1/41 - aepd.es · MEYDIS proveerá a MSP de los siguientes servicios: “1. Impresión y envío de...

1/41

Procedimiento Nº PS/00436/2016

RESOLUCIÓN: R/00316/2017

En el procedimiento sancionador PS/00436/2016, instruido por la Agencia Española de Protección de Datos a las entidades MACRO SELECT PRINT, S.L., MEYDIS, S.L. y PLENISAN, S.L., vista la denuncia presentada por Dª. A.A.A. y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha 21 de septiembre de 2015 tuvo entrada en esta Agencia un escrito de Dª. A.A.A. (en adelante la denunciante) en el que declaraba que:

“Con fecha 09-09-15 recibí en mi buzón un sobre procedente de la empresa PLENISAN, S.L. "invitándome" a recoger una batería de cocina en el hotel NH XXXXX de Madrid.

Con fecha 14-09-15 les envié un correo solicitándoles la cancelación de mis datos en sus ficheros.

Con fecha 15-09-15 me contestaron que mis datos no constaban en sus ficheros y me derivaban a la empresa MACRO SELECT PRINT,S.L. suministradora de dichos datos.

Con fecha 16-09-15 contesté a PLENISAN S.L. que la carta me la habían enviado ellos y que debían asumir su responsabilidad al hacer uso de datos no autorizados por sus propietarios”.

Aportaba la denunciante, para acreditar estos hechos, copia del envío publicitario citado en el que se observa que:

- El documento exhibe el logotipo de PLENISAN (en adelante indistintamente entidad denunciada).

- Aparece el nombre completo del denunciante, así como su dirección postal, incluyendo el piso y la puerta.

- La pieza publicitaria aportada muestra un código que comienza con los caracteres SM**** identificativo de la campaña publicitaria.

- En el envío se convoca a la denunciante a una demostración comercial a realizar en el HOTEL NH XXXXX (en adelante el HOTEL) de Madrid el día 10 de septiembre de 2015.

- Al pie de la página se informa que los datos utilizados para la campaña tienen su origen en los ficheros de MACRO SELECT PRINT S.L. (en adelante entidad denunciada o indistintamente MSP) con quien se puede

C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

2/41

contactar a través del apartado de correos ****de Madrid.

SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicitó información a las entidades más abajo reseñadas.

De este modo, en el informe de actuaciones previas de investigación E/06878/2015 se detalla lo siguiente:

1. <<Solicitada información al HOTEL, aporta un correo electrónico remitido en fecha 30 de junio de 2015 desde una cuenta del dominio sistemas-medicos.com en que se solicita información y disponibilidad de sala para los días 8 al 10 de septiembre de 2015.

2. Con fecha 12/6/2014 fue escriturada de constitución notarial de la mercantil MSP.

3. En la misma fecha 12/6/2014 aparece suscrito un contrato en que MEYDIS proveerá a MSP de los siguientes servicios:

“1. Impresión y envío de las cartas que incluyan las comunicaciones descritas en el expositivo primero de este contrato. Dichos servicios consistirán en cada campana que se lleve a cabo en lo siguiente:

a. Recepción del modelo de carta publicitaria que se deba utilizar en la campaña.

b. Recepción de un fichero generado por EL CLIENTE con los datos de nombre, apellidos y domicilio postal completo de las personas a las que deba hacerse el envío de la comunicación.

Para la transmisión a MEYDIS del modelo y los ficheros mencionados en las dos letras anteriores, podrán utilizarse los siguientes sistemas, a elección del CLIENTE: entrega a través de un ftp, entrega a través de servicios de alojamiento cloud, servicios de mensajería, etc.).

c. Impresión de dichos datos en las cartas a enviar.

d. Doblado, ensobrado y franqueo de las cartas.

e. Depósito de las cartas en el correspondiente operador postal para su envío.

II. Adicionalmente, puesto que el CLIENTE carece de infraestructura suficiente para ello, podrá solicitar a MEYDIS que desempeñe funciones de intermediación en la gestión de las relaciones entre EL CLIENTE y los Clientes Finales, de modo que las peticiones de servicio u otras comunicaciones dirigidas desde estos al CLIENTE se hagan utilizando a MEYDIS como canal. En estos casos, MEYDIS se limitará a trasladar al CLIENTE la comunicación que reciba del Cliente Final”.

4. En fecha 16 de junio de 2014 fue suscrito el contrato entre PLENISAN y MSP encontrándose que figuran en el mismo las siguientes clausulas:

“IV.- LIST BROKER se compromete al cumplimiento de la Ley Orgánica de Protección de Datos en las campañas que realice para CLIENTE y manifiesta especialmente que no se utilizarán datos de personas inscritas en las Listas Robinson de ADIGITAL y que los datos estarán convenientemente actualizados.

V.- LIST BROKER ofrece absoluta garantía de que los datos que se utilizarán se


3/41

han obtenido exclusivamente de fuentes accesibles al público que estaban vigentes en el momento del tratamiento de los datos, conforme a lo establecido en la Ley de Protección de Datos. En caso de que no procedan de dichas fuentes, dichos datos habrán sido obtenidos con consentimiento de los afectados para e1 envío de comunicaciones comerciales de los productos o servicios de CLIENTE. Las partes están conformes en que estas manifestaciones y garantías ofrecidas por LIST BROKER son las determinantes de que CLIENTE realice las campañas de marketing utilizando las bases de datos del LIST BROKER. En caso de que, en algún momento, esas garantías dejasen de ser ciertas, el contrato se resolverá de pleno derecho. A modo de comprobación, CLIENTE podrá exigir a LIST BROKER que, antes de determinada campaña, le facilite un muestreo aleatorio de los datos a utilizar en ella, para que CLIENTE pueda verificar que figuran en las fuentes accesibles al público vigentes”.

Donde LIST BROKER se refiere a MSP.

5. De la información y documentación aportada por Correos respecto del apartado de correos número ****de Madrid se desprende:

a. Mediante contrato de fecha 22 de junio de 2014 MSP realizó la suscripción anual del apartado de correos citado, el domicilio aportado fue en la calle (C/....1)nº 18, 8, 14 - ***CP.1 Madrid.

Aportaban igualmente como teléfono de contacto del administrador el número de línea móvil ***TEL.1.

b. Junto a la documentación se incluye copia del DNI del administrador de la entidad, en el que figura como domicilio la calle (C/....2) 26, PBJ IZ de Madrid.

c. Aporta igualmente Correos copia de la escritura notarial de constitución de la sociedad MSP fechado el 12 de junio de 2014. En dicha escritura figura D. B.B.B., quien crea la misma actuando en su propio nombre, suscribiendo la totalidad de las acciones emitidas de dicha sociedad constituyéndose como socio único y administrador de la misma. En dicha escritura D. B.B.B. cita como domicilio propio la calle (C/....1) 8 de Madrid, que coincide con la sede social de la entidad constituida.

d. Aparecen como autorizados a retirar la correspondencia del apartado de correos de MSP dos personas que, de la información aportada por la Tesorería General de la Seguridad Social, se ha sabido que trabajan para MEYDIS.

6. En fecha 28 de octubre de 2015 se realizó un intento de inspección a MSP que resultó de imposible realización. Como consecuencia se levantó una diligencia en la que se hizo constar que:

- A las 10 h. se personan los inspectores en calle C/ (C/....1) 8, 8º 14 de Madrid, sede social de MACRO SELECT PRINT S.L., llamando a la puerta en varias ocasiones, no abriendo ni recibiendo contestación desde el interior.

Durante la espera se realiza una llamada al número de teléfono ***TEL.1, teléfono conocido del administrador único de la entidad, que no es contestada.

- A las 10:50 se personan nuevamente los inspectores en dicho


4/41

domicilio, llamando nuevamente, no abriendo ni obteniendo contestación desde el interior.

Durante la espera se realiza una nueva llamada al número de teléfono ***TEL.1, que no es contestada.

- Los inspectores se desplazan al bajo del edificio, tomando una foto del buzón correspondiente a dicha vivienda, verificándose que consta en el mismo D. B.B.B., administrador de MACRO SELECT PRINT S.L.

Pese a ser el domicilio conocido de MACRO SELECT PRINT S.L. no figura en el buzón referencia alguna a dicha entidad. En el exterior del edificio tampoco se observa indicación alguna que haga pensar que dicha empresa tenga su sede en el mismo.

- Se intenta acceder a la calle (C/....1)18, pero se observa que no existe dicho número dentro de la calle. Se pregunta en un negocio situado en los bajos de la calle (C/....1)8 que confirma que ahí acaba la calle.

- Los inspectores se desplazan posteriormente a la calle (C/....2), 26, PBJ IZ, y tras llamar a dicho domicilio, atiende una persona …, que informa que lleva viviendo un mes en ese domicilio y asegura no conocer a D. B.B.B..

En el buzón de dicha vivienda se encuentra que aparece una etiqueta arrancada parcialmente del mismo, en la que se lee B.B.B. … indicativa de que dicha persona ha vivido en la vivienda anteriormente.

- Se trasladan los inspectores actuantes a la sede de ASEPRIN S.L. Al llamar a la puerta una empleada atiende a los inspectores, quienes indican que desean hablar con D. B.B.B., a lo que dicha persona responde:

<<Voy a ver si está>>

Haciendo pasar a los inspectores al recibidor de la entidad, la empleada pasa tras una puerta. Momentos posteriores aparece nuevamente e informa:

<<Ese señor no trabaja aquí, es amigo del jefe, yo no lo conozco>>.

Solicitan los inspectores hablar con su jefe, que momentos después sale del despacho. Tras identificarse los inspectores, presentando sus acreditaciones profesionales, solicitan ponerse en contacto con D. B.B.B., la persona que les atiende, que se identifica como D. C.C.C., gerente de la entidad, informa que se trata de un amigo, que ocasionalmente le visita en la entidad y que en alguna ocasión ha solicitado que se le facilite el uso del correo electrónico de la entidad, pero no es empleado ni cliente de ASEPRIN S.L.

Se facilita la tarjeta de uno de los inspectores actuantes, solicitando que transmitan a D. B.B.B. que se ponga en contacto con el mismo. El gerente de ASEPRIN SL, facilita el número de teléfono de dicha persona, que coincide con el ya conocido por la Agencia, que no ha respondido a las múltiples llamadas realizadas.

7. Mediante escrito con fecha 28 de octubre de 2015 el administrador de MSP informa a la Agencia que:


5/41

<<Que, en el desarrollo de la actividad de la sociedad que represento, se han abierto diversos procedimientos de investigación y sancionadores por la Agencia Española de Protección de Datos por diversas denuncias, tanto dirigidas contra Macro Select Print, como contra nuestros clientes.

Que de dichas reclamaciones parece deducirse que existe una parte de los datos del fichero que utilizamos para nuestras campañas de marketing que no debe ser legal, pese a que hemos trabajado con él confiando en que cumplía la LOPD y así se lo hemos manifestado siempre a nuestros clientes.

Que lo anterior hace que hayamos tomado la determinación de cesar de inmediato en el uso de dicho fichero y cesar también en la realización de nuestras actividades de marketing para nuestros clientes, por lo que sirva este documento para que conste nuestra voluntad de dar por resueltos los contratos de servicios suscritos hasta la fecha.

Que, como prueba de lo anterior, vamos a solicitar la cancelación de los ficheros que tenemos inscritos en la Agencia Española de protección de Datos. No volveremos a utilizar dichos ficheros, que ya han sido completamente destruidos por nosotros ante la constancia de que parte de sus datos no son legales.

Que pedimos disculpas a nuestros clientes y a los perjudicados por cualquier daño que les hayamos podido causar en la creencia de que los datos que utilizábamos en las campañas eran conformes con la LOPD.

Que, ante tal estado de cosas, comunicamos, por último y desde la fecha de este escrito, el cese definitivo de la sociedad que represento.>>

8. Se ha solicitado al administrador de MSP que informe de la dirección efectiva de administración y gestión de la entidad a fin de poder realizar una visita de inspección.

Consta intento de entrega en fecha 3/11/2015 y anotación del cartero “no se hace cargo”. Tras un segundo intento de entrega en fecha 4/11/2015 pasó a lista de correos, resultando la carta finalmente devuelta.

