AEPD - Décision n° PS/00413/2021 du 16 mars 2023 concernant la société ORANGE ESPAGNE

Expediente N.º: PS/00413/2021

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes

ANTECEDENTES

PRIMERO: La GUARDIA CIVILPUESTO P. DE TOTANA remite, en fecha 18/06/2020, Acta-Denuncia-Inspección y Petición de procedimiento por infracción de la normativa sobre protección de datos señalando que el 22/04/2020 se personan en las dependencias del cuerpo D. A.A.A. (en adelante parte reclamante) junto con un tercero, repartidor de la empresa General Logistics Systems Spain, S.A. (en lo sucesivo GLS) Los motivos en que basa la reclamación son los siguientes: que el empleado de la empresa pretendía hacerle entrega de un teléfono móvil remitido por la mercantil ORANGE ESPAGNE S.A.U.(en lo sucesivo el reclamado), y que la empresa mencionada para hacer entrega de los paquetes a sus destinatarios, está imponiendo como condición necesaria realizar una fotografía del anverso y reverso de su DNI. El empleado de la empresa la toma con su terminal móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a la empresa que remitió el paquete.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), con número de referencia E/05859/2020, se dio traslado de dicha reclamación al reclamado y a otras entidades con las que se relacionaba la entrega del paquete, para que procediesen a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

GLS, cuyo repartidor iba a entregar el teléfono móvil, alega lo siguiente:

A pesar de no contar con los datos fundamentales para identificar los envíos, creen haber identificado el servicio de entrega denunciado, el cual pasan a explicar. Se denomina IdentService, y tiene su origen en el requerimiento de sus clientes para que se fotografíen los documentos de identidad de los destinatarios, aportando así una mayor seguridad de que el paquete ha sido efectivamente entregado al destinatario y no a cualquier persona que pudiera vivir en el mismo domicilio que este.

El procedimiento se implementó en septiembre de 2018 para cumplir con las exigencias de su cliente ICP. Además del correspondiente contrato de encargado, se firma una adenda especial en la que GLS asume la función de mandatario bajo las órdenes del mandante para la recogida de las fotografías de los documentos de identidad. Se aporta el contrato como la adenda, firmados con ICP.

Los clientes que deciden exigir esta fotografía lo graban en el sistema que les proporciona GLS en forma de atributo especial asociado a la entrega del envío que deseen. La información necesaria viaja al dispositivo del repartidor que realiza el reparto (nombre completo del destinatario y DNI. En el momento de la entrega, si nombre o DNI no coinciden con lo indicado, la entrega no se puede realizar. Si coinciden, la aplicación de reparto permite hacer una foto al anverso y reverso del DNI, para que se pueda entregar. Los datos recogidos son transmitidos por canal cifrado al sistema de GLS (no se guardan en el dispositivo de entrega del repartidor, con lo que él no puede consultar las imágenes) y se quedan guardadas en un servidor interno propiedad de GLS, separadas del resto de imágenes (firmas y fotos de sello). Solo un técnico para el mantenimiento tiene acceso a dicho servidor. A través del módulo de ERP del sistema informático, los clientes pueden acceder a las fotografías del envío que han marcado para realizar de esta firma, a través de un enlace (no pueden consultar fotografías de DNIs de forma indiscriminada). Las imágenes son almacenadas y tratadas para consulta de clientes o responder a posibles reclamaciones sobre incidencias en el envío, durante 1 año (a efectos de reclamaciones extrajudiciales) y 4 años (por considerarse documento mercantil - art. 66 LGT 58/2003). Las fotografías además no pueden ser vistas por el repartidor desde su dispositivo.

Disponen también de otro servicio, "Servicio de validación DNI Online" (consumido únicamente por este cliente, ICP), en el que en tiempo real se transmite al sistema de ICP los datos de nombre completo, DNI e imágenes del anverso y reverso del DNI, y esperan una respuesta de éste. Si el sistema retorna un KO (respuesta negativa), se impide la entrega; permitiéndose en caso contrario (respuesta positiva o falta de respuesta).

En el procedimiento establecido para la entrega del paquete se dispone que se ha de solicitar al interesado que les permita fotografiar el DNI, al ser un requisito obligatorio impuesto por el cliente para la entrega. El destinatario es libre de hacerlo, pero es informado de las consecuencias que tiene no poder efectuar la verificación de la identidad. La base de legitimación no es el consentimiento sino la ejecución del contrato con su cliente. Será éste, el proveedor del producto, el que informe al destinatario del procedimiento y solicite su consentimiento, de ser esta la base legitimadora utilizada”.

TERCERO: Con fecha 04/11/2020, la Directora de la AEPD acuerda la admisión a trámite de la reclamación.

CUARTO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD).

Con fecha 02/09/2020 se recibe en esta Agencia, escrito de alegaciones manifestando los siguientes aspectos relevantes:

- La reclamada realiza envíos por sí misma o bien a través de empresas subcontratadas.

- La reclamada tiene una modalidad de entrega denominado Identservice (DNI + foto) que tiene su origen en el requerimiento del cliente ICP para aportar una mayor seguridad de que el paquete ha sido entregado al destinatario.

- Si un cliente solicita el servicio Identservice, una vez que el envío llega a la empresa colaboradora encargada de su entrega en el destino, el repartidor solicita al destinatario el nombre completo y el DNI y si estos coinciden con los datos obrantes en el terminal del repartidor, realiza una foto de ambas caras del DNI. En caso de que los datos nombre completo o DNI no coincidan con los que figuran en el terminal del repartidor, la entrega y la foto no se realiza. Añaden que los datos recogidos son transmitidos de forma cifrada a sus sistemas no guardándose los datos del destinatario ni las fotos recién tomadas en el terminal del repartidor, por lo que este no puede consultarlas. Estos datos se almacenan en un servidor específico para esta función propiedad de la compañía reclamada y al que solo una persona tiene acceso para labores de mantenimiento. Además, las imágenes deben tomarse con la aplicación de la reclamada que se encarga de enviarlas al servidor mencionado sin almacenarlas en el terminal del repartidor, no admitiendo esta aplicación que se puedan tomar con la cámara del móvil y pasarlas a la aplicación para su trasmisión. Hay que resaltar que en el caso de que el cliente sea ICP, la fotografía del DNI se envía a través de los servidores de la reclamada a los sistemas de ICP.

