su cuenta bancaria), y la hora, fecha y valor de las transacciones.

b.1.- Utilizamos esta información para facilitar las transacciones y proporcionarle el Servicio: El tratamiento es necesario para cumplir un contrato con usted.

b.2.- Utilizamos esta información para atención al cliente: El tratamiento es necesario para cumplir un contrato con usted.

b.3.- Utilizamos esta información para detectar y prevenir el fraude: El tratamiento es necesario para nuestros intereses legítimos, en concreto la detección y prevención del fraude.

c).- Datos de ubicación

c.1. Utilizamos tecnología GPS para determinar su ubicación actual con el fin de proporcionarle contenido relevante y mostrar dónde ha realizado dicho contenido: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar el Servicio. Solo utilizaremos su información personal de esta forma en la medida en que usted nos haya dado su consentimiento para hacerlo.

d).- Comentarios, chat y opiniones

d.1. Cuando se pone en contacto con nosotros directamente (p. ej., por correo electrónico, teléfono, correo postal o mediante un formulario en línea o un chat en línea), podemos grabar sus comentarios y opiniones: El tratamiento es necesario para nuestros intereses legítimos, en concreto para responder a su pregunta o comentario, para evaluar y mejorar nuestros productos y servicios y para informar de nuestro marketing y publicidad.

e).- Información recibida de terceros, como redes sociales. Si interactúa con el Servicio a través de una red social podemos recibir información de la red social, como su nombre, información de perfil y cualquier otra información que usted permita que la red social comparta con terceros. Los datos que recibimos dependen de su configuración de privacidad en la red social.

e.1.- Podemos utilizar esta información para autentificarle y permitirle acceder al Servicio: El tratamiento es necesario para cumplir un contrato con usted.

e.2.- Podemos utilizar esta información para adaptar cómo se le muestra (como el idioma en el que se le presenta): El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio para que sea más relevante para nuestros usuarios.

f).- Información de uso, como el tiempo durante el que utiliza nuestros productos, sus resultados cuando utiliza nuestros productos, cualquier problema experimentado cuando utiliza nuestros productos y cualquier otra información generada por los productos sobre cómo utiliza nuestros productos.

f.1.- Podemos utilizar esta información para analizar cómo funciona el Servicio, solucionar problemas con el Servicio, mejorar el Servicio y desarrollar nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para mejorar nuestros productos y servicios, tratar cualquier error en nuestros productos y servicios y desarrollar nuevos productos y servicios.

f.2.- Podemos utilizar esta información para desarrollar nuevos productos y características disponibles a través del Servicio o para mejorar de alguna manera el Servicio: El tratamiento es necesario para nuestros intereses legítimos, en concreto para desarrollar y mejorar el Servicio.

g).- Toda la información personal indicada anteriormente.

g.1.- Podemos utilizar toda la información personal que recopilamos para operar, mantener y proporcionarle las características y funcionalidad del Servicio, comunicarnos con usted, supervisar y mejorar el Servicio y el negocio, y desarrollar nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar y mejorar el Servicio.

ANEXO 2

a).- Información sobre cómo accede al Servicio y lo utiliza. Por ejemplo, la frecuencia con la que accede al Servicio, la hora a la que accede al Servicio y durante cuánto tiempo lo utiliza, la ubicación aproximada desde la que accede al Servicio, si accede al Servicio desde varios dispositivos y otras acciones suyas en el Servicio.

a.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio para presentarle el Servicio en su dispositivo: El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.

a.2.- Podemos utilizar esta información para determinar productos y Servicios que puedan ser de su interés con fines de marketing: El tratamiento es necesario para nuestros intereses legítimos, en concreto para informar sobre nuestro marketing directo.

a.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y el negocio, solucionar problemas e informar del desarrollo de nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para supervisar y solucionar problemas con el Servicio y mejorar el Servicio en general.

b).- Archivos de registro e información sobre su dispositivo. También recopilamos información sobre la tableta, el smartphone u otro dispositivo electrónico que utilice para conectarse al Servicio. Esta información puede incluir detalles sobre el tipo de dispositivo, los números de identificación únicos del dispositivo, sistemas operativos, navegadores y aplicaciones conectados al Servicio a través del dispositivo, su red móvil, dirección IP y número de teléfono de su dispositivo (si tiene uno).