Mediante escrito de fecha 19/5/2016 se remitió una carta a la dirección postal del administrador de MSP. Se realizaron dos intentos de entrega por Correos, en fechas 23 y 30/5/2016, resultando finalmente devuelta la carta como “Caducada”.

Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos.

9. Según consta en las actuaciones previas de inspección de referencia E/03693/2015, de la que se ha abierto el procedimiento sancionador de referencia PS/00124/2016, una exempleada de HOME XXI informa, entre otros extremos:

a. Fecha en que comenzó la relación comercial de HOME XXI con MSP.

<<La relación comercial entre HOME XXI y MSP comenzó en julio de 2014 ya que anteriormente la empresa MSP tenía otras razones sociales, detalló a continuación las que recuerdo:

- Megadis


6/41

- Mega Data integral services>>

Megadis y Mega Data Integral Services son la misma empresa.

b. Respecto de las comunicaciones con MSP:

<<La forma de comunicación era vía telefónica y sobre todo vía email. En los inicios la persona de contacto era ***NOMBRE.1 (no recuerdo el apellido) luego asignaron a D.D.D. (se ha jubilado) y posteriormente tratábamos todo con:

-E.E.E.([email protected])

-F.F.F. ([email protected])

-G.G.G. ([email protected])

Estas personas son las que trabajábamos el día a día, luego con otras personas se trataban otros temas, que normalmente se encargaba directamente el gerente o director ejecutivo de la compañía:

-H.H.H. ([email protected], [email protected])

-I.I.I.([email protected])

-........5 ([email protected])

-macro select print (macroselectprint@........)

EI teléfono donde nos comunicábamos es el ***TEL.2>>

Se ha podido comprobar que este teléfono es de MEYDIS.

10. Según consta en las actuaciones de inspección de referencia I/00005/2015/I-01 (PS/00435/2015) a una solicitud de datos realizada por el inspeccionado para presentar un documento ante esta Agencia como aportado por MSP, fue respondida mediante un correo electrónico procedente de la cuenta [email protected] con copia para la cuenta [email protected].

11. De la información aportada por la Tesorería General de la Seguridad Social consta que la única empleada de MSP ha sido J.J.J., quien anteriormente trabajó para MEGA DATA INTEGRAL SERVICES SL (Megadis) y para DATA INTEGRAL ACTION SL, empresas reiteradamente sancionadas por esta Agencia con motivo de denuncias similares a la actual. El administrador de estas dos últimas empresas también lo ha sido de TODO DATA INTEGRAL SERVICES, SL, igualmente sancionada por esta Agencia por denuncias similares a la actual.

12. En la publicidad enviada en las campañas que originaron las denuncias de referencias E/3566/2011 (PS/00052/2012), E/3558/2013 (PS/00218/2014) y E/4058/2013 (PS/00217/2014) de las que era beneficiario PLENISAN (entonces cursaba con el nombre de SISTEMAS MEDICOS PROFESIONALES S.L.) se observa idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP, indicativa de que el autor pueda ser el mismo.

Es de destacar que, en todos los envíos que se han encontrado durante las investigaciones realizadas en las múltiples denuncias, las piezas publicitarias iban


7/41

únicamente desde MEYDIS a PLENISAN.

13. De las manifestaciones realizadas por MSP en respuestas a múltiples requerimientos de información realizados en diversos expedientes, la entidad mantiene:

a. Que los datos para las campañas fueron obtenidos de listados accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.) revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc. Nunca ha aportado prueba acreditativa de ello.

b. Los parámetros que sirvieron para identificar los destinatarios de la campaña fueron determinados por MSP y consistieron en una segmentación por zona de ubicación del domicilio.

14. Solicitada información al BANCO BILBAO VIZCAYA ARGENTARIA, S.A. respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos a MSP, se ha podido comprobar que entre el 10/9/2015 y el 2/2/2015 se han realizado un total de 20 accesos desde la dirección IP ***IP.1, que está asignada a MEYDIS.

15. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda ha informado que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección IP ***IP.1. Dicha IP está asignada a MEYDIS.

16. En fecha 7 de abril de 2016 se realizó visita de inspección a MEYDIS. Los inspectores comunican al representante de la entidad que su visita tiene relación con la denuncia presentada con motivo de un envió publicitario impreso por la entidad.

Manifiestan los representantes de la entidad que actualmente existen abiertos un total de siete procedimientos sancionadores contra la misma por idénticos hechos a los que van a ser objeto de la presente inspección, sobre los cuales se ha solicitado la acumulación ante la Agencia y sobre los cuales no se ha abierto fase probatoria, por lo que la información que se obtenga en las presentes actuaciones podría vulnerar el derecho de defensa en dichos procedimientos.

Igualmente desean manifestar que se están recabando mediante inspección información que se podría haber recabado igualmente por escrito, sin necesidad de interrumpir el funcionamiento de la empresa.

También solicitan hacer constancia que la autorización en base a la cual se realiza la inspección el día de hoy fue concedida por la directora de la Agencia con fecha 21/1/2016, antes de que se incoaran contra MEYDIS los procedimientos sancionadores actualmente abiertos, lo cual entienden que puede afectar a la legalidad de la inspección.

17. Los representantes de MEYDIS realizan las siguientes manifestaciones en respuesta a las cuestiones planteadas por los inspectores:

a. Solicitada a la entidad copia en soporte digital de la hoja Excel de


8/41

la solicitud de información de la campaña SM**** de PLENISAN SL (en adelante PLENISAN), informan los representantes de MEYDIS que dicha información no está disponible en soporte electrónico solo en papel, además la empleada que se encargaba del tema está de baja desde el día 29/1/2015, mostrando a los inspectores copia de dicho documento, que no se recaba.

Solicitado el acceso al ordenador en que se recibieron los correos electrónicos, los representantes de la entidad señalan que tienen permitido el uso privado a los empleados, por lo que consideran que se estaría vulnerando el secreto de la comunicaciones y no pueden dar acceso dichos correos.

Señalado por los inspectores que existe jurisprudencia que permite a la empresa el acceso al correo del empleado, señalan los representantes de la entidad que es únicamente cuando no se permite a los empleados el uso privado, pero en MEYDIS si se permite dicho uso.

Respecto al motivo por el que han podido aportar la documentación en posteriores solicitudes de información, los representantes de la entidad informan que se debe a que dicha documentación ha sido impresa y se encuentra archivada.

Solicitada documentación relativa a la campaña aludida, manifiestan los representantes de la entidad que solicitemos los documentos que estimemos oportunos, que ellos los proporcionaran. Señalan los inspectores que desean obtenerlos, examinando el lugar en el que los documentos se encuentren, a lo que los representantes de la entidad se niegan, pues consideran que la información obtenida podría ser utilizada en perjuicio de su derecho de defensa en los procedimientos ya incoados por hechos idénticos.

b. Los representantes de la entidad informan que no localizan copia impresa del correo electrónico por el que se encargaba a MEYDIS la realización de la citada campaña.

c. Solicitado ir al puesto de G.G.G., a fin de que ésta pueda realizar la búsqueda de la documentación y obtener el soporte electrónico de los correos, los representantes de la entidad niegan el acceso al puesto de la misma, por las mismas razones invocadas en el último párrafo de la letra a. , afirmando además que los archivos y equipos se encuentran ubicados en locales que tienen la consideración legal de domicilio de la entidad y no ha dado MEYDIS consentimiento para acceder a ellos y carecer los inspectores actuantes de autorización judicial para ello.

A tal efecto, invocan el apartado 2 del artículo 28 del Real Decreto 428/1993 por el que se aprueba el Estatuto de la Agencia, por el que se dispone que:

<<2. El responsable del fichero estará obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos previa exhibición por el funcionario actuante de la autorización expedida por el Director de la Agencia. Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá ajustarse además a las reglas que garantizan su inviolabilidad.>>

Informan los inspectores al inspeccionado que, según señala el RLOPD:

<<Artículo 124. Obtención de información. Los inspectores podrán recabar


9/41

cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal fin podrán requerir la exhibición o el envío de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación, accediendo a los lugares donde se hallen instalados.>>

d. Aportan los representantes de la entidad copia de la factura relativa a la campaña, así como detalle de dicha factura, y de la ficha contable de PLENISAN S.L..

e. Aportan los representantes de la entidad copia de la factura relativa a la campaña, así como detalle de dicha factura, de la ficha contable y órdenes de pago de MACRO SELECT PRINT S.L.

18. Mediante escrito con entrada en fecha 10 de mayo de 2015 aporta MEYDIS copia de la siguiente documentación:

- Correo electrónico de fecha 21 de agosto de 2015 remitido desde la cuenta [email protected] con destino a tres personas, entre ellas G.G.G., con el asunto madrid (nh puerta alcala) en que se remite un fichero en formato Excel.

- Correo electrónico de fecha 25 de agosto de 2015 remitido desde una cuenta del dominio plenisan.com con destino a tres personas, entre ellas G.G.G. con el asunto ok cartas.

- Correo electrónico de fecha 28 de agosto de 2015 emitido de G.G.G. con destino a la cuenta [email protected] con el asunto PERSONALIZADAS PARA OK (2 SEPT) en que se adjunta un documento en formato pdf. Según la documentación aportada se corresponde con una muestra personalizada de las piezas publicitarias a imprimir.

- Correo electrónico de la misma fecha, remitido desde la cuenta [email protected] con destino a varias personas, entre ellas G.G.G. y en la que se da la conformidad a la muestra aportada.

- Copia parcial de la factura emitida a PLENISAN con fecha 30/9/2015 por los servicios prestados.

19. Solicitada información a PLENISAN, y tras dos intentos de entrega, la carta ha resultado devuelta como No retirada>>.

TERCERO: Con fecha 20 de septiembre de 2016 la Directora de esta Agencia acordó iniciar procedimiento sancionador a MACRO SELECT PRINT, S.L., a MEYDIS, S.L. y a PLENISAN, S.L. por presuntas sendas infracciones del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD); infracción tipificada como grave en el artículo 44.3.b) de la citada Ley Orgánica, pudiendo ser sancionada cada una de las citadas sociedades con multa de 40.001 € a 300.000 €, de acuerdo con el artículo 45.2 de la misma Ley Orgánica.

CUARTO: Con fecha 3 de octubre de 2016 tuvo entrada en esta Agencia un escrito de


10/41

la denunciante en el que solicitaba información sobre las consecuencias de personarse como parte interesada en el presente procedimiento sancionador.

QUINTO: Con fechas 11 y 25 de octubre de 2016, previo trámite de audiencia con remisión de copia del expediente de actuaciones previas de investigación E/06878/2015 y concesión de ampliación de plazos en fecha 21 de septiembre de 2016, tuvieron entrada en esta Agencia sendos escritos de la entidad MEYDIS, S.L. en el que se realizaban las correspondientes alegaciones al Acuerdo de inicio del presente procedimiento sancionador detallado más arriba.

En síntesis, se solicitaba el archivo de actuaciones al no haber cometido infracción a la normativa de protección de datos personales, una utilización fraudulenta de las actuaciones inspectoras en virtud de lo previsto en el artículo 6.4 del Código Civil y el 42.2 de la Ley 30/1992 (con nulidad de la inspección realizada, con violación del derecho de defensa) y dado que MEYDIS no era responsable del tratamiento de los datos del denunciante, al actuar como encargado del tratamiento habido (con “tareas de impresión, manipulado y puesta en correos”), ello de acuerdo con el contrato aportado entre las partes en fecha 6 de mayo de 2013, cumpliendo la oportunas medidas de seguridad y obligándose a destruir los datos una vez prestado el servicio para el que fueron contratados, en concordancia con lo establecido en el artículo 12 de la LOPD.

En consecuencia, se produce una indebida incoación de sucesivos procedimientos sancionadores por unos mismos hechos, por lo que habría que aplicar lo previsto en el artículo 4.6 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto.

Asimismo, alegaba que la entrada en vigor del nuevo Reglamento europeo (Reglamento general de protección de datos, Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 94/46/CE en materia de protección de datos personales (RGPD); norma que vendría a provocar una atipicidad sobrevenida de los hechos, con su aplicación retroactiva de la norma más favorable, de acuerdo de la doctrina del “interés legítimo”.