- No obstante, los datos pueden ser accedidos desde el sistema ERP (Planificador de Recursos Empresariales que permite el intercambio de datos entre diferentes áreas) de la reclamada. Tienen acceso a estos datos el responsable del envío, el responsable de la entrega, y el cliente responsable del envío. Las imágenes son tratadas únicamente por sus clientes o para responder a posibles reclamaciones de incidencias de envío y solo a aquellos datos que correspondan al envío de cada cliente.

- Los datos se conservan durante un año a efectos de reclamaciones extrajudiciales y a efectos de prueba de entrega, durante cuatro años por considerarse documento mercantil.

- Indican que su responsabilidad es la de encargado del tratamiento, siendo el responsable de éste, el cliente que solicitó este tipo de verificación en la entrega. Por lo tanto, la base de legitimación no es el consentimiento del remitente, sino la ejecución del contrato con su cliente, siendo éste el que informe de este tratamiento y recabe el consentimiento del destinatario para el tratamiento.

Y adjuntan los siguientes documentos:

- Contrato de servicio con ICP en el que la entidad reclamada figura como encargado de tratamiento, siendo el responsable de este tratamiento, ICP.

- Adenda contrato de servicio con ICP (DNI + foto) en el que la reclamada figura como mandatario.

- Cartel descriptivo de los tres tipos de identificación del remitente Solicitados por esta Agencia, los contratos con los clientes correspondientes a los en

- víos remitidos a los reclamantes, con fecha de 28/10/2020 se reciben en esta Agencia tres escritos, manifestando:

1.- Respecto al envío realizado al reclamante de un producto de ORANGE a través de la entidad ICP, ésta había solicitado la modalidad de validación con foto de DNI. Aportan documento de expedición nº ***EXPEDIENTE.1. En él se observa el requerimiento de este tipo de validación solicitado por ICP.

Con fecha 04/11/2020, en el procedimiento E/05859/2020 la Agencia Española de Protección de Datos acordó llevar a cabo las presentes actuaciones de investigación en relación con las reclamaciones presentadas por los reclamantes.

- Respecto a la reclamación presentada por el reclamante (a través de la Guardia Civil) se solicita al reclamado la base de legitimación para la obtención de una fotografía del DNI, el consentimiento del destinatario y la información facilitada a este sobre el tratamiento.

Con fecha de 19/02/2021 se recibe en esta Agencia, escrito de contestación manifestando:

- Que entienden que la base de legitimación reside en la necesidad de ejecutar el contrato del que tanto el reclamante como reclamado forman parte.

- Que con anterioridad a la entrega del producto remitido por el reclamado con validación mediante toma fotográfica del DNI del reclamante, el reclamado remitió un correo electrónico al reclamante informándole de que por motivos de seguridad el documento identificativo con el que contrató el producto podría ser digitalizado en el momento de la entrega. Asimismo, las condiciones de las entregas de los pedidos que realiza el reclamado a sus clientes se encuentran detallas en la página web oficial, a través del siguiente enlace:

https://ayuda.orange.es/particulares/movil/mi-movil/mi-pedido/1101-donde-recojo-mi-pedido-y-que-documentacion-necesito?utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido

Y adjuntan los siguientes documentos:

- Contrato suscrito por el reclamante y reclamado con fecha de 18/01/2020 y “Anexo de Privacidad” con fecha de 30/12/2018 firmados por el reclamante

- Contenido del correo electrónico remitido al reclamante.

Se ha comprobado que en el enlace web que facilitan consta el requerimiento de que el documento identificativo con el que se procedió a contratar el producto será digitalizado en el momento de la entrega.

QUINTO: Con fecha 17/09/2021, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del 5.1.c), tipificada en el artículo 83.5.a) del RGPD.

SEXTO: Notificado el acuerdo de inicio, el reclamado en fecha 23/09/2021 solicito ampliación del plazo para presentar alegaciones; plazo que le fue concedido mediante escrito del instructor de 24/09/2021.

El reclamado mediante escrito de 11/10/2021 presento escrito de alegaciones manifestando en síntesis lo siguiente: que se realiza un tratamiento de la imagen del DNI lícito, en tanto éste persigue un interés legítimo; que previamente la AEPD ha venido sancionando al reclamado por la ausencia de dicho tratamiento, al considerarlo una falta de diligencia en el cumplimiento de las obligaciones derivadas de la normativa de protección de datos; que la Audiencia Nacional, en sus Sentencias de 8 de marzo de 2018 y 5 de mayo de 2021, la que indica que el responsable del tratamiento debe conservar prueba documental del cumplimiento de sus obligaciones en protección de datos, como es la verificación de la identidad del interesado al que se le entrega un producto contratado a distancia; que el reclamado se ve ante una clara contradicción e incertidumbre jurídica; que subsidiariamente, en el caso de que no se tenga en cuenta las fundamentaciones que sostiene el reclamado, se solicita que se tenga en cuenta las circunstancias atenuantes y, consecuentemente, culmine el procedimiento mediante un apercibimiento y, en última instancia, si considera que procede la imposición de una sanción, modere o module su propuesta recogida en el Acuerdo de Inicio de Procedimiento.

SEPTIMO: Con fecha 20/12/2021 se inició un período de práctica de pruebas, acordándose las siguientes

Dar por reproducidos a efectos probatorios la reclamación interpuesta por el reclamante y su documentación, los documentos obtenidos y generados por los Servicios de Inspección que forman parte del expediente E/05859/2020.

Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio presentadas por el reclamado.

Solicitar tanto al reclamado como a la empresa Información Control y Planificación que aporten copia del contrato de colaboración suscrito entre ambos, para la prestación de servicios.

En fecha 29/12/2021 el reclamado dio respuesta a la prueba practicada cuyo contenido obra en el expediente.

OCTAVO: En fecha 07/04/2022, fue emitida Propuesta de Resolución en el sentido de que por la Directora de la Agencia Española de Protección de Datos se sancionara al reclamado por infracción del artículo del 5.1.c), tipificada en el artículo 83.5.a) del RGPD, del citado Reglamento una multa de 100.000 € (cien mil euros). Se acompaña Anexo con los documentos integrantes del expediente administrativo.

La entidad reclamada, tras pedir ampliación de plazo para presentar alegaciones a la propuesta, presenta, en fecha 05/05/2022, escrito de alegaciones en el que reitera las ya planteadas anteriormente. Indica que se hace referencia a otras reclamaciones que no tienen relación con los hechos objeto de este procedimiento.

Señalan que no es exacto el relato de los hechos recogido en el Antecedente Primero de la Propuesta de Resolución: la foto del DNI no es tomada con la cámara del terminal de entrega, sino con una aplicación concreta dentro del terminal, que no permite acceder a la imagen y que no la almacena en el dispositivo.

En el momento en el que se realiza la fotografía, se verifica que el nombre y el DNI que se contiene en el terminal de entrega se corresponde con el DNI y nombre identificados por la aplicación. La aplicación únicamente permite realizar la fotografía si los datos se corresponden, de manera que, si figuran datos diferentes a los que se facilitaron en el momento de contratación del producto por el interesado, no se toma la fotografía. El fin último es garantizar que el terminal es entregado a la persona que lo ha contratado. Es decir, tras la identificación del contratante, realizada en el momento de la contratación a distancia, se realiza la identificación del receptor del terminal, que ha de ser la misma persona.

Únicamente en el caso de que los datos sí se correspondan, la aplicación de reparto permite hacer una foto al anverso y reverso del DNI. Los datos recogidos son transmitidos por canal cifrado al sistema de GLS y se quedan guardadas en un servidor interno, separadas del resto de imágenes. Sólo un técnico para el mantenimiento tiene acceso a dicho servidor. A través del módulo de ERP del sistema informático, Orange puede acceder (únicamente) a la fotografía del envío, a través de un enlace, a los meros efectos de poder verificar que el trámite se ha realizado de forma correcta.

La finalidad del tratamiento de las imágenes del DNI del interesado no es otra que acreditar, posteriormente y en caso de que sea necesario, haber desplegado la diligencia exigible al verificar la identidad de la persona a la que se le entrega el producto contratado.

El tratamiento de datos ahora cuestionado en el presente procedimiento sancionador fue implementado por Orange como una medida de seguridad de refuerzo ante los casos de intentos de fraude y suplantaciones de identidad que se estaban produciendo en el año 2020 en relación con la recepción de entregas a domicilio.

Ahora, se pretende sancionar a esta parte por desplegar un nivel de diligencia excesivo en la identificación de sus clientes, pese a no constar precepto legal, resolución ni jurisprudencia que respalde tal acusación, ni así tampoco regule cómo debe identificar un responsable del tratamiento a sus clientes en contextos como los analizados.

La AEPD considera que hay indicios evidentes de que se ha vulnerado el artículo 5 del RGPD al imponer como condición en la entrega realizar una fotografía del anverso y reverso del DNI. Quisiera esta parte recordar que es precisamente ese artículo 5 del RGPD el que indica, en su apartado 2: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

De no contar Orange con prueba acreditativa de que ha llevado a cabo la entrega a la persona contratante, ¿qué podría hacer en el caso de que ésta alegase no haber recibido el producto? ¿Y en el caso de que el producto, un terminal móvil, contase con datos de carácter personal, por ejemplo, por ser un terminal proveniente del servicio de reparación o técnico? ¿Consideraría la Agencia que en dicho caso también resultaría excesivo tomar una imagen del DNI? ¿Y si el paquete de entrega contuviese una tarjeta SIM? Señalar en este punto, que los repartidores y empresas de mensajería desconocen el contenido de los paquetes.

HECHOS PROBADOS

PRIMERO. El 18/06/2020 tiene entrada en la AEPD, Acta-Denuncia-Inspección y Petición de procedimiento por infracción de la normativa sobre protección de datos remitido por el reclamado señalando que el 22/04/2020 se personaron en las dependencias del cuerpo D. A.A.A. junto con un tercero, repartidor de la empresa General Logistics Systems Spain, S.A. (en lo sucesivo GLS) manifestando que el empleado de la empresa pretendía hacerle entrega de un teléfono móvil remitido por el reclamado y que la empresa mencionada, para hacer entrega de los paquetes a sus destinatarios, está imponiendo como condición necesaria realizar una fotografía del anverso y reverso de su DNI que el empleado de la empresa la toma con su terminal móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a la empresa que remitió el paquete.

SEGUNDO. El reclamado en escrito de 19/02/2021 ha manifestado que “la legitimación de esta mercantil para el tratamiento de los datos personales del Sr. A.A.A. reside en la necesidad de ejecutar el contrato del que tanto el abonado como Orange forman parte, y que fue suscrito con fecha 20/01/2020, en atención a lo dispuesto en el artículo 6.1.b) del RGPD”

TERCERO. Consta aportado Contrato Clientes Particulares comunicaciones móviles suscrito entre el reclamante y el reclamado en fecha 20/01/2020.

CUARTO. Consta aportado correo electrónico de en el que se informaba al reclamante de que, en el momento de la recogida del pedido, debía tener disponible su documento nacional de identidad en vigor con el cual contrató los servicios con la citada mercantil. Asimismo, se informaba que, por motivos de seguridad, dicha documentación podría ser requerida por el repartidor que entregara el pedido en su domicilio.