b.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio para presentarle el Servicio en su dispositivo: El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.

b.2.- Podemos utilizar esta información para determinar productos y Servicios que puedan ser de su interés con fines de marketing: El tratamiento es necesario para nuestros intereses legítimos, en concreto para informar sobre nuestro marketing directo.

b.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y el negocio, prevenir y detectar fraudes, solucionar problemas e informar del desarrollo de nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para supervisar y solucionar problemas con el Servicio y mejorar el Servicio en general.

REGISTRO: “(…) Protección de datos: Recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra Política de Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta.

Sobre el responsable del tratamiento se indica: KFC Restaurants Spain, S.L. con NIF B86281599 y domicilio en Calle Serrano Galvache (Pq. Empresarial Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid, Madrid. Correo electrónico: clientes@kfc.es. Teléfono: 91 904 18 81

En la tabla del Anexo 1 se exponen las categorías de información personal que recopilan, así como la base jurídica y los destinatarios de dicha información personal. En la tabla del Anexo 2 se exponen las categorías de información personal que recopilan de forma automática. La tabla también enumera la base jurídica en la que se basan para tratar la información personal y los destinatarios de dicha información personal.

“(…) Protección de datos: Recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra Política de Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta (…)”.

“KFC® (“KFC”, “nosotros”, “nuestro” o “nos”) se compromete a proteger su privacidad. Esta Política de privacidad de KFC (esta “Política”) se aplica a nuestros sitios web, experiencias en línea y aplicaciones móviles para dispositivos móviles con Apple iOS, Windows o Android que se vinculan a la Política (colectivamente, nuestros “Sitios”), y describe cómo recopilamos, utilizamos y divulgamos su información personal cuando visita nuestros Sitios o nuestros restaurantes y quioscos en tienda, o interactúa de otra manera con nosotros (colectivamente, nuestro “Servicio”).

Al acceder o utilizar nuestro Servicio, usted indica que ha leído, comprendido y acepta nuestra recopilación, almacenamiento, uso y divulgación de su información personal según se describe en esta Política y en nuestras Condiciones de uso, disponibles en nuestro sitio.

Para obtener más información sobre las prácticas de privacidad de otras empresas de Yum Brands, Inc. (“Yum! Brands”) (las “Marcas”), visite: Política de privacidad de YUM Brands. Política de privacidad de PIZZA HUT®. Política de privacidad de TACO BELL®. Política de privacidad de THE HABIT®

Pues bien, respecto a las finalidades a las que dedicarán los datos personales obtenidos, entre otras, se indica lo siguiente: “(…)

2. CÓMO UTILIZAMOS LA INFORMACIÓN PERSONAL:

(…) También podemos utilizar su información para personalizar su experiencia con nosotros y promover nuestros programas de recompensas o fidelización. También utilizamos esta información para proporcionarle el Servicio en todas nuestras operaciones, lo que incluye apoyar su experiencia en tienda cuando interactúa con nuestras ubicaciones propiedad de franquiciados (…).

4. CÓMO COMPARTIMOS SU INFORMACIÓN

Podemos compartir, vender o divulgar su información en los casos que se describen a continuación. Para obtener más información sobre sus opciones en relación con su información, consulte “Sus opciones y control sobre su información”.

Otras Marcas: Podemos compartir información personal con nuestra empresa matriz Yum Brands y otras empresas de Yum Brands y nuestras filiales, que pueden utilizar su información de forma similar a la que se describe en esta Política. (…)

Socios promocionales: Podemos compartir información limitada con terceros con quienes nos asociamos para proporcionar concursos y sorteos, u otras actividades promocionales conjuntas. Normalmente, estos socios se identificarán claramente en las reglas del concurso o en los materiales de promoción.

Socios comerciales estratégicos y de marketing seleccionados: Podemos compartir datos limitados con nuestros socios comerciales estratégicos y de marketing preferidos para que puedan proporcionarle información y mensajes de marketing sobre productos o servicios que puedan interesarle. Estas partes pueden utilizar su información de acuerdo con sus propias políticas de privacidad.

Socios publicitarios en línea: Podemos compartir información con socios de publicidad en línea externos o permitir que estos socios recopilen información de usted directamente en nuestros Sitios para facilitar la publicidad en línea. Para obtener más información, consulte nuestra Política sobre cookies y anuncios, disponible en nuestro Sitio. (…)

Otros casos en los que podemos compartir su información personal:

Proveedores de servicios y asesores: La información personal puede compartirse con proveedores externos y otros proveedores de servicios que nos prestan servicios o en nuestro nombre. Esto puede incluir proveedores y distribuidores que participan en actividades de marketing o publicidad o que proporcionan servicios de correo postal o electrónico, servicios fiscales y contables, cumplimiento de productos, servicios de entrega, procesamiento de pagos, servicios de mejora de datos, prevención del fraude, alojamiento web o servicios analíticos.

En relación con cualquiera de los puntos anteriores, podemos compartir información con otras partes de forma agregada o anonimizada que no le identifique razonablemente.

Si se accede a la Política de Privacidad complementaria para países, EEE y Reino Unido de la web www.kcf.es, ( https://www.kfc.es/multimarcas ), se puede leer, sobre, las finalidades a las que se destinarán los datos personales obtenidos y la base legal para ese tratamiento, lo siguiente:

“El presente Aviso de privacidad para el EEE y el Reino Unido complementa la información que contiene nuestra Política de privacidad y se aplica únicamente a personas físicas residentes en el Espacio Económico Europeo (“usted” y a los Sitios y Servicios disponibles en el EEE, así como en el Reino Unido que enlazan con este Aviso de privacidad).

A menos que se indique expresamente lo contrario, todos los términos tienen el mismo significado que el que se define en nuestra Política de privacidad o que se define de otro modo en el Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo (“RGPD”).

En la tabla del Anexo 1 se exponen detalladamente las categorías de información personal que recopilamos sobre usted y cómo utilizamos dicha información cuando usted utiliza el Servicio, así como la base jurídica en la que nos basamos para tratar la información personal y los destinatarios de dicha información.

Además, en la tabla del Anexo 2 se exponen detalladamente las categorías de información personal que recopilamos sobre usted automáticamente y cómo utilizamos dicha información. La tabla también enumera la base jurídica en la que nos basamos para tratar la información personal y los destinatarios de dicha información personal.

ANEXO 1

a).- Información de perfil como su nombre, número de teléfono, fecha de nacimiento y foto de perfil.

a.1. Podemos utilizar esta información para configurar y autentificar su cuenta en el Servicio: El tratamiento es necesario para cumplir un contrato con usted y para tomar medidas antes de celebrar un contrato con usted.

a.2. Podemos utilizar esta información para comunicarnos con usted, incluido el envío de comunicaciones relacionadas con el servicio: El tratamiento es necesario para cumplir un contrato con usted.

a.3. Podemos utilizar esta información para enviarle comunicaciones de marketing de conformidad con sus preferencias: Solo utilizaremos su información personal de esta forma en la medida en que usted nos haya dado su consentimiento para hacerlo.

a.4. Podemos utilizar esta información para tratar las consultas y quejas realizadas por usted o sobre usted en relación con el Servicio: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar el Servicio y comunicarnos con usted de forma efectiva para responder a sus consultas o quejas.

b).- Información sobre pagos y transacciones, incluida la información sobre pagos (como datos de su tarjeta de crédito o débito o datos de su cuenta bancaria), y la hora, fecha y valor de las transacciones.

b.1.- Utilizamos esta información para facilitar las transacciones y proporcionarle el Servicio: El tratamiento es necesario para cumplir un contrato con usted.

b.2.- Utilizamos esta información para atención al cliente: El tratamiento es necesario para cumplir un contrato con usted.

b.3.- Utilizamos esta información para detectar y prevenir el fraude: El tratamiento es necesario para nuestros intereses legítimos, en concreto la detección y prevención del fraude.

c).- Datos de ubicación

c.1. Utilizamos tecnología GPS para determinar su ubicación actual con el fin de proporcionarle contenido relevante y mostrar dónde ha realizado dicho contenido: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar el Servicio. Solo utilizaremos su información personal de esta forma en la medida en que usted nos haya dado su consentimiento para hacerlo.

d).- Comentarios, chat y opiniones

d.1. Cuando se pone en contacto con nosotros directamente (p. ej., por correo electrónico, teléfono, correo postal o mediante un formulario en línea o un chat en línea), podemos grabar sus comentarios y opiniones: El tratamiento es necesario para nuestros intereses legítimos, en concreto para responder a su pregunta o comentario, para evaluar y mejorar nuestros productos y servicios y para informar de nuestro marketing y publicidad.

e).- Información recibida de terceros, como redes sociales. Si interactúa con el Servicio a través de una red social podemos recibir información de la red social, como su nombre, información de perfil y cualquier otra información que usted permita que la red social comparta con terceros. Los datos que recibimos dependen de su configuración de privacidad en la red social.

e.1.- Podemos utilizar esta información para autentificarle y permitirle acceder al Servicio: El tratamiento es necesario para cumplir un contrato con usted.

e.2.- Podemos utilizar esta información para adaptar cómo se le muestra (como el idioma en el que se le presenta): El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio para que sea más relevante para nuestros usuarios.

f).- Información de uso, como el tiempo durante el que utiliza nuestros productos, sus resultados cuando utiliza nuestros productos, cualquier problema experimentado cuando utiliza nuestros productos y cualquier otra información generada por los productos sobre cómo utiliza nuestros productos.

f.1.- Podemos utilizar esta información para analizar cómo funciona el Servicio, solucionar problemas con el Servicio, mejorar el Servicio y desarrollar nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para mejorar nuestros productos y servicios, tratar cualquier error en nuestros productos y servicios y desarrollar nuevos productos y servicios.

f.2.- Podemos utilizar esta información para desarrollar nuevos productos y características disponibles a través del Servicio o para mejorar de alguna manera el Servicio: El tratamiento es necesario para nuestros intereses legítimos, en concreto para desarrollar y mejorar el Servicio.

g).- Toda la información personal indicada anteriormente.

g.1.- Podemos utilizar toda la información personal que recopilamos para operar, mantener y proporcionarle las características y funcionalidad del Servicio, comunicarnos con usted, supervisar y mejorar el Servicio y el negocio, y desarrollar nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para administrar y mejorar el Servicio.

ANEXO 2

a).- Información sobre cómo accede al Servicio y lo utiliza. Por ejemplo, la frecuencia con la que accede al Servicio, la hora a la que accede al Servicio y durante cuánto tiempo lo utiliza, la ubicación aproximada desde la que accede al Servicio, si accede al Servicio desde varios dispositivos y otras acciones suyas en el Servicio.

a.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio para presentarle el Servicio en su dispositivo: El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.

a.2.- Podemos utilizar esta información para determinar productos y Servicios que puedan ser de su interés con fines de marketing: El tratamiento es necesario para nuestros intereses legítimos, en concreto para informar sobre nuestro marketing directo.

a.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y el negocio, solucionar problemas e informar del desarrollo de nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para supervisar y solucionar problemas con el Servicio y mejorar el Servicio en general.

b).- Archivos de registro e información sobre su dispositivo. También recopilamos información sobre la tableta, el smartphone u otro dispositivo electrónico que utilice para conectarse al Servicio. Esta información puede incluir detalles sobre el tipo de dispositivo, los números de identificación únicos del dispositivo, sistemas operativos, navegadores y aplicaciones conectados al Servicio a través del dispositivo, su red móvil, dirección IP y número de teléfono de su dispositivo (si tiene uno).

b.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio para presentarle el Servicio en su dispositivo: El tratamiento es necesario para nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.

b.2.- Podemos utilizar esta información para determinar productos y Servicios que puedan ser de su interés con fines de marketing: El tratamiento es necesario para nuestros intereses legítimos, en concreto para informar sobre nuestro marketing directo.

b.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y el negocio, prevenir y detectar fraudes, solucionar problemas e informar del desarrollo de nuevos productos y servicios: El tratamiento es necesario para nuestros intereses legítimos, en concreto para supervisar y solucionar problemas con el Servicio y mejorar el Servicio en general

REGISTRO: “(…) Protección de datos: Recogeremos, almacenaremos y trataremos su información personal de acuerdo con nuestra Política de Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de que está satisfecho y entiende su contenido antes de crear una cuenta.

KFC Restaurants Spain, S.L. con NIF B86281599 y domicilio en Calle Serrano Galvache (Pq. Empresarial Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid, Madrid. Correo electrónico: clientes@kfc.es. Teléfono: 91 904 18 81

En la tabla del Anexo 1 se exponen las categorías de información personal que recopilan, así como la base jurídica y los destinatarios de dicha información personal. En la tabla del Anexo 2 se exponen las categorías de información personal que recopilan de forma automática. La tabla también enumera la base jurídica en la que se basan para tratar la información personal y los destinatarios de dicha información personal.

“13. Debe evitarse el uso de calificativos del tipo «puede», «podría», «algunos», «frecuentemente» y «posible». Cuando los responsables del tratamiento opten por utilizar un lenguaje indefinido, deben poder demostrar, con arreglo al principio de responsabilidad proactiva, por qué no se pudo evitar emplear este lenguaje y por qué no socava la lealtad del tratamiento. (…)”

“Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente”.

“Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

“1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará: a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero; e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos; c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada; d) el derecho a presentar una reclamación ante una autoridad de control; e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos; f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”.

“(…) personalizar su experiencia con nosotros y promover nuestros programas de recompensas o fidelización (…)”,

“(…) compartir, vender o divulgar su información con: Otras Marcas: Podemos compartir información personal con nuestra empresa matriz: Yum Brands y otras empresas de Yum Brands y nuestras filiales, que pueden utilizar su información de forma similar a la que se describe en esta Política.

“(…) para compartir con proveedores externos (…).

“(…) A este respecto, desde KFC se ha entendido que no existe la obligación de designación del DPD, debido a que las actividades del tratamiento realizadas no se circunscriben a las del art 37 RGPD ni la entidad se encuentra entre las obligadas en el art 34 LOPDGDD.

Del mismo modo, la gestión de cumplimiento en materia de protección de datos viene siendo ejercida por personal interno especialista en protección de datos, en particular, desde UK, a través de B.B.B., Global Privacy Lead CounselHead y la consultoría de expertos externos en cada uno de los países desde los que se opera.

No obstante, y como ya se indicó anteriormente a esta Agencia, internamente se procederá a evaluar periódicamente la necesidad designación del mismo, en función de los posibles cambios operacionales así como el inicio de nuevas ramas de negocio que puedan suponer la incorporación de nuevas actividades del tratamiento, el con el objeto de ofrecer mayores garantías de cumplimiento a nuestros clientes y usuarios en cuanto a las actividades y procedimientos en el tratamiento de datos personales, en particular, si se iniciasen actividades del tratamiento que se comprendieran la elaboración de perfiles (…)”.

“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.

“El artículo 37, apartado 1, letras b) y c), del RGPD se refiere a las «actividades principales del responsable o del encargado» y así tenemos como, el considerando 97 RGPD, especifica que las actividades principales de un responsable están relacionadas con «sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares».

“Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. …”.

“Core activities” must be construed in accordance with the description of the corporate purpose of the organization and the P&L revenues; “Large scale” should be understood according to a risk-based approach (rather than using criteria such as number of employees or the “volume” of personal data processed in a certain period of time alone); “Monitoring of behaviour” shall exclude the IT monitoring activities that any organization nowadays must carry out for the purposes of (i) (cyber)security; (ii) protecting the organization’s systems and assets (including IP and confidential information as well as the personal data stored or otherwise processed by the organization); and (iii) complying with laws and regulatory guidance (e.g., data protection duties, anti-fraud and anti-money laundering related activities)”.