En conclusión, se alegaba la vulneración de la presunción de inocencia y prueba indiciaria y el principio de seguridad jurídica, existiendo por todo esa ya citada nulidad de actuaciones (por utilización fraudulenta de las actuaciones inspectoras, con menoscabo al derecho de defensa), con vulneración también del principio de tipicidad.

Se destacaba que el testimonio de la extrabajadora de HOME XXI no podría valorarse como se está valorando, pues fue realizado dicho testimonio “en un escenario concreto y específico”.

Para acreditar estos extremos, se solicitaba la práctica de determinadas pruebas, que se van a analizar con más detalle más abajo.

SEXTO: Con fecha 19 de octubre de 2016, y transcurrido el plazo de alegaciones que se concedió en el citado Acuerdo de iniciación del presente Procedimiento Sancionador, se acordó abrir periodo de práctica de pruebas por un plazo de treinta días, según lo dispuesto en el artículo 17.1 del Reglamento del procedimiento para el ejercicio de la


11/41

potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, de aplicación de acuerdo con lo establecido en la Disposición transitoria tercera de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, practicándose las siguientes:

Incorporar al expediente del procedimiento arriba indicado, y por tanto dar por reproducida a efectos probatorios, la documentación recabada en las actuaciones previas de inspección E/06878/2015, consistente en la denuncia y su documentación adjunta, los documentos obtenidos y generados por los Servicios de Inspección ante las entidades investigadas y de las que a continuación se detallan, en concreto, informes de NH HOTELES ESPAÑA, S.A., de BANCO BILBAO VIZCAYA ARGENTARIA, S.A., de la FÁBRICA NACIONAL DE MONEDA Y TIMBRE, de GOOGLE INC, de la DIRECCIÓN GNERAL DE PLANIFICACIÓN, INVESTIGACIÓN Y FORMACIÓN de la COMUNIDAD DE MADRID, de TELEFÓNICA DE ESPAÑA, S.A., de VODAFONE ESPAÑA, S.A., de MEYDIS, S.L., de la TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL del MINISTERIO DE EMPLEO Y SEGURIDAD y de la Inspección de Datos de esta Agencia, Informe de actuaciones previas de Inspección de fecha 8 de septiembre de 2016, con el Acta de Inspección E/06878/2015/I-01 de fecha 7 de abril de 2016 a MEYDIS, S.L. y diligencias de fechas 16 de febrero de 2016 y 7 de septiembre de 2016 de incorporación de documentos, en especial, informes de la ex empleada de HOME XXI, S.L., cliente de MEYDIS, testimonio de fechas de 15 de diciembre de 2015 y 29 de mayo de 2016, Dª. K.K.K. (datos personales que constan en el expediente), de la S.E. CORREOS Y TELÉGRAFOS, S.A. de fecha 19 de octubre de 2015 y de la TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL del MINISTERIO DE EMPLEO Y SEGURIDAD de fechas 31 de mayo de 2015 y 13 de junio de 2016; así como las alegaciones de fecha 7 de octubre de 2016 al Acuerdo de inicio citado más arriba realizadas por MEYDIS, S.L.

También se incorporaron al expediente y, por tanto, dada por reproducida a efectos probatorios la documentación obrante en los archivos de esta Agencia, de manera especial, en los procedimientos sancionadores PS/00047/2016, PS/00053/2016, PS/00107/2016, PS/00121/2016, PS/00124/2016 y PS/00190/2016.

Todo ello con su correspondiente documentación adjunta.

De manera concreta, se especifica de manera especial la incorporación al expediente a efectos probatorios del testimonio que, en fechas de 15 de diciembre de 2015 y 29 de mayo de 2016, Dª. K.K.K. (datos personales que constan en el expediente), ex empleada de un cliente de MEYDIS, hizo a esta Agencia, manifestando que MSP era una entidad meramente formal y que nunca trató con personal de dicha entidad, a pesar de que era la responsable de los asuntos a tratar, y en cambio trató con personal de MEYDIS. Asimismo manifestó que MSP cambiaba de denominación social según le iba indicando MEYDIS. Finalmente manifestó que el esquema de negocio en acciones de marketing postal nominativo respondía a la determinación de las características de los destinatarios por parte del cliente (en este caso PLENISAN) para que el proveedor de la base de datos genere un determinado fichero de destinatarios de dichas acciones.

Asimismo, afirmó, entre otras cuestiones, lo siguiente:

“(…) En su comienzo HH solicitaba el número de registros o direcciones fijando unos determinados criterios como son rango de edad, sexo, nacionalidad, nivel socio cultural, nivel de estudios etc. Estos registros se pedían-por c.p o poblaciones y la empresa Meydis se encargaba de su manipulación, ensobrado y envió.(…)


12/41

(…) La relación comercial entre HH y Msp comenzó en julio de 2014 ya que anteriormente la empresa msp tenía otras razones sociales, detalló a continuación las que recuerdo:

-Megadis

-Mega Data integral services(…)

(…) se le solicitaba la información de cuantos registros tenían para una población en concreta o c.p y posteriormente nosotros les decíamos cuántos envíos queríamos que realizasen indicándoles el lugar de celebración de la campaña, la invitación a utilizar horarios de reuniones etc. y ellos seleccionaban dicho fichero, imprimían y manipulaban las invitaciones para su posterior envió.(…)

(…) En el año 2014 comenzamos a comprar dichas bases de datos, se le solicitaba por email las poblaciones o c.p que queríamos comprar, ellos nos enviaban una estadística en la que salía por población y c.p los registros de los que disponían según nuestros criterios marcados por la compañía, se les daba un ok de aceptación y posteriormente Msp nos enviaba la base de datos solicitada en formato Excel con la información que nosotros pedíamos:

- Nombre y apellidos

- DNI

- Dirección completa

- Localidad

- Provincia

- C.P

- Fecha de nacimiento

- Datos del cónyuge (nombre y apellidos, DNI y fecha de nacimiento)

- Teléfono (…)

(…) aclaro que siempre hemos trabajado con Meydis con Macro era puro formalismo mediante un contrato pero realmente esta empresa ni siquiera nos facturaba siempre era Meydis incluso los ficheros que nos proporcionaban con la información de clientes nos la mandaban desde Meydis. La única diferencia ha sido que en nuestras cartas íbamos modificando según nos solicitaba Meydis la empresa que era propietaria de los ficheros y que es obligatorio ponerlo en la parte inferior de la carta, esta empresa si no recuerdo mal se cambió unas tres o cuatro veces, por lo que yo tenía entendido era que en cuanto tenían alguna denuncia importante cerraban dicha empresa y abrían otra, pero realmente con la que siempre hemos trabajado es Meydis.(…)

(…) TODO lo tratábamos con Meydis, solicitudes, cambios, estadísticas, composiciones de cartas, etc nunca he tratado con nadie de la empresa Macro Select Print, el correo que aparece en mi antiguo escrito es porque recibí un único mail de esta dirección, todo lo demás eran de Meydis (…)”.

SÉPTIMO: Con fecha 20 de diciembre de 2016 se formuló propuesta de resolución en el sentido de:


13/41

<<PRIMERO: Que por la Directora de la Agencia Española de Protección de Datos se sancione a PLENISAN, S.L. con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

SEGUNDO: Que también por la Directora de la Agencia Española de Protección de Datos se sancione a MEYDIS, S.L. y con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

TERCERO: Que también por la Directora de la Agencia Española de Protección de Datos se sancione a MACRO SELECT PRINT, S.L. y con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica>>.

En su virtud se le notificó cuanto antecede a fin de que en el plazo de quince días hábiles pudiera alegar cuanto considerase en su defensa y presentase los documentos e informaciones que estimase pertinentes ante el Instructor del procedimiento, de acuerdo con el artículo 19.1 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, de aplicación de acuerdo con lo establecido en la Disposición transitoria tercera de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En cumplimiento de lo dispuesto en el mencionado precepto, se acompañó una relación de los documentos obrantes en el procedimiento.

OCTAVO: Dicha propuesta de resolución fue notificada en efecto a MEYDIS, S.L., concediéndose el citado plazo para formular alegaciones, las cuales fueron presentadas en fechas 28 de diciembre de 2016 y 11 de enero de 2017, previa petición de ampliación de plazos en fecha 4 de enero de 2017 y petición de copia del expediente en fecha 23 de diciembre de 2016, no puesto ya de manifiesto. Se reiteraban los argumentos ya expuestos en anteriores alegaciones.

HECHOS PROBADOS

PRIMERO: Que con fecha 21 de septiembre de 2015 Dª. A.A.A. manifestó a esta Agencia Española de Protección de Datos que:

“Con fecha 09-09-15 recibí en mi buzón un sobre procedente de la empresa PLENISAN, S.L. "invitándome" a recoger una batería de cocina en el hotel NH XXXXX de Madrid.

Con fecha 14-09-15 les envié un correo solicitándoles la cancelación de mis


14/41

datos en sus ficheros.


Con fecha 16-09-15 contesté a PLENISAN S.L. que la carta me la habían enviado ellos y que debían asumir su responsabilidad al hacer uso de datos no autorizados por sus propietarios” (folio 1).

SEGUNDO: Que para acreditar estos hechos aportó copia del envío citado en el punto anterior, escrito con el logotipo de PLENISAN, y ref. SM**** ************* A 004722, en el que aparecen el nombre y apellidos del denunciante, así como su dirección postal completa, incluyendo el piso y la puerta y bloque; con la convocatoria para proceder a la entrega de un regalo, a saber: “Batería de cocina de 12 piezas”, a realizar en el HOTEL NH XXXXX en Madrid el día 10 de septiembre de 2015; en dicha carta se hace referencia a se había enviado otra anterior sobre otra invitación, a la que “por causas que desconocemos usted no acudió a recogerlo” (folio 8).

TERCERO: Que en el pie del escrito detallado los punto anteriores se recoge que los datos personales tenían su origen en un fichero de MACRO SELECT PRINT, S.L. e informando que los derechos de acceso, rectificación, cancelación u oposición (derechos ARCO) podían ejercitarse en el Apartado de Correos núm. *****, Madrid (folio 8).

CUARTO: Que MACRO SELECT PRINT, S.L. ha manifestado a esta Agencia, y como consta suficientemente acreditado en respuestas a múltiples requerimientos de información realizados en diversas actuaciones previas de inspección, que los datos personales para campañas publicitarias habían sido obtenidos de listados accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.), revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc; sin que nunca se haya aportado prueba acreditativa de ello y utilizando parámetros de identificación de los destinatarios de cada campaña, consistiendo en una segmentación por zona de ubicación del domicilio (por todos, folios 224 y 225).

QUINTO: Que MEYDIS manifestó a esta Agencia, en relación con el fichero para la confección de la impresión publicitaria, para la que estaba contratado, lo siguiente: “la empresa MSP no nos informaba de que un fichero estaba disponible para confeccionar la impresión de la publicidad. Simplemente, cada vez que recibíamos una orden de trabajo de nuestro cliente Plenisan, accedíamos al FTP en el que MSP colocaba los ficheros y ya nos encontrábamos colocado ahí el que debía utilizarse para esa concreta carta publicitaria. Como también se ha indicado a esa Agencia en ocasiones anteriores, en la actualidad, ya no conservamos en nuestros sistemas los registros de actividad”; sin embargo, la entidad no ha aportado documentación alguna que acredite lo expuesto (folio 173).


15/41

SEXTO: Que la entidad PLENISAN en fecha 30 de junio de 2015, desde una cuenta del dominio plenisan.com, se solicitó información y disponibilidad de sala para los días 8 al 10 de septiembre de 2015 al hotel NH XXXXX de Madrid, informando que era una empresa que quería un local para “realizar una reunión de exposición de nuestros productos de salud y descanso” y resaltando que si habían trabajado con diversas empresas y para que sirviera de referencia, empresas que en ese correo se citan, entre ellas, HOME XXI, la forma de trabajar es la misma (folios 13 y 14).