QUINTO. El reclamado hace constar que en su página web, mediante el enlace https://ayuda.orange.es/particulares/movil/mi-movil/mi-pedido/1101-donde-recojo-mi-pedido-y-que-documentacionnecesito?utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido, figuran también las condiciones para la entrega de los pedidos que realiza el reclamado a sus clientes: ¿Dónde recojo mi pedido y qué documentación necesito? ¿Dónde puedo recoger mi pedido?

SEXTO. Consta aportado documento denominado “Anexo de Privacidad”, a través del cual se solicita consentimiento expreso para efectuar tratamientos de datos personales que se excluyen de la finalidad de ejecución del contrato suscrito y se informa de las finalidades del tratamiento de los datos personales, así como de las categorías de datos tratados, en cumplimiento del artículo 13 del RGPD. El documento se encuentra firmado por el reclamante.

SEPTIMO. El reclamado e ICP celebraron en Pozuelo de Alarcón (Madrid) contrato de prestación de servicios cuyo objeto es la prestación de servicios de depósito mercantil (almacenaje de material propio de su negocio, comercial, promocional, técnico y de red), servicios logísticos (manipulación, ensamblaje de la Mercancía, carga y descarga de la misma, transporte de mercancía fraccionado y su distribución, así como el soporte informático de las operaciones realizadas) todo ello de acuerdo con el alcance, precios y términos acordados.

En virtud del presente contrato, ICP, tiene la condición de Encargado de Tratamiento; contiene asimismo cláusula de protección de datos, estableciendo que el encargado llevará a cabo el tratamiento de datos personales necesario para la correcta prestación de los servicios objeto del contrato. Los tipos de datos personales que tratará en virtud de este contrato son datos identificativos (nombre y apellidos, NIF/DNI).

OCTAVO. Consta aportado Acuerdo de confidencialidad y acceso a datos personales por cuenta de terceros para los proveedores de servicios celebrado en Madrid el 14/01/2018 entre ICP, responsable del tratamiento, y GLS, encargado del tratamiento, cuyo objeto es el tratamiento de datos personales necesario para la prestación del servicio de mensajería (almacenamiento y custodia de datos).

NOVENO. Consta aportado Anexo, la contratación del servicio IdentService (DNI + foto) para clientes de esta última, servicio complementario al del transporte consistente en la Identificación del Titular de la recepción de los envíos de mercancía requerido por la empresa remitente. En sus cláusulas se señala lo siguiente:

PRIMERO. El objeto del presente Anexo es la manifestación del requerimiento de la prestación del servicio de entrega denominado IdentService (DNI + foto) cuyo concepto se expresa a continuación.

SEGUNDO. El IdentService (DNI + foto) consiste en que, una vez gestionado el encargo de la prestación de servicio de la entrega de paquetería, en el momento en que se procede a realizar la entrega al destinatario final; el repartidor o mensajero solicita a éste su DNI para realizar el cotejo y coincidencia de la identidad entre el sujeto al que se le va a realizar la entrega del paquete y el sujeto indicado por el Cliente de GLS a quien se le debe realizar, debiendo acreditarse de forma fehaciente dicha identidad a la empresa que remite el paquete.

TERCERO. El DNI que el destinatario debe mostrar debe ser el documento original, sin que sea válida una fotocopia del mismo, salvo en los casos en los que se acredite la denuncia original ante la Policía donde conste la sustracción o pérdida del mismo.

CUARTO. El mensajero o repartidor, en el momento de la entrega de la mercancía realizará una fotografía del DNI, con la finalidad de aportarla junto con el POD (Prueba de Entrega) al Cliente y dejar acreditado que existe una correcta correlación entre identidad del destinatario y la persona indicada por el Cliente del sujeto a realizar la entrega, debiendo remitir ambos documentos al Cliente que requiere dicho servicio.

QUINTO. El Cliente, manifiesta con la firma del presente Anexo I, su conformidad respecto de la solicitud de que el repartidor o mensajero realice la Foto del DNI al destinatario del paquete, el cual, en caso de negarse a la exhibición del mismo, no le será entregada la mercancía.

SEXTO. El Cliente, que requiere el servicio IdentService (DNI + foto) a GLS o su Red Agencial, asume la responsabilidad de cuantas reclamaciones puedan plantear los destinatarios al respecto o en cuanto se deriven del presente requerimiento, al actuar GLS como un mero mandatario del Cliente, siendo éste quien requiere y exige dicha acción de cotejo de identidad.

El Cliente, se hace responsable del tratamiento que le da a la fotografía del DNI del destinatario y eximiendo a GLS de la responsabilidad que pueda derivarse de la práctica del servicio solicitado IdentService (DNI + foto), comprometiéndose este último a la adecuación de sus protocolos a lo establecido por el Reglamento General de Protección de datos 2016/679 de 27 de abril de 2016 y demás normativa vigente en la materia.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: “Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.”

II

Los hechos denunciados se concretan en que la empresa reclamada, al hacer entrega de los paquetes a sus destinatarios a través de las empresas de mensajería, impone como condición necesaria para la recepción la realización de una fotografía al anverso y al reverso de su DNI. El empleado de la empresa la toma con su terminal móvil en el momento de la entrega. Posteriormente, la imagen obtenida es cedida a la empresa que remitió el paquete.

El artículo 58 del RGPD, Poderes, señala:

>

El artículo 5, Principios relativos al tratamiento, del RGPD establece que:

III

1. La documentación obrante en el expediente ofrece indicios evidentes de que el reclamado vulneró el artículo 5 del RGPD, principios relativos al tratamiento, al imponer como condición en la entrega del producto realizar una fotografía del anverso y reverso del DNI; fotografía que es obtenida a través de la aplicación incluida en el terminal móvil del repartidor de la empresa que realiza la entrega y cuya imagen es posteriormente cedida y consultada por la empresa remitente del paquete.

El artículo 5 del RGPD se refiere a los principios generales para el tratamiento de datos. En su apartado c) se hace referencia al principio de minimización de datos, indicando que los datos han de ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

De la norma podemos deducir que solo se pueden recabar los datos personales adecuados que se vayan a tratar, es decir, los que sean estrictamente necesarios para el tratamiento; que solo podrán ser recogidos cuando vayan a ser tratados y que solo podrán ser utilizados para la finalidad para la que fueron recogidos, pero no con ningún otro objetivo.

En este mismo sentido el Considerando 39 señala que:

Examinada la documentación, se desprende que existen otros procedimientos de entrega de productos a través del cual puede verificarse la identidad de su destinatario, comprobando que es la persona a la que va dirigido, sin que sea necesario fotografiar su DNI por medio de la aplicación contenida en el móvil del repartidor de la empresa distribuidora y acreditar su entrega al responsable.

El tratamiento de las imágenes del DNI resulta excesivo para la finalidad de verificar y determinar que el destinatario a quien se entrega la mercancía es la misma persona que aquella que celebró el contrato.

El artículo 5.1.c) consagra el principio de minimización de datos y supone que el tratamiento de los datos personales debe ser ajustado y proporcional a la finalidad a la que se dirige, determinando claramente los fines para los que se recogen y tratan los datos, debiendo restringirse el tratamiento de aquellos que sean excesivos o bien procederse a la supresión de los mismos.

Asimismo, la pertinencia en el tratamiento de los datos debe producirse tanto en el ámbito de la recogida como en el posterior tratamiento que se realice de los mismos.

Respecto a si el procedimiento adoptado por el reclamado resulta necesario para satisfacer dicha necesidad o si es esencial para responder a dicha necesidad, hay que señalar que la finalidad del mismo, como reiteradamente ha sostenido el reclamado obedece a que aporta una mayor seguridad de que el producto es efectivamente entregado a su destinatario, que es el mismo que suscribió el contrato, haciendo prueba de que la entrega se realiza a la persona que realmente contrató; aunque a ello hay que añadir la lucha contra el fraude en este tipo de productos y su aspecto económico pues no hay que olvidar que estas entregas en la denominada venta a distancia ha tenido y tiene una relación directa con actividades fraudulentas, lo que exige una diligencia razonable por parte de este tipo de empresas en el momento de la contratación implantando medidas adecuadas, verificando a través de la documentación pertinente la identidad de quien facilita los datos, para evitar estos comportamientos.

En este sentido se pronuncia el Considerando 47 cuando señala que “El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate”.

No obstante, el procedimiento empleado por parte del reclamado es relevante a la hora de valorar la injerencia en el derecho fundamental de protección de datos y la necesidad de lograr la finalidad perseguida. Hay que señalar que el RGPD limita el uso o tratamiento de los datos por la necesidad y no por el exceso de los mismos; es decir, los datos personales deberán ser los adecuados, los necesarios, pertinentes y limitados a la necesidad para la que fueron recabados.

Ya con anterioridad la jurisprudencia Tribunal Constitucional ha establecido que, si el objetivo puede alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados.

Por otro lado, dicha limitación a lo necesario debe ser evaluada tanto desde un punto de vista cuantitativo (volumen de datos tratados) como cualitativo (categoría de datos tratados). En ese mismo sentido lo señala el Considerando 39 cuando señala que “…Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios…”

2. Alega la reclamada que los datos que se recabaron en el momento de la contratación del producto fueron el DNI y el nombre del interesado, que son los mismos datos que posteriormente son objeto de verificación en el momento de la entrega, que son los necesarios para cumplir la finalidad perseguida.

Sin embargo tal alegación no puede ser aceptada, ya que el acceso a la imagen del DNI, fotografiando tanto del reverso como del anverso del mismo, y su tratamiento para la finalidad de la entrega de un producto a través del terminal móvil del repartidor de la empresa distribuidora, se considera excesivo y no limitado a lo necesario en relación con los fines para los que son tratados.

Hay que señalar que el DNI contiene no solo el nombre y apellidos, su número y la fotografía del destinatario sino que incorpora otros muchos datos: firma, domicilio, lugar y fecha de nacimiento, clave de acceso a la información contenida en el mismo, fecha de expedición, fecha de validez, código alfanumérico, equipo expedidor y oficina, etc., datos completamente adicionales que no son ni adecuados ni pertinentes ni limitados para la finalidad de la entrega de la mercancía y que para acreditar que la persona que recoge el producto es el titular que facilitó los datos en el momento de la contratación se habrán de utilizar otros medios que resulten menos lesivos y agresivos para la privacidad de las personas.

Lo anterior, con independencia de que la imagen del DNI, como manifiesta el reclamado no puede ser conservada por el repartidor y sea transmitida a través de canal cifrado al sistema de la empresa logística quedando guardada en su servidor interno, donde sólo un técnico de la misma destinado a su mantenimiento tiene acceso a dicho servidor y a través del módulo de consulta ERP del sistema informático, el reclamado puede acceder a la fotografía recogida.

Por lo tanto, el tratamiento no se corresponde ni con lo indicado en el Considerando 39, ni en el artículo 5.1.c) que señalan que los datos deben ser “adecuados, pertinentes y limitados a lo necesario” para la finalidad perseguida.

Esa diligencia que predica el reclamado ha de ser desplegada en el momento de la contratación adoptando las cautelas y garantías que fueran necesarias para identificar de manera univoca al contratante.

Por tanto, si la contratación se hace correctamente no puede haber dificultad alguna para aportar la prueba de que el destinatario del producto es realmente el que celebró el contrato y a quien se hace la entrega del producto.