SÉPTIMO: Que, tal como informó la entidad NH HOTELES ESPAÑA, S.A. a esta Agencia en fase de actuaciones previas de investigación, se contrató con PLENISAN la Sala Cibeles Teatro del citado hotel NH XXXXX en Madrid para el 10 de septiembre de 2015, con capacidad de 50 personas (folio 17).

OCTAVO: Que la Inspección de Datos de esta Agencia en inspección realizada a la entidad MEYDIS, S.L., Acta de Inspección E/06878/2015/I-01 (folios 108 a 135), en fecha 7 de abril de 2016, ha constatado que el envío publicitario detallado en el punto 2º anterior fue impreso por esta entidad MEYDIS, S.L. en la campaña SM****, estando relacionada en soporte papel y no electrónico (folios 108 a 109).

NOVENO: Que la Inspección de Datos de esta Agencia en fecha 23 de febrero de 2016 constató que en la URL http://es.slideshare.net............ aparecía una presentación publicitaria de MEYDIS, S.L. en la que se anunciaba que la entidad dispone de más de 12.000.000 de hogares españoles, todos ellos con los siguientes datos personales: persona de contacto (titular del teléfono), dirección postal completa, nivel socioeconómico de la unidad familiar, edad del titular del teléfono y nivel cultural del titular del teléfono (folios 327 y 328).

DÉCIMO: Que la Inspección de Datos de esta Agencia ha constatado que los parámetros de selección de estas campañas publicitarias son (folios 173, 339 y 340):

UNDÉCIMO: Que los parámetros de selección de los correspondientes datos personales a utilizar en las distintas campañas publicitarias ofrecidos en la página web del Grupo MEYDIS, descrita en el punto 9º anterior, coinciden casi en su totalidad con los criterios de selección fijados y demandados por PLENISAN detallados en el punto


ENVIAR DATOS CARTA:

- Una x domicilio

- Hombres y Mujeres

- Preferente Mujeres

- Eliminar: Analfabetos

SocioEconómico: Bajo

<entidad hostelera>

<dirección>

<población>

16/41

10º anterior (folios 327, 328, 339 y 340).

DUODÉCIMO: Que en fechas de 15 de diciembre de 2015 y 29 de mayo de 2016 Dª. K.K.K. (datos personales que constan en el expediente), ex empleada de un cliente de MEYDIS, manifestó a esta Agencia que MSP era una entidad meramente formal y que nunca trató con personal de dicha entidad, a pesar de que era la responsable de los asuntos a tratar, y en cambio trató con personal de MEYDIS. Asimismo manifestó que MSP cambiaba de denominación social según le iba indicando MEYDIS. Finalmente manifestó que el esquema de negocio en acciones de marketing postal nominativo respondía a la determinación de las características de los destinatarios por parte del cliente (en este caso PLENISAN) para que el proveedor de la base de datos generase un determinado fichero de destinatarios de dichas acciones.

Añadiendo de forma literal que “siempre hemos trabajado con Meydis con Macro era puro formalismo mediante un contrato pero realmente esta empresa ni siquiera nos facturaba siempre era Meydis incluso los ficheros que nos proporcionaban con la información de clientes nos la mandaban desde Meydis. La única diferencia ha sido que en nuestras cartas íbamos modificando según nos solicitaba Meydis la empresa que era propietaria de los ficheros y que es obligatorio ponerlo en la parte inferior de la carta, esta empresa si no recuerdo mal se cambió unas tres o cuatro veces, por lo que yo tenía entendido era que en cuanto tenían alguna denuncia importante cerraban dicha empresa y abrían otra, pero realmente con la que siempre hemos trabajado es Meydis.(…)

(…)TODO lo tratábamos con Meydis, solicitudes, cambios, estadísticas, composiciones de cartas, etc nunca he tratado con nadie de la empresa Macro Select Print, el correo que aparece en mi antiguo escrito es porque recibí un único mail de esta dirección, todo lo demás eran de Meydis (…)” (folios 341 a 346).

DECIMOTERCERO: Que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda informó a esta Agencia que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección IP ***IP.1 (folio 77). Dicha IP está asignada a MEYDIS (folio 225).

DECIMOCUARTO: Que el BANCO BILBAO VIZCAYA ARGENTARIA, S.A. informó a esta Agencia, respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos de PLENISAN a MSP, que se había comprobado que entre el 10 de septiembre de 2015 y el 2 de febrero de 2016 fueron realizados un total de 20 accesos desde la dirección IP ***IP.1 (folios 225 y 36 a 76), que está asignada a MEYDIS, como se ha detallado en el punto anterior.

DECIMOQUINTO: Que, respecto del apartado de correos número ****de Madrid, y que guarda relación con el ejercicio de los derechos ARCO ante MSP, que se detalla en la carta publicitaria descrita en el punto 3º anterior, la entidad S.E. Correos y Telégrafos, S.A. informó a esta Agencia que, por contrato de fecha 22 de junio de 2014, MSP realizó la suscripción anual de este apartado de correos, el domicilio aportado fue en la calle (C/....1)nº 18, 8, 14 - ***CP.1 Madrid, con teléfono de contacto del administrador el


17/41

número de línea móvil ***TEL.1, facilitando copia del DNI del administrador de la entidad y copia de la escritura notarial de constitución de la sociedad MSP fechado el 12 de junio de 2014, en la que figura D. B.B.B. como socio único y administrador y domicilio el ya citado (folios 176 a 193).

DECIMOSEXTO: Que de igual modo S.E. Correos y Telégrafos, S.A. informó a esta Agencia que estaba autorizado por parte de MSP para “la recogida de documentos que lleguen esta apartado (*****)” para dicha entidad a D. L.L.L. (folios 188, 191 y 192), esto es, la misma persona que se persona en esta Agencia para tomar vista de los expedientes y obtener copias del mismo en nombre de MEYDIS, S.L., de manera concreta, según autorización de fecha 10 de mayo de 2016 (folio 332).

DECIMOSEPTIMO: Que la Inspección de Datos de esta Agencia que en la web de la Comisión Nacional de los Mercados y la Competencia constaba que MEYDIS estaba entre las entidades que tenían acceso al Sistema de Gestión de Datos de Abonado (folio 327).

DECIMOCTAVO: Que desde principios del año 2014 PLENISAN, S.L. recibía en sus cuentas de correo electrónico comunicaciones de destinatarios de la carta invitación de sus eventos comerciales en el que comunicaban que los destinatarios correspondían a personas fallecidas, y otras tenían por objeto negar el consentimiento para utilizar sus datos solicitando la baja de sus envíos (folio 335).

DECIMONOVENO: Que en la inspección I/00005/2015/I-1 realizada a PLENISAN la Inspección de Datos de esta Agencia constató que, realizada una búsqueda con el criterio MACRO, se encontró 12 correos electrónicos en diferentes carpetas; imprimiéndose un correo electrónico dirigido por PLENISAN a MSP solicitando una muestra de 50 registros, “que estén en los repertorios telefónicos de la ciudad de León, antes del 23-10-2014”. Analizado dicho correo, se comprueba que fue emitido en fecha 2 de noviembre de 2015 desde la cuenta [email protected] con destino a la cuenta [email protected] e, imprimida la respuesta a la anterior solicitud, se constató que se hizo desde la cuenta [email protected], anexando el fichero solicitado con datos personales. Analizado dicho correo, se comprobó que aparecía remitido en fecha 2 de noviembre de 2015 desde [email protected] con destino a la cuenta [email protected]. En el mismo se redirigió un correo electrónico del mismo día y remitido desde la cuenta [email protected] con destino a [email protected] con copia a otras dos cuentas del dominio meydis.com (folio 338).

VIGÉSIMO: Que, según consta en las actuaciones de inspección de referencia I/00005/2015/I-01 a una solicitud de datos realizada por el inspeccionado para presentar un documento ante esta Agencia como aportado por MSP, fue respondida mediante un correo electrónico procedente de la cuenta [email protected] con copia para la cuenta [email protected] (folio 339).


18/41

VIGÉSIMOPRIMERO: Que de la información aportada por la Tesorería General de la Seguridad Social consta que la única empleada de MSP ha sido J.J.J., quien anteriormente trabajó para MEGA DATA INTEGRAL SERVICES SL (Megadis) y para DATA INTEGRAL ACTION SL, empresas reiteradamente sancionadas por esta Agencia con motivo de denuncias similares a la actual. El administrador de estas dos últimas empresas también lo ha sido de TODO DATA INTEGRAL SERVICES, SL, igualmente sancionada por esta Agencia por denuncias similares a la actual (folio 224).

VIGÉSIMOSEGUNDO: Que en la publicidad enviada en las campañas que originaron otras denuncias en esta Agencia, con expedientes de investigación E/3566/2011, E/3558/2013 y E/4058/2013, de las que era beneficiario PLENISAN, entonces SISTEMAS MEDICOS PROFESIONALES S.L., se constató que existía idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP (folio 224).

VIGÉSIMOTERCERO: Que la Inspección de Datos ha constatado que: “Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos” (folio 223; por todos ver folios 221 y 222).

VIGÉSIMOCUARTO: Que ni PLENISAN, S.L., MACRO SELECT PRINT, S.L. o MEYDIS, S.L. han aportado documentación que acredite que dispusiesen del consentimiento de Dª. A.A.A. para el tratamiento de sus datos personales que se ha descrito en los puntos 1º y 2º anteriores; así como que tuviesen con ella algún tipo de relación comercial.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD.

II

El artículo 13.2 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto, de aplicación de acuerdo con lo establecido en la Disposición transitoria tercera de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, dispone que: “El acuerdo de iniciación se comunicará al instructor, con traslado de cuantas actuaciones existan al respecto, y se notificará al denunciante, en su caso, y a los interesados, entendiendo en todo caso por tal al inculpado. En la notificación se advertirá a los interesados que, de no efectuar alegaciones sobre el contenido de la


19/41

iniciación del procedimiento en el plazo previsto en el artículo 16.1, la iniciación podrá ser considerada propuesta de resolución cuando contenga un pronunciamiento preciso acerca de la responsabilidad imputada, con los efectos previstos en los artículos 18 y 19 del Reglamento”.

Y en el presente caso concreto el acuerdo de inicio del presente procedimiento sancionador fue notificado a la entidad MACRO SELECT PRINT, S.L. por BOE de fecha 14 de octubre de 2016 (folio 260), toda vez que no se atendió los avisos de intento de entrega dejados a la entidad en fechas 21 y 22 de septiembre de 2016, así como por parte de Correos (folios 259 y 268), y a la entidad PLENISAN, S.L. a su vez por BOE de fecha 18 de octubre de 2016 (folio 268 bis), toda vez que no se atendió los avisos de intento de entrega dejados a la entidad en fechas 21 y 22 de septiembre de 2016, así como por parte de Correos (folios 250 y 275); y sin que ninguna de estas dos entidades hayan presentado alegaciones.

En consecuencia, hay que considerar que dicho acuerdo ha servido para que sea considerado propuesta de resolución para estas dos entidades.

III

Antes de analizar el fondo de la cuestión es preciso precisar algunas cuestiones preliminares de concepto. Así, el artículo 43.1 de la LOPD atribuye la condición de responsables de las infracciones previstas en dicha norma a los responsables de los ficheros o los encargados de los tratamientos, al disponer que: 1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley“. Por tanto, ambas figuras están sujetas al régimen sancionador de la LOPD.

Conforme al artículo 3.d) de la LOPD, el “Responsable del fichero o tratamiento” es “la persona física o jurídica... que decida sobre la finalidad, contenido y uso del tratamiento”. En el artículo 5.1.q) del Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (en adelante RLOPD) se considera como “Responsable del fichero o tratamiento” a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

A su vez, los apartados b), c), y e) del mencionado artículo 3 de la LOPD definen los siguientes conceptos:

“b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo”.


20/41

La LOPD, en su artículo 2, y en relación con el ámbito de aplicación objetivo de la norma, lo circunscribe a “los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento automatizado, y a toda modalidad de uso posterior a estos datos (...)”. De acuerdo con esta delimitación, la LOPD establece la definición del fichero y diferencia las figuras de responsable del fichero y de responsable del tratamiento conforme se establece en las definiciones recogidas en los apartados b) y d) de ese artículo 3.b) y d) de la LOPD anteriormente transcritos.