3. Alega la reclamada que la AEPD pretende calificar como constitutivo de infracción un tratamiento cuya ausencia ha sido previamente sancionada por la AEPD.

Sin embargo, tal manifestación ni es aceptable ni es admisible; el reclamado debe exigir en el momento de la contratación del producto, la identificación del usuario, como por otra parte así ha sido establecido por las sentencias y en el procedimiento sancionador a las que alude en su escrito.

Desde luego, nada tiene que ver con el asunto que no ocupa la referencia al Considerando 64 del RGPD a que hace referencia el reclamado, como aquellos otros subsiguientes referidos al derecho de acceso del interesado regulado en el artículo 15 del texto legal.

Es en el momento de la celebración del contrato donde el tratamiento del documento identificativo del interesado se estima necesario para que el reclamado pueda acreditar que aquella persona con la que contrata es quien realmente dice ser y, por lo tanto, lo que acreditaría un nivel de diligencia adecuado.

Y este momento no hay que confundirlo con el de la entrega del producto a su destinatario trasladando aquella diligencia exigible para acreditar que la personalidad del contratante era la quien decía ser mediante la aportación de la documentación oportuna a un momento posterior, el de la entrega del producto a su destinatario.

Así lo ha indicado la propia AEPD, en su resolución de 23/06/2020, en el PS/ 00452/2019, donde el afectado reclama el tratamiento de sus datos en la contratación de líneas telefónicas sin ninguna causa que legitime su tratamiento (artículo 6.1 del RGPD), al señalar: “La reclamada no ha aportado documento o elemento probatorio alguno que evidencie que la entidad, ante tal situación, hubiera desplegado la diligencia mínima exigible para verificar que efectivamente su interlocutora era la que afirmaba ostentar”.

Y que posteriormente la Audiencia Nacional, en Sentencia de 05/05/2021, Rec. 437/2020 establecía que: “En cuanto a la contratación presencial de la línea XXXXXXXXX cabe reiterar, que si bien se aporta un contrato, el denunciante no ha reconocido como suya la firma obrante al mismo, haciendo constar la Y que falta de coincidencia con la que figura en su DNI, considerando la Sala que la diligencia exigible obligaba a contrastar a través de la documentación pertinente, la identidad de quien facilitaba los datos, mediante la exhibición original del documento identificativo y anexando una copia del mismo a la declaración de voluntad que quiere hacer valer, como así lo ha venido reiterando en supuestos similares”; indicando en el párrafo subsiguiente:

Por tanto, a la vista de las circunstancias expuestas, no cabe apreciar que la operadora recurrente desplegase la diligencia debida para comprobar la identidad de la persona que asociaba en sus registros a las líneas telefónicas controvertidas, por lo que concurre el elemento subjetivo de la culpabilidad. Por otro lado, en cuanto al hecho de que nos encontramos ante el fraude de un tercero, como dijimos en la SAN de 3 de octubre de 2013 (Rec. 54/2012) : " Precisamente por eso, es necesario asegurarse que la persona que contrata es quien realmente dice ser y deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento...".

Y, en idéntico sentido, en su Sentencia de 08/03/2018, Rec 926/2016: “Considera por ello esta Sala, al igual que entiende la Administración, que la diligencia mínimamente exigible obligaba a TME a contrastar, a través de la documentación pertinente, la identidad de quien facilitaba los datos, mediante la exhibición del original del documento identificativo y anexando una copia del mismo a la declaración de voluntad que quiere hacer valer”.

La propia AEPD también se ha pronunciado, así mismo, en su resolución, de 23/06/2020, en el PS/00452/2019, donde el afectado reclama el tratamiento de sus datos en la contratación de líneas telefónicas sin ninguna causa que legitime su tratamiento (artículo 6.1 del RGPD): “La reclamada no ha aportado documento o elemento probatorio alguno que evidencie que la entidad, ante tal situación, hubiera desplegado la diligencia mínima exigible para verificar que efectivamente su interlocutora era la que afirmaba ostentar”.

Sin embargo, los casos aludidos no guardan relación de semejanza alguna con el que examinamos por mucho que la reclamada tenga interés en proponerlo, pues se trata de contrataciones fraudulentas, por infracción del principio de legitimación (artículo 6.1 del RGPD) en el primer caso y del principio de consentimiento (artículo 6.1 de la LOPD) en el segundo y que bien debe conocer la reclamada puesto en el procedimiento sancionador fue sancionada por la AEPD y fue parte recurrente en el contencioso que dio lugar a la primera de las sentencias, desestimatoria del recurso interpuesto y sancionada con 80.000 euros.

Por tanto, el tratamiento de la imagen del DNI en el momento de entrega de un producto contratado a distancia no solo no se considera licito sino que se considera inadecuado no pertinente ni limitado a lo necesario en relación con los fines para los que son tratados, pues no hay que olvidar que el DNI contiene datos que exceden y nada tiene que ver con la finalidad perseguida.

La AEPD en el actual caso no solo no está en contradicción con las resoluciones dictadas, sino es conforme y acorde con la interpretación que ha venido haciendo la propia Audiencia Nacional en sus sentencias.

Es por ello que la alegación de la reclamada reiterando que la AEPD le sancionaba por su falta de diligencia al no conservar prueba de la verificación de identidad del interesado y en la apertura del actual procedimiento en el que se culpabiliza por todo lo contrario, conservar prueba de la verificación de identidad del interesado, no es cierta ni puede ser aceptada al no tratase de resoluciones administrativas contradictorias entre si ni afectar a la seguridad jurídica, ni generar incertidumbre e indefensión.

Por tanto, se considera que existe vulneración del principio de minimización de los datos siendo el reclamado responsable de la infracción del artículo 5.1.c) del RGPD, infracción tipificada en su artículo 83.5.a).

4. Finalmente invocaba el reclamado la vulneración del principio de proporcionalidad solicitando una minoración de la cuantía de la sanción reduciendo la misma.

A este respecto hay que reseñar que teniendo en cuenta que se trata de una infracción calificada como muy grave y que de conformidad con el artículo 83 del RGPD puede ser sancionada, “con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. ya se aplica una importante minoración de la misma, además de tener en cuenta las circunstancias y criterios de valoración concurrentes en el mismo. La STS, Sala 3ª, de 16 de diciembre de 2003 (Rec. 4996/98) ya señalaba que el principio de proporcionalidad de las sanciones exige que "la discrecionalidad que se otorga a la Administración para la aplicación de la sanción se desarrolle ponderando en todo caso las circunstancias concurrentes, al objeto de alcanzar la debida proporcionalidad entre los hechos imputados y la responsabilidad exigida". Principio de proporcionalidad que no se ha vulnerado, considerándose proporcionada la sanción propuesta a la entidad por los hechos probados y una vez ponderadas las circunstancias y criterios que concurren.

Por lo demás, las circunstancias concretas que se han tenido en cuenta para la graduación de la cuantía de la sanción se detallan en el Fundamento VII de esta resolución.

V

El reclamado ha alegado su disconformidad con el contenido de los fundamentos vertidos en la Propuesta del procedimiento ratificándose en lo ya señalado en escritos anteriores.

Alega que se pretende sancionar por desplegar un nivel de diligencia excesivo en la identificación de sus clientes al exigirse la copia del DNI, único documento que de conformidad con Ley Orgánica 4/2015, de 30 de marzo, de Protección de la Seguridad Ciudadana que permite acreditar la identidad y los datos personales de su titular.

Es cierto que el artículo 8.1 de la LOPSC establece que el DNI “es el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular” y que la comprobación por parte del reclamado de la identidad del interesado en el momento de la entrega del producto en su domicilio se considera licito tanto para ejecutar el objeto del contrato como puede ser la entrega del producto contratado y para prevenir la comisión de fraude. Sin embargo, lo que se pone en duda es que el método, protocolo, procedimiento o sistema llevado a cabo para ello no es el adecuado, fotografiar el anverso y reverso del DNI en el momento de la entrega, por ser excesivo inadecuado e intrusivo en la privacidad de las personas, a no ser que obedezca a otras razones como puede ser que en la contratación no se hubieran actuado con una diligencia razonable y no se hubiera solicitado los documentos correspondientes, ¿Qué necesidad tiene el reclamado de fotografiar dicho documento si ya se encuentra en su poder?

También ha alegado que el tratamiento de las imágenes del DNI del interesado no solo se considera necesaria para acreditar que el producto ha sido entregado a la persona que figura como contratante, sino que este criterio ha sido recogido por la Agencia no solo en resoluciones puntuales y es, además, descrito por la Agencia en el ‘Plan de Inspección de Oficio sobre Contratación a Distancia en Operadores de Telecomunicaciones y Comercializadores de Energía de la AEPD’, donde la misma identifica el cumplimiento de la normativa en el sector y plantea mejoras para hacer efectivo ese deber de diligencia.

En relación con el Plan de Inspección de Oficio sobre Contratación a Distancia en Operadores de Telecomunicaciones y Comercializadores de Energía de la AEPD’, establece específicamente en el apartado ‘Acreditación de la identidad del Contratante’ que con anterioridad a la contratación y por tanto en una cuestión que no es semejable a lo que es objeto del presente procedimiento como ya se ha señalado, figura que “En las tiendas de algunas operadoras de telefonía se puede entregar el terminal móvil adquirido a los clientes que hayan contratado por medios telefónicos o telemáticos, en cuyo caso se solicita la presentación de un documento oficial de identidad (DNI, NIE, pasaporte) y un documento bancario que acredite que la cuenta sobre la que se van a realizar cargos es titularidad del contratan-te.

También se realizan entregas utilizando el servicio de Correos que comprueba el DNI del cliente utilizando un sistema de escaneo para recabar la copia.

Las contrataciones telefónicas suelen ser grabadas y en los casos de portabilidad, una tercera entidad realiza la verificación por terceros”.

Es cierto que el tratamiento de las imágenes del DNI en la contratación a distancia de un producto como puede ser un terminal móvil no sólo viene siendo considerado lícito por la propia Agencia, sino que se considera que dicho tratamiento se corresponde con la diligencia exigible.

Por tanto, dicho tratamiento es necesario para que el reclamado pueda acreditar la contratación efectuada y que esta se ha realizado con la diligencia exigible recabando la documentación justificativa de la misma.

Ahora bien, en el presente caso no nos encontramos ante un caso de tratamiento ilícito; la cuestión que se dilucida en si los datos recabados en el momento de la entrega del terminal móvil han sido o no excesivos para la finalidad perseguida,

En el citado Plan ya se señalaba (página 8), en relación con la contratación a distancia en el apartado Alertas que: “Algunas empresas del sector han identificado diferentes circunstancias que pueden ser susceptibles de fraude en la contratación (alta concentración de pedidos en determinadas zonas, mismas direcciones IP…) y han implantado procedimientos que permitan alertar de estas anomalías y determinen la probabilidad de fraude, en cuyo caso, se suelen verificar las contrataciones por especialistas y se puede requerir documentación complementaria al cliente.

Y en su página 19, en relación con la identidad del contratante que:

“Los contratos telemáticos requieren firma de contrato y copia de documentación (DNI y bancaria generalmente) aunque se ha detectado que no siempre esta documentación consta en las compañías.

• Se ha detectado por parte de todas las compañías una creciente inquietud por garantizar la identidad del contratante y por ello se están estudiando e implantando diferentes soluciones con objeto de evitar en lo posible la suplantación de identidad, entre ellas, reconocimiento facial y la firma manuscrita electrónica”.