Ello es congruente con las exigencias de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que la LOPD incorpora a nuestro ordenamiento jurídico, y conforme a ella, en el caso de los datos personales susceptibles de tratamiento automatizado, se aplica no sólo cuando existe un conjunto organizado (fichero) de dichos datos, sino también cuando se realizan operaciones y procedimientos que permitan la recogida, grabación, conservación, elaboración, bloqueo y cancelación de aquellos, aunque el responsable de ese tratamiento carezca de bases de datos de su titularidad que, de acuerdo con los términos legales, se incluyen en la definición de fichero.

Por otra parte, el Reglamento general de protección de datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 94/46/CE, establece en su artículo 2.1 que el objeto de la norma es el “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”; norma en vigor y aplicable a partir del 25 de mayo de 2018.

De acuerdo con lo que se ha señalado, el sistema de protección de la LOPD resulta exigible a los responsables del tratamiento aunque carezcan de ficheros e, incluso, a los meros encargados de aquél, a los que la LOPD también puede convertir en responsables conforme a lo previsto en el artículo 12.4 de dicha norma. Una interpretación contraria llevaría a que el sistema de protección de datos pudiera quedar vacío de tutela respecto de un número cada vez mayor de tratamientos que se externalizan.

El Tribunal Supremo, en su sentencia de 26 de enero de 2005, dictada en casación para unificación de doctrina, confirma la doctrina anteriormente expuesta al señalar que “junto al responsable del fichero –que era en la Ley 5/1992- quien estaba sujeto al régimen sancionador establecido en dicha ley (art. 42) en la nueva Ley 15/1999 aparece un nuevo personaje, el responsable del tratamiento, como posible sujeto pasivo de la potestad sancionadora de la que hoy se llama –a partir de la Ley 62/2003, de 30 de diciembre- Agencia Española de Protección de Datos (artículo 43), Véase lo que dicen uno y otro precepto:

Ley 5/1992 <<Art. 42. Responsables: 1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley>>.

Ley 15/1999 << Art. 43. Responsables: 1- Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley>>.

Y esto es así porque la nueva Ley Orgánica –a diferencia de la vieja Ley


21/41

Orgánica, que atribuía la potestad de decidir sobre la finalidad, contenido y uso del tratamiento únicamente al responsable del fichero- reconoce que esa decisión pueda tomarla –y así ocurre muchas veces- el responsable del tratamiento.

He aquí el nuevo texto: Ley 15/1999. <<Artículo 3. A los efectos de la presente Ley se entenderá por: [...] d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento>>.

No se trata como se ve de un mero cambio de redacción, de un simple giro gramatical, o una innovación puramente estilística. Es algo más profundo: estamos ante un cambio esencial en el modo de afrontar la regulación de las relaciones que se entablan entre quienes manejan los datos y el titular de los mismos”.

En este mismo sentido se ha pronunciado la Audiencia Nacional en su sentencia de 3 de marzo de 2004, citada entre otras en su sentencia de 18 de enero de 2006, al señalar que: “El ámbito subjetivo del ilícito administrativo descrito son los <<responsables de los ficheros y los encargados de los tratamientos>>, pues sólo a éstos les es aplicable el régimen sancionador que diseña la Ley Orgánica 15/1999, ex artículo 43.1 de la misma Ley. Esta delimitación subjetiva, ha sido ampliada en las Ley Orgánica 15/1999, a la sazón aplicable, respecto de la prevista en la Ley Orgánica 5/1992, en cuyo artículo 42.1 sólo sometía a su régimen sancionador a los responsables de los ficheros. Ahora bien, debe tenerse en cuenta que el responsable del fichero tiene una configuración más amplia en la Ley de 1999 que en la de 1992, pues sólo así puede explicarse que cuando el artículo 43.1 alude al <<responsable del fichero>>, esta expresión comprende ahora al responsable del tratamiento, ex artículo 3.d) de la Ley Orgánica 15/1999, bajo la expresión <<responsable del fichero o tratamiento>>, desconocida en la Ley de 1992, y si bien es cierto que las definiciones son coincidentes antes y ahora, sin embargo se ha incluido en la vigente Ley a aquellos otros que decidiendo sobre la finalidad, contenido y uso del tratamiento, no sean propiamente responsables del fichero.

Entendemos, por tanto, por responsable del fichero o del tratamiento la persona física o jurídica, que decida sobre la finalidad, contenido y uso del tratamiento; y por encargado del tratamiento quien trate datos personales por cuenta del responsable del tratamiento, según define el artículo 3, apartados d) y g), respectivamente, de la Ley Orgánica 15/1999”.

En concordancia con la doctrina expuesta, en el presente caso concreto se produce un tratamiento de los datos personales de la persona denunciante para la realización de un envío de publicidad postal (pues no se acredita relación comercial, tal como se irá analizando con más detalle a continuación), en el que figuraban su nombre, apellidos y dirección postal con número de calle, piso y puerta; envío que se realizó por MEYDIS (figurando como responsable MSP en la carta en cuestión) a instancias y por cuenta de PLENISAN, que era la empresa cuyos productos y servicios se promocionaban en tal envío recibido por el denunciante, cuyos datos personales, a su vez, fueron tratados por MEYDIS para seleccionar el público objetivo o destinario de la campaña en función de los intereses comerciales de la beneficiaria de la publicidad.

En consecuencia, estas entidades, MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. se consideran responsables de este específico tratamiento de datos personales.


22/41

IV

Expuesto lo que antecede, decir que el artículo 6.1 de la LOPD dispone lo siguiente:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

No obstante, el apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en aquel apartado 1, estableciendo que: “No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).”

Por otra parte, el artículo 6 del ya citado Reglamento general de protección de datos, Reglamento (UE) 2016/679 establece que el tratamiento de datos personales “solo será lícito si se cumple la menos una de las siguientes condiciones”: “a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que le interesado es parte o para la aplicación a petición de este de medidas precontractuales” (…); norma en vigor y aplicable a partir del 25 de mayo de 2018.

Son, pues, elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

En consecuencia, corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste, así, en este sentido la Audiencia Nacional, en sentencia de fecha 31 de mayo de 2006, por todas, viene a señalar que: “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el


23/41

consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley”.

“Respecto al consentimiento – dice la sentencia de la Audiencia Nacional de 4 de marzo de 2009 - , es de interés reseñar que el apartado 1 del Art. 6 LOPD exige el consentimiento inequívoco del afectado para el tratamiento de sus datos de carácter personal. El adjetivo "inequívoco" que califica al consentimiento, significa según el Diccionario de la Real Academia Española "que no admite duda o equivocación" y, por contraposición, a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el citado precepto no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito. Esta Sala viene considerando que no es necesario que dicho consentimiento se preste de forma expresa, con base a que no tendría sentido la exigencia de consentimiento expreso para el tratamiento de los datos especialmente protegidos a que se refiere el Art. 7 LOPD.

Ahora bien, el consentimiento, como ha dicho esta Sala de forma reiterada, entre otras en la sentencia de 20 de septiembre 2006, tiene que ser inequívoco por parte del titular de los datos pues es él y no un tercero quien tiene el poder de disposición y control sobre sus datos personales, aun cuando no se requiere que se produzca de forma expresa o por escrito pero sí debe reunir los requisitos previstos en el artículo 3h) y 6.1 de la LOPD”.

En el presente caso concreto, con fecha 21 de septiembre de 2015 Dª. A.A.A. manifestó a esta Agencia que:

<<Con fecha 09-09-15 recibí en mi buzón un sobre procedente de la empresa PLENISAN, S.L. "invitándome" a recoger una batería de cocina en el hotel NH XXXXX de Madrid.

Con fecha 14-09-15 les envié un correo solicitándoles la cancelación de mis datos en sus ficheros.


Con fecha 16-09-15 contesté a PLENISAN S.L. que la carta me la habían enviado ellos y que debían asumir su responsabilidad al hacer uso de datos no autorizados por sus propietarios>> (folio 1).

En efecto, y tal como consta acreditado en el expediente, en el envío citado, el escrito contaba con el logotipo de PLENISAN, y ref. SM**** ************* A 004722, en el que aparecen el nombre y apellidos del denunciante, así como su dirección postal completa, incluyendo el piso y la puerta y bloque; con la convocatoria para proceder a la entrega de un regalo, a saber: “Batería de cocina de 12 piezas”, a realizar en el HOTEL NH XXXXX en Madrid el día 10 de septiembre de 2015; en dicha carta se hace referencia a se había enviado otra anterior sobre otra invitación, a la que “por causas que desconocemos usted no acudió a recogerlo” (folio 8).

En el pie del escrito detallado el párrafo anterior se recoge que los datos


24/41

personales tenían su origen en un fichero de MACRO SELECT PRINT, S.L. e informando que los derechos de acceso, rectificación, cancelación u oposición podían ejercitarse en el Apartado de Correos núm. *****, Madrid (folio 8).

En este sentido, la entidad PLENISAN en fecha 30 de junio de 2015, desde una cuenta del dominio plenisan.com, se solicitó información y disponibilidad de sala para los días 8 al 10 de septiembre de 2015 al hotel NH XXXXX de Madrid, informando que era una empresa que quería un local para “realizar una reunión de exposición de nuestros productos de salud y descanso” y resaltando que si habían trabajado con diversas empresas y para que sirviera de referencia, empresas que en ese correo se citan, entre ellas, HOME XXI, la forma de trabajar es la misma (folios 13 y 14).

En consecuencia, NH HOTELES ESPAÑA, S.A. contrató con PLENISAN la Sala Cibeles Teatro del citado hotel NH XXXXX en Madrid para el 10 de septiembre de 2015, con capacidad de 50 personas (folio 17).

El Grupo de Protección de Datos del Artículo 29, creado en virtud del artículo 29 de la Directiva 95/46/CE, como órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad (Comité Europeo de Protección de Datos, de acuerdo con el considerando 139 y el artículo 68.1 del Reglamento General de Protección de Datos de la Unión Europea), en su Dictamen 15/2011 sobre la definición del consentimiento adoptado el 13 de julio de 2011, dice en relación al asunto que estamos analizando que:

“Como se describe a continuación, este requisito obliga a los responsables del tratamiento a crear procedimientos rigurosos para que las personas den su consentimiento; se trata de, o bien buscar un claro consentimiento expreso o bien basarse en determinados tipos de procedimientos para que las personas manifiesten un claro consentimiento deducible. El responsable del tratamiento debe además asegurarse suficientemente de que la persona que da su consentimiento es efectivamente el interesado. Esto tiene especial importancia cuando el consentimiento se autoriza por teléfono o en línea.

La prueba del consentimiento plantea una cuestión relacionada con lo anterior. Los responsables del tratamiento que se basen en el consentimiento pueden desear o necesitar demostrar que el consentimiento se ha obtenido, por ejemplo, en el contexto de un litigio con el interesado. Efectivamente, en algunos casos se les podrá pedir que aporten estas pruebas en el marco de medidas ejecutivas. Como consecuencia de ello y como cuestión de buena práctica los responsables del tratamiento deben crear y conservar pruebas de que el consentimiento fue efectivamente dado, lo que significa que el consentimiento debería ser demostrable”.

El citado Reglamento General de Protección de Datos de la Unión Europea 2016/679 en su artículo 7.1) sintetiza, por su parte, en relación con el consentimiento del interesado que “el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”.

Cabe decir por tanto que, ante la falta de acreditación por parte de la entidad imputada del consentimiento inequívoco de la persona denunciante para el tratamiento de sus datos personales, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

Abundando en este sentido, procede citar, por todas, la sentencia de la


25/41

Audiencia Nacional de fecha 21 de diciembre de 2001 en la que se declaraba que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. (…) (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cual era el consentimiento del mismo.

Es decir, (...) debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.

Hay que insistir que ni PLENISAN, S.L. ni MEYDIS, S.L. MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. han aportado documentación que acredite que dispusiesen del consentimiento inequívoco de Dª. A.A.A. para el tratamiento de sus datos personales que se ha descrito anteriormente, ni que hubiese entre ellos algún tipo de relación comercial por productos de salud y descanso.

En consecuencia, por todo lo que antecede, se considera infringido el artículo 6.1 de la LOPD por parte de MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. y que son responsables de dicha infracción al artículo citado.

V

Una vez que se aprecia la existencia de una convocatoria poco transparente para en realidad la promoción de productos de salud, indicar que el artículo 30.1 de la LOPD, relativo a los “Tratamientos con fines de publicidad y de prospección comercial”, establece que: “1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento”.

Por su parte, el artículo 45.1 del RLOPD, referido a “Datos susceptibles de tratamiento e información al interesado”, desarrolla el precepto anterior disponiendo que:

“1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado.

b) Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. “


26/41

Asimismo, el artículo 46 del RLOPD establece lo siguiente:

“Tratamiento de datos en campañas publicitarias.

1. Para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre.

2. En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:

a) Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.

b) Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsable del tratamiento.

c) Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.

3. En el supuesto contemplado en el apartado anterior, la entidad que encargue la realización de la campaña publicitaria deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

4. A los efectos previstos en este artículo, se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial de productos o servicios que permitan acotar los destinatarios individuales de la misma”.

Respecto a si PLENISAN, de acuerdo con el art. 43 de la LOPD y 46.2 del RLOPD puede ser considerada responsable del fichero o del tratamiento de los datos de la persona denunciante procede señalar que la entidad niega tener dicha condición, toda vez que no intervino en el diseño y ejecución de la campaña publicitaria objeto de valoración, al no ser responsable del fichero utilizado para su desarrollo, ni haber tratado los datos (contenidos en el fichero titularidad de MSP, según el propio envío postal) ni haber participado en la fijación de los criterios de selección de los destinatarios de la publicidad, tal y como se desprendería del contrato firmado entre las partes.

Frente a estos argumentos, esta Agencia se remite a las consideraciones efectuadas en los presentes fundamentos de derecho que justifican la condición de PLENISAN de responsable del tratamiento de los datos de la persona denunciante, debido a la elección del lugar en el que se realizó el evento, lo que supone la fijación, por su parte, de un parámetro identificativo de los destinatarios de la campaña, y básico para la realización material de las campañas publicitarias contratadas. Téngase en cuenta que la publicidad debe ser dirigida a personas que residen en una determinada zona geográfica, lo que determina la variable asociada al público objetivo del que se extraerán los datos personales de los destinatarios individuales de la campaña en función de la segmentación que se determine.


27/41

Recordemos que en la Inspección de Datos de esta Agencia en inspección realizada a la entidad MEYDIS, S.L., Acta de Inspección E/06878/2015/I-01 (folios 108 a 135), en fecha 7 de abril de 2016, ha constatado que el envío en cuestión fue impreso por esta entidad MEYDIS, S.L. en la campaña SM****, estando relacionada en soporte papel y no electrónico (folios 108 a 109).

Asimismo, la Inspección de Datos de esta Agencia en fecha 23 de febrero de 2016 constató que en la URL http://es.slideshare.net............ aparecía una presentación publicitaria de MEYDIS, S.L. en la que se anunciaba que la entidad dispone de más de 12.000.000 de hogares españoles, todos ellos con los siguientes datos personales: persona de contacto (titular del teléfono), dirección postal completa, nivel socioeconómico de la unidad familiar, edad del titular del teléfono y nivel cultural del titular del teléfono (folios 327 y 328).

Por otra parte, la Inspección de Datos de esta Agencia ha constatado que los parámetros de selección de estas campañas publicitarias son (folios 173, 339 y 340):

Añadir que los parámetros de selección de los correspondientes datos personales a utilizar en las distintas campañas publicitarias ofrecidos en la página web del Grupo MEYDIS, descrita anteriormente, coinciden casi en su totalidad con los criterios de selección fijados y demandados por PLENISAN ya detallados más arriba (folios 327, 328, 339 y 340).

En conclusión, PLENISAN decidió sobre la finalidad y el uso de los datos contenidos en el fichero de MSP, lo que le sitúa como responsable del tratamiento de los datos del denunciante de acuerdo con la definición prevista en el artículo 3.d) de la LOPD, con arreglo a lo que está sujeta al régimen sancionador que determina el artículo 43 de la LOPD al reunir los requisitos subjetivos legalmente exigidos para poder ser sancionada por vulneraciones a lo previsto en dicha norma.

Amén de lo cual, dada la naturaleza publicitaria del tratamiento de datos personales analizado, en este caso resulta de aplicación lo previsto en los citados artículos 30.1 de la LOPD y 45.1 del RLOPD.

Así, el tratamiento de datos con fines publicitarios requiere, de acuerdo con lo dispuesto en el artículo 6.1 de la LOPD en su relación con lo previsto en el artículo 30.1 de esa misma norma, y en relación también con su desarrollo reglamentario, el consentimiento inequívoco de los afectados o que sus datos procedan de fuentes de acceso público.

VI

Antes de continuar, es obligado precisar que en el supuesto examinado, de las


ENVIAR DATOS CARTA:

- Una x domicilio

- Hombres y Mujeres

- Preferente Mujeres

- Eliminar: Analfabetos

SocioEconómico: Bajo

<entidad hostelera>

<dirección>

<población>

28/41

actuaciones practicadas se desprende que el tratamiento publicitario de los datos personales de la persona denunciante, que ha resultado acreditado, y del que son responsables las dos entidades imputadas con arreglo a lo previsto en apartados 2 y 4 del mencionado artículo 46 del RLOPD por haber participado ambas en la fijación de los parámetros identificativos de los destinatarios de la campaña publicitaria en la que enmarca el envío estudiado, se desarrolló sin estar amparado en alguno los supuestos previstos en los artículos 6.1 y 30.1 de la LOPD citados.

En las actuaciones efectuadas en el procedimiento no consta que ninguna de las empresas imputadas haya probado contar con el consentimiento inequívoco de la afectada para tratar sus datos personales con fines publicitarios, bien por haber sido facilitados por el propio denunciante o por haberse obtenido con su consentimiento para tal finalidad, circunstancias, además, negadas de manera expresa por parte de la entidad denunciante a la vista de los términos de su denuncia. Tampoco MACRO SELECDT PRINT, S.L., PLENISAN, S.L y MEYDIS, S.L. han justificado que concurriera alguno de los supuestos que dispensarían de tal consentimiento recogidos en los artículos 6.2 y 30.1 de la LOPD legitimando tal tratamiento, y que para este caso requeriría justificar que los datos personales de la persona denunciante utilizados para remitir el envío postal publicitario denunciado procedían de fuentes accesibles al público establecidas en el artículo 3.j) de la LOPD, en concreto, de repertorios telefónicos de uso vigente, como se señala en la cláusula 2 del contrato de fecha 2 de junio de 2013.

El artículo 3 j) de la LOPD define como fuentes accesibles al público “ aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

En el presente caso concreto, resulta que ninguna de las entidades inculpadas han acreditado que los datos personales de la denunciante se obtuvieran de repertorios telefónicos, al igual que no han probado que fueran datos vigentes en el momento de su posible obtención y uso publicitario al no facilitar, tampoco, la fecha de acceso de dichos datos, tratándose de una información que resulta relevante a los efectos del cómputo del plazo de vigencia durante el cual se mantiene la naturaleza de fuentes de acceso público, ello conforme a lo previsto en el artículo 28.3 de la LOPD que al regular los “Datos incluidos en las fuentes de acceso público”, establece que:

“3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique.

En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención.”

Además, a la vista de los datos personales tratados dicho origen únicamente podría asignarse a los datos del nombre, apellidos, calle y número del domicilio postal de la afectada, población y provincia, pero no al dato del piso y puerta la casa que


29/41

también figura reseñado en el envío publicitario recibido por el denunciante que al equiparse a los datos de piso y puerta no podría proceder de repertorios telefónicos al no incluirse dicha información en los mismos.

Se observa que las entidades imputadas en su calidad de responsables del tratamiento publicitario analizado deben estar, por consiguiente, en condiciones de acreditar que cuentan con el consentimiento inequívoco de los afectados o cobertura legal para realizar el repetido tratamiento, estableciéndose a este respecto en los apartados 1 y 3 del artículo 12 del RLOPD que:

“1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

(…)

3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. “

En este sentido, la sentencia de la Audiencia Nacional de fecha 11 de mayo de 2001, por todas, en un supuesto similar, dispone que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”

Indicar aquí por tanto que MACRO SELECT PRINT, S.L. ha manifestado a esta Agencia, y como consta suficientemente acreditado en respuestas a múltiples requerimientos de información realizados en diversas actuaciones previas de inspección, que los datos personales para campañas publicitarias habían sido obtenidos de listados accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.), revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc; sin que nunca se haya aportado prueba acreditativa de ello y utilizando parámetros de identificación de los destinatarios de cada campaña, consistiendo en una segmentación por zona de ubicación del domicilio (por todos, folios 224 y 225).

Y por su parte MEYDIS, en relación con el fichero para la confección de la impresión publicitaria para la que estaba contratado, lo siguiente: “la empresa MSP no nos informaba de que un fichero estaba disponible para confeccionar la impresión de la publicidad. Simplemente, cada vez que recibíamos una orden de trabajo de nuestro cliente Plenisan, accedíamos al FTP en el que MSP colocaba los ficheros y ya nos encontrábamos colocado ahí el que debía utilizarse para esa concreta carta publicitaria. Como también se ha indicado a esa Agencia en ocasiones anteriores, en la actualidad, ya no conservamos en nuestros sistemas los registros de actividad”; sin embargo, la entidad no ha aportado documentación alguna que acredite lo expuesto (folio 173).

Sin embargo, reiterar que ninguna de estas entidades imputadas ha aportado ningún medio de prueba que permita acreditar que el tratamiento efectuado se realizó con las garantías establecidas en los artículos 6.1 y 30.1 de la LOPD, motivo por el que


30/41

cabe concluir que MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. han vulnerado lo dispuesto en el artículo 6.1 de la LOPD al no haber acreditado que mediaba el consentimiento inequívoco de la persona denunciante para usar sus datos personales con fines publicitarios y de prospección comercial o justificar, en su caso, que el supuesto examinado concurría alguna de las excepciones al principio general del consentimiento consagrado en dicho precepto. Consecuentemente, los datos personales de la afectada fueron utilizados con fines publicitarios por las entidades citadas, sin que éstas contasen con su consentimiento inequívoco para ello.

VII

Aduce, asimismo, la representación de MEYDIS la atipicidad sobrevenida de los hechos como consecuencia de la entrada en vigor del Reglamento General de Protección de Datos, recogiendo en el artículo 6.1.f) y en el último inciso del Considerando 47 del mismo la posibilidad del tratamiento de los datos personales del interesado aun sin consentimiento en aplicación de la figura del interés legítimo de aquellas las entidades con fines de mercadotecnia directa, por lo que cabría la aplicación retroactiva de dicha norma por ser más favorable, debiéndose proceder al archivo del presente procedimiento.

En relación con dicha petición resulta esencial:

En primer lugar, tener en cuenta que el artículo 99 del citado RGPD establece respecto de su “Entrada en vigor y aplicación” que:

“1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Será aplicable a partir del 25 de mayo de 2018.”

En segundo lugar, los Considerandos del citado RGPD carecen de valor normativo, cuestión distinta es que puedan servir de criterio interpretativo a la hora de su aplicación.

En tercer lugar, el apartado 7.f de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ya regula la regla del interés legítimo al disponer que:

“Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

En cuarto lugar, procede indicar que el Considerando 47 del mencionado Reglamento recoge el razonamiento consolidado de nuestra jurisprudencia relativo a que es legítimo el tratamiento que se realiza con fines publicitarios. Ahora bien, olvida MEYDIS que la aplicación de la excepción del interés legítimo requerirá de una ponderación de los intereses y de los derechos que se ven afectados, ponderación que dependerá de las circunstancias concretas de cada caso, sin que en la lectura


31/41

efectuada por esa empresa haya valorado en forma alguna la primacía de su interés sobre el derecho fundamental de la afectada a que sus datos personales no se utilicen con fines publicitarios.

Por todo ello procede desestimar las alegaciones de MEYDIS, respecto a la atipicidad de su conducta por la aplicación retroactiva del citado Reglamento Europeo de Protección de Datos, ya que la regla del interés legítimo está vigente con la actual normativa.

VIII

Asimismo, indicar que: “En cuanto a la denuncia de incongruencia omisiva, resulta pertinente recordar que el Tribunal Constitucional viene declarando repetidamente (sentencia 1/2001, de 5 de enero, entre otras) que la exigencia de motivación de las resoluciones judiciales no significa que estas deban dar respuesta pormenorizada a todos y cada uno de los alegatos de las partes, sino que cabe que el Tribunal se enfrente a ellos exponiendo su propia argumentación de que queda deducir la admisión o rechazo de los motivos en que las partes hayan apoyado sus respectivas posiciones” (sentencia del Tribunal Supremo de fecha 3 de noviembre de 2003, rec. 4566/2000).

Pese a esto, es conveniente decir que no se puede hablar de vulneración de los derechos fundamentales ni de “persecución sin precedentes” por parte de la Agencia, dado que los distintos procedimientos abiertos o las investigaciones previas llevadas a cabo parten de las correspondientes denuncias (lo que obliga a la actuación de esta Agencia, realizada con estricto cumplimiento de la legalidad), si no, ello llevaría a la interpretación absurda de que son los denunciantes los que, con sus denuncias, vendrían a ser los que tienen ese ánimo persecutorio.

Alega MEYDIS que, de acuerdo con el contrato aportado, actuaba como encargado del tratamiento de MSP, y, también de acuerdo con el contrato aportado, lo hacía a su vez respecto de PLENISAN. Por otro lado, PLENISAN alega que encargaba el diseño de la campaña, y la segmentación de los registros a MSP.

Está suficientemente acreditado en esta Agencia que, en relación con las distintas investigaciones realizadas a causa de las distintas personas afectadas, MSP no presenta alegaciones en su defensa, y sin embargo ha venido aportando un documento a preguntas de MEYDIS (en el presente caso concreto esa testifical no puede llegar a realizarse al estar en paradero desconocido a día de hoy MSP), sobre el desarrollo de las campañas a preguntas de PLENISAN. Esto es, late un interés mayor en MSP de corroborar los argumentos de MEYDIS que de ejercer su propio derecho de defensa.

MEYDIS pretende otorgarse la apariencia de un simple encargado del tratamiento respecto de su relación con MSP, que cumple instrucciones de su responsable (instrucciones que por otro lado no han sido acreditadas) y así evitar una eventual sanción al respecto.

Pues escapa a la lógica más elemental que PLENISAN contrate la explotación de la base de datos de MSP (como se puede leer en letra pequeña en el pie de la carta publicitaria denunciada) y el diseño de la campaña (entidad sin medios suficientes como cita en su contrato, con una única empleada y de relativa reciente creación), cuando es MEYDIS una empresa que desde hace mucho tiempo presta servicios de explotación de


32/41

bases de datos, así por ejemplo promociona productos como Consumer List; Bussines List; International List; Data Service, y tan sólo contrate con ésta actividades auxiliares de la principal, que no es otra que la utilización del fichero para fines comerciales, cuando lo lógico es que, dada la experiencia y medios de MEYDIS, sea ésta y no MSP la proveedora de manera efectiva y real de las bases de datos utilizadas, pues es una buena parte del objeto de su negocio.

En el contrato entre MEYDIS y MSP (EL CLIENTE) se pacta lo siguiente (…) adicionalmente, puesto que EL CLIENTE carece de infraestructura suficiente para ello, podrá solicitar a MEYDIS que desempeñe funciones de intermediación en la gestión de las relaciones entre EL CLIENTE y los Clientes Finales, de modo que las peticiones de servicio u otras comunicaciones dirigidas desde estos al CLIENTE se hagan utilizando a MEYDIS como canal. En estos casos, MEYDIS se limitara a trasladarla comunicación que reciba del Cliente Final. (…)

Por otra parte, en el contrato entre MEYDIS y PLENISAN (EL CLIENTE) se estipula lo siguiente:

“I Por virtud de este contrato, MEYDIS se compromete a prestar al CLIENTE los siguientes servicios:

a) Recepción de las piezas publicitarias, en las que ya se encontraran impresos los datos de nombre, apellidos y dirección postal de las personas a las que deba ser enviadas. Las piezas publicitarias se entregaran a MEYDIS en soporte papel y apiladas en cajas, sin orden o indexación alguna. Dichas cajas serán enviadas a MEYDIS directamente por la tercera empresa que haya sido contratada por el CLIENTE para los servicios de selección e impresión de los datos personales en la publicidad.

b) Doblado, ensobrado y franqueo de las piezas publicitarias.

c) Depósito de la publicidad en el correspondiente operador postal para su envío.

II MEYDIS únicamente tratará las piezas publicitarias impresas conforme a las instrucciones del CLIENTE, prohibiéndose expresamente su aplicación o utilización con un fin distinto al establecido en la relación que les vincula.

Como norma general, las instrucciones que debe cumplir MEYDIS son las que, en buena lógica se deducen de la propia naturaleza de los servicios contratados y son necesarias para su cumplimiento. En caso de que CLIENTE estimase oportuno impartir instrucciones distintas de las mencionadas, las comunicará expresamente a MEYDIS.

III MEYDIS no podrá ceder o entregar las piezas publicitarias o la información que contengan a terceras personas, salvo indicación expresa de CLIENTE.

IV MEYDIS se compromete a implementar en sus sistemas técnicos y organizativos las medidas pertinentes para la seguridad de las piezas publicitarias impresas, las medidas de seguridad de nivel básico de las establecidas en el Real Decreto 1720/2007, debiendo elaborar su propio Documento de Seguridad, en el que se recojan todas las medidas legales y cumplirlo.

Y entre PLENISAN y MSP de fecha 16 de junio de 2014 se estipula que:

“I.- LIST BROKER (MSP) prestará a CLIENTE (PLENISAN) los servicios de:

Diseño de campañas de marketing directo de CLIENTE.


33/41

Selección de datos personales de los ficheros de LIST BROKER para la realización de envíos publicitarios, excluyendo los datos de personas inscritas en las LISTAS ROBINSON de AIDIGITAL. Los criterios de necesarios para determinar los destinatarios de cada campaña de marketing serán fijados por LIST BROKER en cada caso, según el diseño de aquella.

Personalización de los documentos publicitarios a enviar, imprimiendo en estos los datos de los destinatarios e incluyendo una cláusula que informe de que LIST BROKER es el origen de los datos y de la posibilidad de ejercer los derechos que la ley reconoce en la correspondiente dirección o apartado de correos (…)

De acuerdo con lo expuesto, y según los contratos citados, deberían existir al menos las siguientes comunicaciones:

La petición de MSP a MEYDIS para que desempeñe las funciones de intermediación entre MSP y PLENISAN, y una vez aceptada dicha intermediación, tal como consta en el contrato, que del carácter de mero canal de comunicación, se desprenda una comunicación de PLENISAN a MEYDIS, y de esta a MSP. Sin embargo no se han probado estas últimas; sino que las comunicaciones terminan en MEYDIS.

De igual modo, también deberían existir las comunicaciones relativas a la determinación del diseño de las campañas, y la determinación de los criterios de segmentación, entre MSP y PLENISAN tal como afirma ésta en sus alegaciones al decir que “los servicios de diseño, selección, segmentación y tratamiento de los datos personales son hechos, en exclusiva, por el mismo proveedor” y sin embargo ninguna comunicación, ni documentación consta al respecto, sino que PLENISAN se comunica únicamente con MEYDIS para dar el visto bueno a las creaciones publicitarias, es decir, a si acepta un determinado diseño u otro, cuando esos servicios son los que, por contrato, realiza MSP, respecto de dicha actividad, sin que nada conste.

En definitiva, de ser real la ejecución de los contratos en la forma pactada, existirían multitud de comunicaciones entre MSP y MEYDIS y entre PLENISAN y MSP.

Pues bien, las únicas comunicaciones que constan son entre PLENISAN y MEYDIS y viceversa, resultando cuanto menos sorprendente que no conste en ellas MSP, pues, a pesar de cuidarse mucho en el contrato de fijar que MEYDIS podrá actuar como “canal de comunicación”, se echa en falta el traslado y la respuesta de MSP.

MEYDIS en defensa de sus argumentos, señala que no existe prueba alguna de que tomara decisión en el tratamiento de datos y por tanto debe ser considerada encargada del tratamiento.

Resulta sin embargo que MEYDIS somete a tratamiento los datos del denunciante para la campaña publicitaria de PLENISAN, y no hay prueba alguna de dicha condición de encargado (más allá de un contrato genérico que puede recoger lo que tengan a bien las entidades).

Prueba que sería sencilla de facilitar, puesto que no consta acreditada ninguna instrucción por parte de MSP a MEYDIS, que acote, defina, o determine caso por caso (campaña por campaña) el tratamiento, supuestamente encargado dado los términos abiertos del citado contrato.

Es decir, los parámetros de selección de los correspondientes datos personales a utilizar en las distintas campañas publicitarias ofrecidos en la página web del Grupo


34/41

MEYDIS, coinciden casi en su totalidad con los criterios de selección fijados y demandados por PLENISAN como ya se indiciado anteriormente.

De igual modo, resaltar que en fechas de 15 de diciembre de 2015 y 29 de mayo de 2016 Dª. K.K.K. (datos personales que constan en el expediente), ex empleada de un cliente de MEYDIS, manifestó a esta Agencia que MSP era una entidad meramente formal y que nunca trató con personal de dicha entidad, a pesar de que era la responsable de los asuntos a tratar, y en cambio trató con personal de MEYDIS. Asimismo manifestó que MSP cambiaba de denominación social según le iba indicando MEYDIS. Finalmente manifestó que el esquema de negocio en acciones de marketing postal nominativo respondía a la determinación de las características de los destinatarios por parte del cliente (en este caso PLENISAN) para que el proveedor de la base de datos generase un determinado fichero de destinatarios de dichas acciones.

Añadiendo de forma literal que “siempre hemos trabajado con Meydis con Macro era puro formalismo mediante un contrato pero realmente esta empresa ni siquiera nos facturaba siempre era Meydis incluso los ficheros que nos proporcionaban con la información de clientes nos la mandaban desde Meydis. La única diferencia ha sido que en nuestras cartas íbamos modificando según nos solicitaba Meydis la empresa que era propietaria de los ficheros y que es obligatorio ponerlo en la parte inferior de la carta, esta empresa si no recuerdo mal se cambió unas tres o cuatro veces, por lo que yo tenía entendido era que en cuanto tenían alguna denuncia importante cerraban dicha empresa y abrían otra, pero realmente con la que siempre hemos trabajado es Meydis.(…)

(…)TODO lo tratábamos con Meydis, solicitudes, cambios, estadísticas, composiciones de cartas, etc nunca he tratado con nadie de la empresa Macro Select Print, el correo que aparece en mi antiguo escrito es porque recibí un único mail de esta dirección, todo lo demás eran de Meydis (…)” (folios 341 a 346).

Por otro lado, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda informó a esta Agencia que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección IP ***IP.1 (folio 77). Dicha IP está asignada a MEYDIS (folio 225).

Y el BANCO BILBAO VIZCAYA ARGENTARIA, S.A. informó a esta Agencia, respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos de PLENISAN a MSP, que se había comprobado que entre el 10 de septiembre de 2015 y el 2 de febrero de 2016 fueron realizados un total de 20 accesos desde la dirección IP ***IP.1 (folios 225 y 36 a 76), que está asignada a MEYDIS, como se ha detallado.

Además, y respecto del apartado de correos designado para ejercer los derechos ARCO ante MSP, que se recoge en la carta publicitaria enviada, la entidad S.E. Correos y Telégrafos, S.A. informó a esta Agencia que, por contrato de fecha 22 de junio de 2014 MSP realizó la suscripción anual de este apartado de correos número ****de Madrid, el domicilio aportado fue en la calle (C/....1)nº 18, 8, 14 - ***CP.1 Madrid, con teléfono de contacto del administrador el número de línea móvil ***TEL.1, facilitando copia del DNI del administrador de la entidad y copia de la escritura notarial de constitución de la sociedad MSP fechado el 12 de junio de 2014, en la que figura D. B.B.B. como socio único y administrador y domicilio el ya citado (folios 176 a 193).

De igual modo, Correos informó a esta Agencia que estaba autorizado por parte


35/41

de MSP para “la recogida de documentos que lleguen esta apartado (*****)” para dicha entidad a D. L.L.L. (folios 188, 191 y 192), esto es, la misma persona que se persona en esta Agencia para tomar vista de los expedientes y obtener copias del mismo en nombre de MEYDIS, S.L., de manera concreta, según autorización de fecha 10 de mayo de 2016 (folio 332).

La Inspección de Datos de esta Agencia, asimismo, ha constatado que en la web de la Comisión Nacional de los Mercados y la Competencia constaba que MEYDIS estaba entre las entidades que tenían acceso al Sistema de Gestión de Datos de Abonado (folio 327).

Desde principios del año 2014 PLENISAN, S.L. recibía en sus cuentas de correo electrónico comunicaciones de destinatarios de la carta invitación de sus eventos comerciales en el que comunican que los destinatarios corresponden a personas fallecidas, y otras tienen por objeto negar el consentimiento para utilizar sus datos solicitando la baja de sus envíos (folio 335).

Y en la inspección I/00005/2015/I-1 realizada a PLENISAN la Inspección de Datos de esta Agencia constató que, realizada una búsqueda con el criterio MACRO, se encontraron 12 correos electrónicos en diferentes carpetas; imprimiéndose un correo electrónico dirigido por PLENISAN a MSP solicitando una muestra de 50 registros, “que estén en los repertorios telefónicos de la ciudad de León, antes del 23-10-2014” . Analizado dicho correo, se comprueba que fue emitido en fecha 2 de noviembre de 2015 desde la cuenta [email protected] con destino a la cuenta [email protected] e, imprimida la respuesta a la anterior solicitud, se constó que se hizo desde la cuenta [email protected], anexando el fichero solicitado con datos personales. Analizado dicho correo, se comprobó que aparecía remitido en fecha 2 de noviembre de 2015 desde [email protected] con destino a la cuenta [email protected]. En el mismo se redirigió un correo electrónico del mismo día y remitido desde la cuenta [email protected] con destino a [email protected] con copia a otras dos cuentas del dominio meydis.com (folio 338).

Según consta en las actuaciones de inspección de referencia I/00005/2015/I-01 a una solicitud de datos realizada por el inspeccionado para presentar un documento ante esta Agencia como aportado por MSP, fue respondida mediante un correo electrónico procedente de la cuenta [email protected] con copia para la cuenta [email protected] (folio 339).

Por otra parte, de la información aportada por la Tesorería General de la Seguridad Social, consta que la única empleada de MSP ha sido J.J.J., quien anteriormente trabajó para MEGA DATA INTEGRAL SERVICES SL (Megadis) y para DATA INTEGRAL ACTION SL, empresas reiteradamente sancionadas por esta Agencia con motivo de denuncias similares a la actual. El administrador de estas dos últimas empresas también lo ha sido de TODO DATA INTEGRAL SERVICES, SL, igualmente sancionada por esta Agencia por denuncias similares a la actual (folio 224).

Y en la publicidad enviada en las campañas que originaron otras denuncias en esta Agencia, con expedientes de investigación E/3566/2011, E/3558/2013 y E/4058/2013, de las que era beneficiario PLENISAN, entonces SISTEMAS MEDICOS PROFESIONALES S.L., se constató que existía idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP (folio 224).


36/41

En cualquier caso, indicar que la Inspección de Datos ha constatado que: “Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos” (folio 223; por todos ver folios 221 y 222).

En conclusión, y como consta suficientemente acreditado en esta Agencia en relación las distintas denuncias investigadas, los elementos de prueba analizados en definitiva sitúan en la ejecución del tratamiento de mayor peso al supuesto encargado (MEYDIS); dados los medios humanos, materiales y de solvencia profesional en el sector del marketing de bases de datos (recuérdese que una de sus principales líneas de negocio es la explotación de bases de datos que del responsable, MSP, que ni tiene sede física, cuenta con un único empleado y solamente utiliza un ordenador portátil, además de resultar desconocido en las últimas actuaciones de esta Agencia). En el sentido expuesto, ha resultado acreditado que existen evidentes conexiones entre MEYDIS y MSP más allá de las contenidas en la contratación aportada.

Sin que lo manifestado anteriormente exima de responsabilidad a MSP, ya que los datos del denunciante obraban en sus ficheros y fueran sometidos a tratamiento para el envío de la comunicación postal en virtud de una relación comercial de la que también se lucró MSP.

IX

El artículo 44.3.b) de la LOPD considera infracción grave:

“Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

De acuerdo con todo lo expuesto anteriormente, la infracción es imputable, en todo caso, a las entidades MACRO SELECT PRINT, S.L. y PLENISAN, S.L en su condición de responsables del tratamiento, y también a MEYDIS, S.L. en su actuación de responsable efectivo del fichero utilizado en la campaña de publicidad.

En el presente caso concreto, MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. han tratado los datos personales de la persona denunciante sin su consentimiento inequívoco, ni habilitación legal para ello (relación comercial), y han conculcado en consecuencia el principio de consentimiento regulado en el artículo 6.1 de la LOPD, en relación aquí además con el artículo 30.1 de la misma norma, y en relación también con los artículos 45 y 46 del RLOPD, que encuentra su tipificación en el artículo 44.3.b) de la LOPD.

X

El artículo 45 de la LOPD, en sus aparatados 2 a 5, establece que:

«2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.


37/41

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

El apartado 5 del artículo 45 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad el imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita.

Las citadas circunstancias no se dan en el presente caso, lo que impide apreciar la existencia de motivos para la aplicación de la facultad contemplada en el artículo 45.5, debido, por un lado, a que no obra en el expediente ningún elemento que lleve a apreciar la concurrencia de alguna de las circunstancias previstas del referido artículo y, por otro, a la especial diligencia y conocimiento de la normativa de protección de datos


38/41

que se ha de exigir a las entidades profesionales cuando, como ocurre con la entidad imputada, el tratamiento de datos personales constituye parte habitual y esencial de su actividad. Las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos (como de forma reiterada sostiene la Audiencia Nacional, entre otras en sentencia de 26 de noviembre de 2008).

Asimismo, la sentencia de 21 de enero de 2004 de la Audiencia Nacional ha señalado que dicho precepto “…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos” (rec. núm. 1939/2001).

E incidiendo en este aspecto, la sentencia de la Audiencia Nacional de fecha 20 de noviembre de 2013, respecto a la solitud de aplicación del apartado 5 del artículo 45 de la LOPD, dice que:

“Si ello lo relacionamos con que para aminorar Ia sanción, a tenor del apartado 5 del artículo 45 LOPD, deben concurrir dos o más circunstancias del apartado 4 del mismo artículo 45, y además de manera “significativa”, concurrencia significativa que no se da en el presente supuesto y que por otra parte, en el mismo apartado 4, se prevé como circunstancia agravante Ia reincidencia, y es un hecho notorio Ia reiteración de conductas infractoras en materia de protección de datos por parte de (…), de todo ello concluimos que el articulo 45.5 LOPD no puede ser aplicado en el caso” (R. núm. 279/011).

Por lo que respecta a los criterios de graduación de las sanciones que contempla el artículo 45.4 de la LOPD, hay que considerar que en el presente caso concreto están presentes varias circunstancias que operan como agravantes, a saber:

1. Por la vinculación de la actividad del infractor con la realización de tratamientos de carácter personal (apartado 4.c), pues la actividad empresarial de la entidad imputada exige un continuo tratamiento de datos de carácter personal, tanto de sus clientes como de terceros, que se traduce en un deber de extremar la diligencia a fin de garantizar una tutela efectiva del derecho fundamental que nos ocupa.

La sentencia de la Audiencia Nacional de 17 de octubre de 2007 (Rec. 63/2006) exige a estas entidades que observen un adecuado nivel de diligencia, e indica a este respecto: “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.

2. En relación con el grado de intencionalidad (apartado 4.f), recordar con la Audiencia Nacional en su sentencia de 12 de noviembre de 2007 (Rec 351/2006), el


39/41

siguiente criterio: “Cuando concurre una falta de diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche sancionador sin que el hecho de que no exista actuación dolosa deba conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido impuesta en su grado mínimo”. Por tal razón, si bien es cierto que no es posible sostener en el presente caso que las entidades hubieran actuado intencionadamente o con dolo, no cabe ninguna duda de que incurrieron en una grave falta de diligencia.

No cabe duda de que la culpabilidad constituye nota esencial en materia sancionadora y que la llamada responsabilidad objetiva no tiene cabida en Derecho administrativo sancionador. Efectivamente, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del procedimiento Administrativo Común (en lo sucesivo LRJPAC) dispone que “sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia”. Esta simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias 15/1999, de 4 de julio, y 76/1990, de 26 de abril) y la jurisprudencia mayoritaria de nuestro Tribunal Supremo (por todas Sentencia de 23 de enero de 1998), así como las exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa.

El Tribunal Supremo (Sentencias de 5 de julio de 1998 y 2 de marzo de 1999) viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible.

Asimismo, conviene recordar que el elemento de la exigibilidad de una conducta diferente es considerado por el Tribunal Supremo como un elemento delimitador de la culpabilidad de las conductas sancionables (SSTS de fecha 23 de octubre de 2006 y 22 de noviembre de 2004), ya que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Así, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva.

No obstante lo anterior, la Sentencia de la Audiencia Nacional dictada el 21 de septiembre de 2005, Recurso 937/2003, establece que “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 113/2001) que la comisión de la infracción prevista en el art. 77.3 d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del art. 130 de la Ley 30)1992, lo cierto es que la expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado”

3. Por las medidas adoptadas (apartado 4.i), no se acredita que en los hechos concretos se hubieran tomado ninguna medida, que de haberse producido, habría evitado los hechos como el denunciado.

En el presente caso no consta que ni PLENISAN, MSP o MEYDIS hayan implantado medidas suficientes para verificar, en forma fehaciente, la licitud del


40/41

tratamiento efectuado utilizados para desarrollar en beneficio de aquélla campañas de marketing directo, lo que lleva a considerar la existencia del elemento subjetivo de culpabilidad en la conducta de PLENISAN y MSP en el ilícito administrativo imputado, existente también en el caso de MEYDIS.

Por todo ello, procede imponer una multa cuyo importe se encuentre entre 40.001 € y 300.000 €, en aplicación de lo previsto en el apartado 2 del citado artículo 45, al tener la infracción imputada la consideración de grave en cualquier caso.

En el presente caso, por tanto, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, en particular, la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal (apartado 4.c), el grado de intencionalidad (apartado 4.f) y en relación a las medidas adoptadas (apartado 4.i), procede imponer por ello sendas multas de cuantía próxima al mínimo de 60.000 € a cada entidad por la infracción cometida.

Vistos los preceptos citados y demás de general aplicación,

La Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad PLENISAN, S.L. una multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

SEGUNDO: IMPONER a la entidad MEYDIS, S.L. una multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

TERCERO: IMPONER a la entidad MACRO SELECT PRINT, S.L. una multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma y en relación también con los artículos 45 y 46 del RLOPD; infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

CUARTO: NOTIFICAR la presente Resolución a PLENISAN, S.L., a MEYDIS, S.L., a MACRO SELECT PRINT, S.L. y a Dª. A.A.A..

QUINTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000 abierta a nombre de la Agencia


41/41

Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del RLOPD.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en los artículos 123 y 124 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Mar España MartíDirectora de la Agencia Española de Protección de Datos


1/41 - aepd.es · MEYDIS proveerá a MSP de los siguientes servicios: “1. Impresión y envío de...

Documents

Transcript of 1/41 - aepd.es · MEYDIS proveerá a MSP de los siguientes servicios: “1. Impresión y envío de...