En este sentido recomendaba una serie de medidas:

- Extremar las garantías de identificación del contratante con anterioridad a la ejecución del contrato,

- La utilización en sistemas con garantías adicionales del estilo de lo definido en la normativa del PSD2,

- Datos biométricos.

Pues bien, en ninguna de esas recomendaciones se incluye o hacía referencia al sistema o procedimiento implantado por el reclamado para la entrega de productos contratados, consistente en fotografiar el DNI utilizando la apps que el repartidor tiene instalada en su terminal móvil.

No obstante, la propia Agencia ha considerado que se trata de una cuestión compleja, debiendo atenderse al caso concreto, a las técnicas empleadas en el tratamiento, la injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o bien los órganos jurisdiccionales, adoptarse en caso de duda, la interpretación que sea más favorable para la protección de los derechos de los afectados.

Por otra parte, si la contratación llevada a cabo por el reclamado de la que se ha aportado copia del documento firmado por el contratante fue identificando correctamente (copia del DNI y documento bancario donde figure el número de cuenta), comprobar que la identidad del destinatario y del contratante coinciden deberia hacerse sin necesidad de solicitar nuevamente la copia del DNI (fotografía de su anverso y reverso).

VI

La infracción que se le atribuye a la reclamada se encuentra tipificada en el artículo 83.5 a) del RGPD, que considera que la infracción de “los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9” es sancionable, de acuerdo con el apartado 5 del mencionado artículo 83 del citado Reglamento, “con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

La LOPDGDD en su artículo 71, Infracciones, señala que: “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica”.

Y en su artículo 72, considera a efectos de prescripción, que son: “Infracciones consideradas muy graves:

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

VII

A fin de establecer la multa administrativa que procede imponer han de obser

varse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que señalan:

>

>

>

>

>

>

>

>

>

>

>

>

En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su artículo 76, “Sanciones y medidas correctivas”, establece que:

>

>

>

>

>

>

>

>

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción de multa a imponer en el presente caso por la infracción tipificada en el artículo 83.5 del RGPD de la que se responsabiliza al reclamado, en una valoración inicial, se estiman se estiman concurrentes los siguientes factores:

Como circunstancias agravantes:

- La naturaleza, gravedad y duración de la infracción: los hechos considerados probados afectan gravemente a un principio básico relativo al tratamiento de los datos de carácter personal, como es el de minimización de datos; se cuestiona la gestión desarrollada por el reclamado resultado del procedimiento denominado Identservice, una modalidad de entrega de productos implantado para el tratamiento de los datos y su adecuación al RGPD, considerándose inadecuados desde el momento de la recogida de la copia del DNI tanto por el anverso como del reverso en el momento de la entrega de la paquetería a sus destinatarios. El alcance o propósito de las operaciones de tratamiento puesto que un procedimiento como el implantado y la importancia de la entidad no se establece para operar en un ámbito reducido o local (artículo 83.2, a) del RGPD).

El número de personas potencialmente afectadas pues, aunque se trate de un único reclamante parece evidente que se han podido ver afectadas un número considerable de clientes de la entidad puesto que de conformidad con el contrato de prestación de servicios celebrado se implementó en enero de 2019; tampoco hay que olvidar que en fecha 18/06/2020 tuvo entrada en la AEPD otra reclamación por idénticos hechos (artículo 83.2, a) del RGPD).

En este mismo sentido, las condiciones de las entregas de los productos que realiza el reclamado a sus clientes se encuentran detalladas en su página web oficial, a través del siguiente enlace: https://ayuda.orange.es/particulares/movil/mi-movil/mipedido/1101-donde-recojo-mi-pedido-y-que-documentacion-necesito?utm_source=orange&utm_medium=SMS&utm_term=smsAltaPedido

- La actividad de la entidad presuntamente infractora está vinculada con el tratamiento de datos tanto de clientes como de terceros. En la actividad de la entidad reclamada es imprescindible el tratamiento de datos de carácter personal de sus clientes por lo que, dado volumen de negocio de la misma la transcendencia de la conducta objeto de la presente reclamación es innegable (artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k).

- La intencionalidad o negligencia en la infracción puesto que el reclamado era plenamente consciente del procedimiento implantado para la entrega de productos a sus destinatarios finales. Conectada también con el grado de diligencia que el responsable del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos puede citarse la SAN de 17/10/2007. Si bien fue dictada antes de la vigencia del RGPD su pronunciamiento es perfectamente extrapolable al supuesto que analizamos. La sentencia, después de aludir a que las entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros han de observar un adecuado nivel de diligencia, precisaba que “(...).el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto” (artículo 83.2, b) del RGPD).

- El carácter continuado de la infracción pues no hay que olvidar que el procedimiento de conformidad con el contrato de prestación de servicios celebrado ya lleva implantado mucho tiempo. La conducta infractora participa de la naturaleza propia de las denominadas infracciones permanentes, en las que la consumación se proyecta en el tiempo más allá del hecho inicial y se extiende, vulnerando la normativa de protección de datos, durante todo el periodo de tiempo en el que el dato es objeto de tratamiento. Se pronuncian en tal sentido las sentencias de la Audiencia Nacional de 16/09/2008 (rec.488/2006) y del Tribunal Supremo de 17/04/2002 (rec. 466/2000) (artículo 76.2.a) de la LOPDGDD en relación con el artículo 83.2.k).

En el presente caso, valorados los criterios que concurren en el mismo para la graduación de la sanción, se impone una sanción de 100.000 euros por vulneración del artículo 5.1.f) del RGPD, de la que el reclamado debe responder.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a ORANGE ESPAGNE, S.A.U., con NIF A82009812, por una infracción del Artículo 5.1.c) del RGPD, tipificada en el Artículo 83.5 del RGPD, una multa de 100.000 € (cien mil euros).

SEGUNDO: NOTIFICAR la presente resolución a ORANGE ESPAGNE, S.A.U.

TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de procedimiento que figura en el encabezamiento de este documento, en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos