1/48 - aepd · 1/48 procedimiento nº ps/00013/2017 resoluciÓn: r/01441/2017 en el procedimiento...

1/48

Procedimiento Nº PS/00013/2017

RESOLUCIÓN: R/01441/2017

En el procedimiento sancionador PS/00013/2017, instruido por la Agencia Española de Protección de Datos a la entidad MACRO SELECT PRINT S.L., MEYDIS S.L. y PLENISAN, S.L., vista la denuncia presentada por D. A.A.A. y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha de 21 de enero de 2016 tiene entrada en esta Agencia un escrito de D. A.A.A. (en lo sucesivo el denunciante) en el que declara estar recibiendo cartas publicitarias nominativas sin haber facilitado sus datos a quien las envía. Aporta copia de la siguiente documentación:

Convocatoria a un evento comercial a desarrollar en fecha 13 de marzo de 2013 en el RESTAURANTE XXX convocado por SISTEMAS MEDICOS PROFESIONALES, entidad que posteriormente ha cambiado su denominación a PLENISAN.

Al pie de la carta figura que la información y personalización del envío ha sido realizado por MEGADATA SERVICES S.L. pudiendo ejercer los derechos ARCO en el apartado de correos ***APARTADO.1.

Convocatoria a un evento comercial a desarrollar en fecha 22 de agosto de 2013 en el RESTAURANTE XXX convocado por SISTEMAS MEDICOS PROFESIONALES, entidad que posteriormente ha cambiado su denominación a PLENISAN.


Convocatoria a un evento comercial a desarrollar en fecha 14 de mayo de 2013 en el RESTAURANTE XXX convocado por SISTEMAS MEDICOS PROFESIONALES, entidad que posteriormente ha cambiado su denominación a PLENISAN.


Las anteriores cartas estaban prescritas o a punto de prescribir a fecha de entrada de la denuncia en la Agencia.

También aporta:

C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

2/48

Convocatoria a un evento comercial a desarrollar en fecha 10 de junio de 2015 en el RESTAURANTE XXX convocado por PLENISAN.

Convocatoria a un evento comercial a desarrollar en fecha 11 de noviembre de 2015 en el RESTAURANTE XXX convocado por PLENISAN.

Al pie de ambas cartas figura que la información y personalización del envío ha sido realizado por MACRO SELECT PRINT S.L. pudiendo ejercer los derechos ARCO en el apartado de correos ***APARTADO.1.

En todas las cartas citadas anteriores figura el nombre, la calle y el número del denunciante, coincidente con la dirección que aparece en la tarjeta censal remitida.

SEGUNDO : A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicita información a diversas entidades, entre otras, MACRO SELECT PRINT S.L. (MSP), MEYDIS S.L. (MEYDIS), PLENISAN, S.L.(PLENISAN) teniendo conocimiento de que:

1. Solicitada información al RESTAURANTE XXX, aporta:

a. Correo electrónico de fecha 28/4/2015 remitido desde una cuenta del dominio pleninsan.com en que se solicitaba la reserva de sala para la realización de un evento en fecha 10 de junio de 2015.

b. Correo electrónico de fecha 15/10/2015 remitido desde una cuenta del dominio pleninsan.com en que se solicitaba la reserva de sala para la realización de un evento en fecha 11 de noviembre de 2015.

2. Con fecha 12 de junio de 2014 se recogió en escritura notarial la constitución de la mercantil MSP.

3. En la misma fecha 12 de junio de 2014 aparece suscrito un contrato en que MEYDIS proveerá a MSP de los siguientes servicios:

<<1. Impresión y envío de las cartas que incluyan las comunicaciones descritas en el expositivo primero de este contrato. Dichos servicios consistirán en cada campana que se lleve a cabo en lo siguiente:

a. Recepción del modelo de carta publicitaria que se deba utilizar en la campaña.

b. Recepción de un fichero generado por EL CLIENTE con los datos de nombre, apellidos y domicilio postal completo de las personas a las que deba hacerse el envío de la comunicación.

Para la transmisión a MEYDIS del modelo y los ficheros mencionados en las dos letras anteriores, podrán utilizarse los siguientes sistemas, a elección del CLIENTE: entrega a través de un ftp, entrega a través de


3/48

servicios de alojamiento cloud, servicios de mensajería, etc.).

c. Impresión de dichos datos en las cartas a enviar.

d. Doblado, ensobrado y franqueo de las cartas.

e. Depósito de las cartas en el correspondiente operador postal para su envío.

II. Adicionalmente, puesto que el CLIENTE carece de infraestructura suficiente para ello, podrá solicitar a MEYDIS que desempeñe funciones de intermediación en la gestión de las relaciones entre EL CLIENTE y los Clientes Finales, de modo que las peticiones de servicio u otras comunicaciones dirigidas desde estos al CLIENTE se hagan utilizando a MEYDIS como canal. En estos casos, MEYDIS se limitará a trasladar al CLIENTE la comunicación que reciba del Cliente Final…>>

4. En fecha 16 de junio de 2014 fue suscrito el contrato entre PLENISAN y MSP encontrándose que figuran en el mismo las siguientes clausulas:

<<IV.- LIST BROKER se compromete al cumplimiento de la Ley Orgánica de Protección de Datos en las campañas que realice para CLIENTE y manifiesta especialmente que no se utilizarán datos de personas inscritas en las Listas Robinson de ADIGITAL y que los datos estarán convenientemente actualizados.

V.- LIST BROKER ofrece absoluta garantía de que los datos que se utilizarán se han obtenido exclusivamente de fuentes accesibles al público que estaban vigentes en el momento del tratamiento de los datos, conforme a lo establecido en la Ley de Protección de Datos. En caso de que no procedan de dichas fuentes, dichos datos habrán sido obtenidos con consentimiento de los afectados para el envío de comunicaciones comerciales de los productos o servicios de CLIENTE. Las partes están conformes en que estas manifestaciones y garantías ofrecidas por LIST BROKER son las determinantes de que CLIENTE realice las campañas de marketing utilizando las bases de datos del LIST BROKER. En caso de que, en algún momento, esas garantías dejasen de ser ciertas, el contrato se resolverá de pleno derecho. A modo de comprobación, CLIENTE podrá exigir a LIST BROKER que, antes de determinada campaña, le facilite un muestreo aleatorio de los datos a utilizar en ella, para que CLIENTE pueda verificar que figuran en las fuentes accesibles al público vigentes…>> Donde LIST BROKER se refiere a MSP.

5. De la información y documentación aportada por Correos respecto del apartado de correos número ***APTDO.1 de Madrid se desprende:

a. Mediante contrato de fecha 22 de junio de 2014 MSP realizó la suscripción anual del apartado de correos citado, el domicilio aportado fue en la (C/...1) Madrid. Aportaban igualmente como teléfono de contacto del administrador el número de línea móvil ***TEL.1.


4/48

b. Junto a la documentación se incluye copia del DNI del administrador de la entidad, en el que figura como domicilio la calle (C/..2).

c. Aparecen como autorizados a retirar la correspondencia del apartado de correos de MSP dos personas que, de la información aportada por la Tesorería General de la Seguridad Social, se ha podido averiguar que trabajan para MEYDIS.

6. En fecha 28 de octubre de 2015 se realizó un intento de inspección a MSP que resultó de imposible realización. Como consecuencia se levantó una diligencia en la que se hizo constar que:

- A las 10 h. se personan los inspectores en calle (C/..3), sede social de MACRO SELECT PRINT S.L., llamando a la puerta en varias ocasiones, no abriendo ni recibiendo contestación desde el interior. Durante la espera se realiza una llamada al número de teléfono ***TEL.1, teléfono conocido del administrador único de la entidad, que no es contestada.

- A las 10:50 se personan nuevamente los inspectores en dicho domicilio, llamando nuevamente, no abriendo ni obteniendo contestación desde el interior. Durante la espera se realiza una nueva llamada al número de teléfono ***TEL.1, que no es contestada.

- Los inspectores se desplazan al bajo del edificio, tomando una foto del buzón correspondiente a dicha vivienda, verificándose que consta en el mismo D. B.B.B., administrador de MACRO SELECT PRINT S.L. Pese a ser el domicilio conocido de MACRO SELECT PRINT S.L. no figura en el buzón referencia alguna a dicha entidad. En el exterior del edificio tampoco se observa indicación alguna que haga pensar que dicha empresa tenga su sede en el mismo.

- Se intenta acceder a la calle (C/..1), pero se observa que no existe dicho número dentro de la calle. Se pregunta en un negocio situado en los bajos de la calle Gandía 8 que confirma que ahí acaba la calle.

- Los inspectores se desplazan posteriormente a la calle (C/..2), y tras llamar a dicho domicilio, atiende una persona, que informa que lleva viviendo un mes en ese domicilio y asegura no conocer a D. B.B.B.. En el buzón de dicha vivienda se encuentra que aparece una etiqueta arrancada parcialmente del mismo, en la que se lee B.B.B. indicativa de que dicha persona ha vivido en la vivienda anteriormente.

- Se trasladan los inspectores actuantes a la sede de ASEPRIN S.L. Al llamar a la puerta una empleada atiende a los inspectores, quienes indican que desean hablar con D. B.B.B., a lo que dicha persona responde:

<<Voy a ver si está>>

Haciendo pasar a los inspectores al recibidor de la entidad, la empleada pasa


5/48

tras una puerta. Momentos posteriores aparece nuevamente e informa:

<<Ese señor no trabaja aquí, es amigo del jefe, yo no lo conozco>>.

Solicitan los inspectores hablar con su jefe, que momentos después sale del despacho. Tras identificarse los inspectores, presentando sus acreditaciones profesionales, solicitan ponerse en contacto con D. B.B.B., la persona que les atiende, que se identifica como D. C.C.C., ......, informa que se trata de un amigo, que ocasionalmente le visita en la entidad y que en alguna ocasión ha solicitado que se le facilite el uso del correo electrónico de la entidad, pero no es empleado ni cliente de ASEPRIN S.L.

Se facilita la tarjeta de uno de los inspectores actuantes, solicitando que transmitan a D. B.B.B. que se ponga en contacto con el mismo. El gerente de ASEPRIN SL, facilita el número de teléfono de dicha persona, que coincide con el ya conocido por la Agencia, que no ha respondido a las múltiples llamadas realizadas.

7. Mediante escrito con fecha 28 de octubre de 2015 el administrador de MSP informa a la Agencia que:

<<Que, en el desarrollo de la actividad de la sociedad que represento, se han abierto diversos procedimientos de investigación y sancionadores por la Agencia Española de Protección de Datos por diversas denuncias, tanto dirigidas contra Macro Select Print, como contra nuestros clientes.

Que de dichas reclamaciones parece deducirse que existe una parte de los datos del fichero que utilizamos para nuestras campañas de marketing que no debe ser legal, pese a que hemos trabajado con él confiando en que cumplía la LOPD y así se lo hemos manifestado siempre a nuestros clientes.

Que lo anterior hace que hayamos tomado la determinación de cesar de inmediato en el uso de dicho fichero y cesar también en la realización de nuestras actividades de marketing para nuestros clientes, por lo que sirva este documento para que conste nuestra voluntad de dar por resueltos los contratos de servicios suscritos hasta la fecha.

Que, como prueba de lo anterior, vamos a solicitar la cancelación de los ficheros que tenemos inscritos en la Agencia Española de protección de Datos. No volveremos a utilizar dichos ficheros, que ya han sido completamente destruidos por nosotros ante la constancia de que parte de sus datos no son legales.

Que pedimos disculpas a nuestros clientes y a los perjudicados por cualquier daño que les hayamos podido causar en la creencia de que los datos que utilizábamos en las campañas eran conformes con la LOPD.

Que, ante tal estado de cosas, comunicamos, por último y desde la fecha de este escrito, el cese definitivo de la sociedad que represento…>>

8. Se ha solicitado al administrador de MSP que informe de la dirección efectiva de


6/48

administración y gestión de la entidad a fin de poder realizar una visita de inspección.

Consta intento de entrega en fecha 3/11/2015 y anotación del cartero “no se hace cargo”. Tras un segundo intento de entrega en fecha 4/11/2015 pasó a lista de correos, resultando la carta finalmente devuelta.

Mediante escrito de fecha 19/5/2016 se remitió una carta a la dirección postal del administrador de MSP. Se realizaron dos intentos de entrega por Correos, en fechas 23 y 30/5/2016, resultando finalmente devuelta la carta como “Caducada”.

Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos.

9. Según consta en las actuaciones previas de inspección con la referencia E/03693/2015, de la que se ha abierto el procedimiento sancionador con la referencia PS/00124/2016, una exempleada de HOME XXI informa, entre otros extremos:

a. Fecha en que comenzó la relación comercial de HOME XXI con MSP.

<<La relación comercial entre HOME XXI y MSP comenzó en julio de 2014 ya que anteriormente la empresa MSP tenía otras razones sociales, detalló a continuación las que recuerdo:

- Megadis

- Mega Data integral services>> Megadis y Mega Data Integral Services son la misma empresa.

b. Respecto de las comunicaciones con MSP:

<<La forma de comunicación era vía telefónica y sobre todo vía email. En los inicios la persona de contacto era ***NOMBRE.1 (no recuerdo el apellido) luego asignaron a D.D.D. (se ha jubilado) y posteriormente tratábamos todo con:

-E.E.E. (***[email protected])-F.F.F.(***[email protected])-G.G.G. (***[email protected])

Estas personas son las que trabajábamos el día a día, luego con otras personas se trataban otros temas, que normalmente se encargaba directamente el gerente o director ejecutivo de la compañía:

-H.H.H. (***[email protected])-I.I.I. (***[email protected])-J.J.J. (***[email protected])-macro select print (***[email protected])EI teléfono donde nos comunicábamos es el ***TEL.2>> Se ha podido


7/48

comprobar que este teléfono es de MEYDIS.

10. Según consta en las actuaciones de inspección con la referencia **REF.1(PS/00435/2015) a una solicitud de datos realizada a MACRO SELECT PRINT S.L. por la Inspección de Datos para presentar un documento ante esta Agencia, fue respondida mediante un correo electrónico procedente de la cuenta ***[email protected] con copia para la cuenta ***[email protected].

11. Mediante escrito con entrada en fecha 15 de junio de 2016 informa la Tesorería General de la Seguridad Social que Dª J.J.J. ha sido empleada de:

- MACRO SELECT PRINT S.L.- DATA INTEGRAL ACTION S.L.- MEGA DATA INTEGRAL SERVICES S.L, (MEGADIS).

De las consultas realizadas al Registro Mercantil Central consta que Dª J.J.J. fue además apoderada de esta última entidad.

De las consultas realizadas al Registro Mercantil Central consta D. K.K.K. como administrador de:

- MEGA DATA INTEGRAL SERVICES S.L, que según consta en el sistema de información de la inspección de datos ha sido incursa en nueve procedimientos sancionadores por hechos similares al ahora investigado.

- DATA INTEGRAL ACTION S.L, que según consta en el sistema de información de la inspección de datos ha sido incursa en veintidós procedimientos sancionadores por hechos similares al ahora investigado.

- TODO DATA INTEGRAL SERVICES, S.L. que según consta en el sistema de información de la inspección de datos ha sido incursa en cuatro procedimientos sancionadores por hechos similares al ahora investigado

12. En la publicidad enviada en las campañas que originaron las denuncias con las referencias E/3566/2011 (PS/00052/2012), E/3558/2013 (PS/00218/2014) y E/4058/2013 (PS/00217/2014) de las que era beneficiario PLENISAN, que entonces cursaba con el nombre de SISTEMAS MEDICOS PROFESIONALES S.L., se observa idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP, indicativa de que el autor pueda ser el mismo.

Es de destacar que, en todos los envíos que se han encontrado durante las investigaciones realizadas en las múltiples denuncias, las piezas publicitarias iban únicamente desde MEYDIS a PLENISAN.

13. De las manifestaciones realizadas por MSP en respuestas a múltiples requerimientos de información realizados en diversos expedientes, la entidad mantiene:

a. Que los datos para las campañas fueron obtenidos de listados


8/48

accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.) revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc. Nunca ha aportado prueba acreditativa de ello.

b. Los parámetros que sirvieron para identificar los destinatarios de la campaña fueron determinados por MSP y consistieron en una segmentación por zona de ubicación del domicilio.

No se ha requerido información a MSP pues ya no responde a las solicitudes de información de la Agencia y ni siquiera recoge las cartas.

14. Solicitada información al BANCO BILBAO VIZCAYA ARGENTARIA, S.A. respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos a MSP, se ha podido comprobar que entre el 10/9/2015 y el 2/2/2015 se han realizado un total de 20 accesos desde la dirección ***IP.1, que está asignada a MEYDIS.

15. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda ha informado que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección ***IP.1. Dicha IP está asignada a MEYDIS.

16. Con entrada en fecha 11/5/2016 se recibe en la Agencia respuesta aportada por PLENISAN en la que aporta:

- Contrato suscrito en fecha 1/4/2013 con D. K.K.K., para la prestación del servicio de:

o Selección y segmentación de datos personales.o Personalización de documentos publicitarios, imprimiendo en ellos los

datos de los destinatarios.

- Solicitud de la reserva realizada en fecha 9 de abril de 2014 del evento de fecha 14 de mayo de 2014 del RESTAURANTE XXX.

- Correos electrónicos emitidos en fecha 17/5/2014 desde una cuenta del dominio sistemas-medicos.com a F.F.F.(empleada de MEYDIS) con el encargo de la campaña para la convocatoria del 14 de mayo de 2014 en el RESTAURANTE XXX.

- Correo electrónico de fecha 23/4/2014 remitido por F.F.F.en que se remite a PLENISAN una prueba de la pieza publicitaria a utilizar.

- Correo electrónico de fecha 23/4/2016 remitido desde una cuenta del dominio sistemas-medicos.com a F.F.F. en que se da la conformidad para dicha pieza publicitaria.

- Carta fechada el 9/5/2014 en que PLENISAN informa a MEGA DATA INTEGRAL


9/48

SERVICES S.L, de la rescisión del contrato debido a la apertura por parte de esta Agencia del procedimiento sancionador PS/00218/2014.

- Factura de fecha 31/5/2014 emitida por MEGADIS por los servicios prestados a PLENISAN durante mayo de 2014.

- Factura emitida en fecha 31/5/2014 por MEYDIS a PLENISAN por los servicios prestados de:

<<CONVOCATORIAS EVENTOS HOTEL

Personalización de hotel

Plegado de carta, ensobrado, cierre de sobre, clasificación y preparación para su distribución (incluye materiales)>> La factura es por un total de 713.165 unidades.

- Ficha contable de SMP según la cual esta entidad ha facturado a PLENISAN en 2014 por importe de 44.956 €

- Ficha contable de MEYDIS según la cual esta entidad ha facturado a PLENISAN en 2014 por importe de 823.047 €

17. Mediante escrito con entrada en fecha 10/5/2016 MEYDIS aporta la siguiente documentación:

- Contrato suscrito en fecha 6/4/2016 entre MEYDIS y PLENISAN por el que la primera proporcionará a la segunda los servicios de Recepción de las piezas publicitarias, doblado, ensobrado y franqueo de las piezas y depósito de la publicidad en el correspondiente operador postal.

- Albarán de entrega fechado el 23/4/2014 según el cual MEGADIS entrega a MEYDIS una serie de cartas personalizadas de PLENISAN.

- Factura emitida en fecha 31/5/2014 por MEYDIS a PLENISAN por los servicios prestados, coincidente con la aportada por PLENISAN.



- Correo electrónico de fecha 23/4/2016 remitido desde una cuenta del dominio sistemas-medicos.com a F.F.F.en que se da la conformidad para dicha pieza publicitaria.

Niega MEYDIS en su escrito de contestación tener suscrito ningún contrato con


10/48

MEGADIS:

<<En las campañas de marketing realizadas por PLENISAN con datos de la empresa MEGA DATA INTEGRAL, mi representada prestaba también a PLENISAN los servicios de doblado, ensobrado y puesta en correos de cartas publicitarias, conforme figura en el contrato suscrito entre ambas y que se adjunta a este escrito. No obstante, en estas campañas, la empresa MEGA DATA INTEGRAL se encargaba con sus propios medios de la impresión de los datos personales de sus ficheros en las piezas publicitarias de PLENISAN. Posteriormente, MEGA DATA INTEGRAL, por encargo de PLENISAN, remitía a MEYDIS las cartas impresas, apiladas en cajas precintadas,… >>

Sin embargo, de la documentación aportada se desprende que:

- MEYDIS recibía el correo electrónico de encargo de la campaña de PLENISAN.

- PLENISAN recibía de MEYDIS las pruebas realizadas.

- MEYDIS recibía de PLENISAN la conformidad de las pruebas.

Conduce a pensar que era MEYDIS la entidad que realizaba la impresión de las cartas, para lo que necesitó tratar los datos de los destinatarios.

18. Mediante escrito de fecha 19 de julio de 2016 se solicitó información a PLENISAN. El servicio de correos realizó dos intentos de entrega en fechas 27 y 28/7/2016, resultando finalmente devuelta la carta en fecha 6/8/2016 por no haber sido retirada de la oficina de Correos.

19. Mediante escrito de fecha 28 de julio de 2016 se remitió solicitud de información a MEYDIS. La citada entidad remitió un escrito con entrada en fecha 22 de agosto de 2016 en que planteaba ciertas dudas respecto de la solicitud de información realizada.

20. Mediante escrito de fecha 30 de agosto de 2016 se respondió a MEYDIS respecto de las dudas planteadas, emplazando nuevamente a la entidad para que en 10 días hábiles aportase respuesta a la solicitud anteriormente realizada. Consta entrega de dicho escrito en fecha 2 de septiembre de 2016. A fecha 11 de enero de 2017, la solicitud no ha sido respondida.

21. Mediante escrito de fecha 9/9/2016 se reiteraba solicitud de información a PLENISAN. El servicio de Correos efectuó dos intentos de entrega en fechas 15 y 16/9/2016, devolviendo la carta en fecha 26/9/2016 tras no haber sido retirada de la oficina de Correos.


11/48

TERCERO: Con fecha 17 de enero de 2017, la Directora de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a MACRO SELECT PRINT, S.L., MEYDIS, S.L., y PLENISÁN, S.L. con arreglo a lo dispuesto en el artículo 127 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD), por la presunta infracción cometida por cada una de las entidades del artículo 6.1, en relación con el 30.1, de la LOPD, tipificada como infracción grave en el artículo 44.3.b) de la citada Ley Orgánica, pudiendo ser sancionada cada una, con multa de 60.000 €, de acuerdo con el artículo 45.2 de dicha Ley Orgánica.

CUARTO: Con fecha 18/01/2017 se intentó la notificación a MEYDIS S.L. través de la entidad Envialia World, S.L. siendo devuelto por “rehusado/rechazado”.

Con fecha 19/01/2017 fue notificado el acuerdo de inicio a MEYDIS S.L. a través del Servicios de Correos, que mediante escrito de fecha 9/02/2017 formuló alegaciones, significando que:

<<…Se incoa este procedimiento contra mi representada erróneamente, porque Meydis no intervino en ninguna de las dos campaña de marketing aquí denunciadas, que, por lo que se deduce del expediente, consisten en sendas convocatorias comerciales de la empresa Plenisan para eventos a realizar los días 10 de junio y 11 de noviembre de 2015. Mi representada no trató los datos del denunciante, porque no participé en estas dos concretas campañas de marketing.

De hecho, resulta sorprendente la apertura de este procedimiento cuando no figura en el expediente ningún elemento que acredite la participación de Meydis en estas dos campañas. Ni siquiera existe una orden de servicio, una factura o un documento de pago que puedan resultar indiciarios, de algún modo, que Meydis intervino en ellas.

No cabe olvidar que, al margen de impresiones subjetivas, nos encontramos en un procedimiento sancionador, y que, según dispone el art. 53.2 b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas: “2. Además de los derechos previstos en el apartado anterior, en el caso de procedimientos administrativos de naturaleza sancionadora, los presuntos responsables tendrán los siguientes derechos: (...) b) A la presunción de no existencia de responsabilidad administrativa mientras no se demuestre lo contrario.”

El derecho a la presunción de inocencia se encuentra recogido en el art. 6.2 del Convenio para la Protección de los Derechos Humanos y Libertades Fundamentales. La STEDH de 20 de marzo de 2001, caso Tefner contra Austria (…)

Por su parte la jurisprudencia española, al interpretar el art. 24.2 de la CE en relación con el art. 137 de la derogada Ley 30/1992 sostiene que la Administración no puede sancionar sin pruebas, de modo que ha de probar suficientemente los hechos que imputa al presunto culpable, y obtener una prueba de cargo lícita que logre vencer la presunción -STS de 5 de noviembre de 1999-.

Para que dicha presunción de inocencia quede desvirtuada, será necesario verificar si


12/48

se han practicado, con contradicción de partes, pruebas de cargo válidas y con un significado incriminatorio suficiente (más allá de toda duda razonable) para estimar acreditada la intervención del encartado en la ejecución de los hechos integrantes de la infracción; todo ello conforme a las exigencias que viene imponiendo de forma reiterada la jurisprudencia del Tribunal Constitucional (SSTC 137/2005, 300/2005, 328/2006, 117/2007, 111/2008 y 25/2011, entre otras).

Dado que no existe en el expediente ninguna prueba real que permita concluir que Meydis intervino en estas campañas de marketing, lo que parece servir de fundamento a la AEPD para imputar a Meydís es un falso silogismo que consiste en presumir la intervención de mí representada en ellas por el hecho de que sí lo hizo en otras diferentes de ese anunciante. Pero esa deducción parte de una base insuficiente para fundar una imputación en este concreto procedimiento sancionador, porque se basa en hechos acaecidos en campañas de marketing distintas y no ha quedado acreditado de ningún modo que Meydis haya participado en las ahora denunciadas.

La supuesta prueba indiciaria en la que se basa la imputación a mi representada ha de producirse sin menoscabo del derecho a la presunción de inocencia, como el Tribunal Constitucional viene sosteniendo desde sus primeras sentencias sobre esta materia (SSTC 174/1985…).

La existencia de supuestos indicios no es suficiente para destruir la presunción de inocencia, en su vertiente de regla de juicio, a pesar de que se parta de una actividad probatoria lícita, cuando del hecho base acreditado no se infiere de modo inequívoco la conclusión a la que se llega, es decir, cuando se trata de una inferencia irrazonable o de inferencias no concluyentes por excesivamente abiertas, débiles o indeterminadas, lo que equivale a rechazar la conclusión cuando la deducción sea tan inconcluyente que en su seno quepa tal pluralidad de conclusiones alternativas que ninguna de ellas pueda darse por probada ( SSTC 189/1998, 220/1998…), No cabe confundir una prueba indiciaría de cargo con las meras sospechas o conjeturas.

Además, la prueba basada en indicios exige la acreditación del hecho base, cual es en este caso la participación de Meydis en las campañas de marketing denunciadas. Y tal hecho base no se ha acreditado…>>

QUINTO: Con fecha 18/01/2017 se intentó la notificación a Macro Select Print S.L. en su domicilio social (C/...3) a través de la entidad Envialia World, S.L. siendo devuelto por “dirección incorrecta”.

Con fecha 30/01/2017 fue notificado el acuerdo de inicio a Macro Select Print S.L. en su domicilio social (C/...3), a través del Servicios de Correos. Sin que a la fecha de hoy se haya recibido escrito de alegación alguno.

SEXTO: Con fecha 18/01/2017 se intentó la notificación a Plenisan S.L. en su domicilio social (C/...4) (Valencia) a través de la entidad Envialia World, S.L. siendo devuelto por “ausente con nota”.


13/48

Con fecha 19/01/2017 y 24/01/2014 se intentó la notificación a Plenisan S.L. en su domicilio social (C/...4) (Valencia) a través a través del Servicio de Correos, siendo devuelto el 2/02/2017 por “no retirado en oficina”.

Por todo ello, el citado acuerdo fue remitido para su publicación en el Boletín Oficial del Estado, lo que se produjo el 13/02/2017. Sin que a la fecha de hoy se haya recibido escrito de alegación alguno.

SÉPTIMO: Con fecha 17/02/2017 se inició el período de práctica de pruebas, en el que se acordó entre otras: “…Incorporar al expediente copia de las resoluciones de los PS/124/2016 y PS/128/2016…”

OCTAVO: Mediante escrito de 22/03/2017, se inicia el trámite de Audiencia de acuerdo con el artículo 82 de la ley 39/2015, poniendo de manifiesto el expediente a MEYDIS concediéndole un plazo de 10 días hábiles para formular alegaciones y aportar cuantos documentos estime de interés. Con fecha 27/03/2017 MEYDIS solicita copia de diversos documentos, que le fueron remitidos el 28/03/2017.

NOVENO: Con fecha 26/04/2017 se formuló propuesta de resolución, proponiendo:

Que por la Directora de la Agencia Española de Protección de Datos se sancione a MACRO SELECT PRINT S.L. con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

Que por la Directora de la Agencia Española de Protección de Datos se sancione a MEYDIS S.L. con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

Que por la Directora de la Agencia Española de Protección de Datos se sancione a PLENISAN, S.L. con multa de 60.000 € (sesenta mil euros) por la infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica.

Dicha propuesta fue notificada a MEYDIS, S.L. en fecha 3/05/2017.

DECIMO: Con fecha 18/05/2017 tiene entrada en esta Agencia escrito de alegaciones de MEYDIS S.L. frente a la citada propuesta de resolución en el que comunica:

<<…Dado que no existe en el expediente ninguna prueba real que permita concluir que Meydis intervino en estas campañas de marketing, lo que parece servir de fundamento a la AEPD para imputar a Meydis es un falso silogismo que consiste en


14/48

presumir la intervención de mi representada en ellas por el hecho de que sí lo hizo en otras diferentes de ese anunciante. Pero esa deducción parte de una base insuficiente para fundar una imputación en este concreto procedimiento sancionador, porque se basa en hechos acaecidos en campañas de marketing distintas y no ha quedado acreditado de ningún modo que Meydis haya participado en las ahora denunciadas (…)

Curiosamente, se da la circunstancia de que esta misma forma de actual se ha producido, como bien conoce la AEPD, en los otros catorce procedimientos sancionadores incoados contra mi mandante, siendo artífice de todas las Actuaciones Previas de Inspección D (…), inspector de esa Agencia.

b) Por otra parte, al haber dejado transcurrir casi doce meses entre el momento en que se recibe una denuncia y cuando se nos notifica la apertura de un expediente sancionador, Meydis no ha tenido conocimiento de la posible ilegalidad de las campañas de marketing hasta un año después de que estas tuvieran lugar, por lo que, durante ese espacio temporal, las siguió llevando a cabo, lo cual ha ocasionado un número desorbitado de procedimientos sancionadores en los que nos vemos encartados.

Si, en el momento en que la AEPD recibió la primera denuncia, hubiese realizado sin dilación las actuaciones previas y hubiese incoado procedimiento sancionador contra mi representada (si así lo estimaba oportuno), se hubiera cesado inmediatamente en la realización de las campañas publicitarias. No habiéndosenos notificado la posible ilegalidad de las campañas hasta un año después de recibir las denuncias, mi representada, ante el desconocimiento de que violaban la Ley y, confiando legítimamente en que la inactividad de la administración implicaba aquiescencia, siguió participando en su ejecución (…)

Del análisis de los expedientes administrativos referenciados (excepto el presente, en el que, como dijimos, mi representada ni siquiera participó en los hechos) se deduce que, en todos los casos, los hechos que ocasionan su apertura son idénticos y derivan del envío de una comunicación comercial de terceras empresas con datos de ficheros de la entidad Macro Select Print, S.L. (MSP), para la convocatoria a un acto de presentación de los productos de aquellas (…)

Pues bien, de ser ciertas las imputaciones que hace a Meydis la AEPD, en el caso del procedimientos sancionadores incoado, en relación con los anteriores, concurrirían todas las circunstancias exigidas por el artículo 29.6 referido. Por ello, una vez incoados procedimientos sancionadores por esos mismos hechos, la AEPD, aplicando imperativamente dicho precepto, no debería haber abierto el presente procedimiento sancionador hasta que en aquel hubiese recaído resolución ejecutiva. Habiéndose abierto este otro procedimiento sancionador de forma indebida, debe ser anulado…>>

HECHOS PROBADOS

PRIMERO:. Con fecha de 21 de enero de 2016 tiene entrada en esta Agencia escrito del denunciante en el que declara estar recibiendo cartas publicitarias nominativas sin haber facilitado sus datos a quien las envía. Aporta copia de la siguiente documentación:

Convocatoria a un evento comercial a desarrollar en fecha 10 de junio de 2015


15/48

en el RESTAURANTE XXX convocado por PLENISAN.



En todas las cartas citadas anteriores figura el nombre, la calle y el número del denunciante, coincidente con la dirección que aparece en su tarjeta censal.

SEGUNDO: Solicitada información al RESTAURANTE XXX, aporta:

a. Correo electrónico de fecha 28/4/2015 remitido desde una cuenta del dominio pleninsan.com en que se solicitaba la reserva de sala para la realización de un evento en fecha 10 de junio de 2015.

b. Correo electrónico de fecha 15/10/2015 remitido desde una cuenta del dominio pleninsan.com en que se solicitaba la reserva de sala para la realización de un evento en fecha 11 de noviembre de 2015.

TERCERO: Con fecha 12 de junio de 2014 se firma la escritura de constitución de la mercantil MSP, ante notario.

CUARTO: En la misma fecha 12 de junio de 2014 aparece suscrito un contrato en que MEYDIS proveerá a MSP de los siguientes servicios:

<<1. Impresión y envío de las cartas que incluyan las comunicaciones descritas en el expositivo primero de este contrato. Dichos servicios consistirán en cada campana que se lleve a cabo en lo siguiente:

c. Recepción del modelo de carta publicitaria que se deba utilizar en la campaña.

d. Recepción de un fichero generado por EL CLIENTE con los datos de nombre, apellidos y domicilio postal completo de las personas a las que deba hacerse el envío de la comunicación.

Para la transmisión a MEYDIS del modelo y los ficheros mencionados en las dos letras anteriores, podrán utilizarse los siguientes sistemas, a elección del CLIENTE: entrega a través de un ftp, entrega a través de servicios de alojamiento cloud, servicios de mensajería, etc.).

e. Impresión de dichos datos en las cartas a enviar.

f. Doblado, ensobrado y franqueo de las cartas.


16/48

g. Depósito de las cartas en el correspondiente operador postal para su envío.

II. Adicionalmente, puesto que el CLIENTE carece de infraestructura suficiente para ello, podrá solicitar a MEYDIS que desempeñe funciones de intermediación en la gestión de las relaciones entre EL CLIENTE y los Clientes Finales, de modo que las peticiones de servicio u otras comunicaciones dirigidas desde estos al CLIENTE se hagan utilizando a MEYDIS como canal. En estos casos, MEYDIS se limitará a trasladar al CLIENTE la comunicación que reciba del Cliente Final…>>

QUINTO: En fecha 16 de junio de 2014 fue suscrito el contrato entre PLENISAN y MSP encontrándose que figuran en el mismo las siguientes clausulas:

<<IV.- LIST BROKER se compromete al cumplimiento de la Ley Orgánica de Protección de Datos en las campañas que realice para CLIENTE y manifiesta especialmente que no se utilizarán datos de personas inscritas en las Listas Robinson de ADIGITAL y que los datos estarán convenientemente actualizados.

V.- LIST BROKER ofrece absoluta garantía de que los datos que se utilizarán se han obtenido exclusivamente de fuentes accesibles al público que estaban vigentes en el momento del tratamiento de los datos, conforme a lo establecido en la Ley de Protección de Datos. En caso de que no procedan de dichas fuentes, dichos datos habrán sido obtenidos con consentimiento de los afectados para el envío de comunicaciones comerciales de los productos o servicios de CLIENTE. Las partes están conformes en que estas manifestaciones y garantías ofrecidas por LIST BROKER son las determinantes de que CLIENTE realice las campañas de marketing utilizando las bases de datos del LIST BROKER. En caso de que, en algún momento, esas garantías dejasen de ser ciertas, el contrato se resolverá de pleno derecho. A modo de comprobación, CLIENTE podrá exigir a LIST BROKER que, antes de determinada campaña, le facilite un muestreo aleatorio de los datos a utilizar en ella, para que CLIENTE pueda verificar que figuran en las fuentes accesibles al público vigentes…>> Donde LIST BROKER se refiere a MSP.

SEXTO: De la información y documentación aportada por Correos respecto del apartado de correos número ***APTDO.1 de Madrid se desprende:

Mediante contrato de fecha 22 de junio de 2014 MSP realizó la suscripción anual del apartado de correos citado, el domicilio aportado fue en la (C/...1) Madrid. Aportaban igualmente como teléfono de contacto del administrador el número de línea móvil ***TEL.1.

Junto a la documentación se incluye copia del DNI del administrador de la entidad, en el que figura como domicilio la calle (C/..2).

Aparecen como autorizados a retirar la correspondencia del apartado de correos


17/48

de MSP dos personas que, de la información aportada por la Tesorería General de la Seguridad Social, se ha podido averiguar que trabajan para MEYDIS.

SEPTIMO: En fecha 28 de octubre de 2015 se realizó un intento de inspección a MSP que resultó de imposible realización. Como consecuencia se levantó una diligencia en la que se hizo constar que:

- A las 10 h. se personan los inspectores en calle (C/..3), sede social de MACRO SELECT PRINT S.L., llamando a la puerta en varias ocasiones, no abriendo ni recibiendo contestación desde el interior. Durante la espera se realiza una llamada al número de teléfono ***TEL.1, teléfono conocido del administrador único de la entidad, que no es contestada.

- A las 10:50 se personan nuevamente los inspectores en dicho domicilio, llamando nuevamente, no abriendo ni obteniendo contestación desde el interior. Durante la espera se realiza una nueva llamada al número de teléfono ***TEL.1, que no es contestada.

- Los inspectores se desplazan al bajo del edificio, tomando una foto del buzón correspondiente a dicha vivienda, verificándose que consta en el mismo D. B.B.B., administrador de MACRO SELECT PRINT S.L. Pese a ser el domicilio conocido de MACRO SELECT PRINT S.L. no figura en el buzón referencia alguna a dicha entidad. En el exterior del edificio tampoco se observa indicación alguna que haga pensar que dicha empresa tenga su sede en el mismo.

- Se intenta acceder a la calle (C/..1), pero se observa que no existe dicho número dentro de la calle. Se pregunta en un negocio situado en los bajos de la calle Gandía 8 que confirma que ahí acaba la calle.

- Los inspectores se desplazan posteriormente a la calle (C/..2), y tras llamar a dicho domicilio, atiende una persona, que informa que lleva viviendo un mes en ese domicilio y asegura no conocer a D. B.B.B.. En el buzón de dicha vivienda se encuentra que aparece una etiqueta arrancada parcialmente del mismo, en la que se lee B.B.B. indicativa de que dicha persona ha vivido en la vivienda anteriormente.

- Se trasladan los inspectores actuantes a la sede de ASEPRIN S.L. Al llamar a la puerta una empleada atiende a los inspectores, quienes indican que desean hablar con D. B.B.B., a lo que dicha persona responde:

<<Voy a ver si está>>

Haciendo pasar a los inspectores al recibidor de la entidad, la empleada pasa tras una puerta. Momentos posteriores aparece nuevamente e informa:

<<Ese señor no trabaja aquí, es amigo del jefe, yo no lo conozco>>.


18/48

Solicitan los inspectores hablar con su jefe, que momentos después sale del despacho. Tras identificarse los inspectores, presentando sus acreditaciones profesionales, solicitan ponerse en contacto con D. B.B.B., la persona que les atiende, que se identifica como D. C.C.C., ......, informa que se trata de un amigo, que ocasionalmente le visita en la entidad y que en alguna ocasión ha solicitado que se le facilite el uso del correo electrónico de la entidad, pero no es empleado ni cliente de ASEPRIN S.L.

Se facilita la tarjeta de uno de los inspectores actuantes, solicitando que transmitan a D. B.B.B. que se ponga en contacto con el mismo. El gerente de ASEPRIN SL, facilita el número de teléfono de dicha persona, que coincide con el ya conocido por la Agencia, que no ha respondido a las múltiples llamadas realizadas.

OCTAVO: Mediante escrito con fecha 28 de octubre de 2015 el administrador de MSP informa a la Agencia que:

<<Que, en el desarrollo de la actividad de la sociedad que represento, se han abierto diversos procedimientos de investigación y sancionadores por la Agencia Española de Protección de Datos por diversas denuncias, tanto dirigidas contra Macro Select Print, como contra nuestros clientes.

Que de dichas reclamaciones parece deducirse que existe una parte de los datos del fichero que utilizamos para nuestras campañas de marketing que no debe ser legal, pese a que hemos trabajado con él confiando en que cumplía la LOPD y así se lo hemos manifestado siempre a nuestros clientes.

Que lo anterior hace que hayamos tomado la determinación de cesar de inmediato en el uso de dicho fichero y cesar también en la realización de nuestras actividades de marketing para nuestros clientes, por lo que sirva este documento para que conste nuestra voluntad de dar por resueltos los contratos de servicios suscritos hasta la fecha.

Que, como prueba de lo anterior, vamos a solicitar la cancelación de los ficheros que tenemos inscritos en la Agencia Española de protección de Datos. No volveremos a utilizar dichos ficheros, que ya han sido completamente destruidos por nosotros ante la constancia de que parte de sus datos no son legales.

Que pedimos disculpas a nuestros clientes y a los perjudicados por cualquier daño que les hayamos podido causar en la creencia de que los datos que utilizábamos en las campañas eran conformes con la LOPD.

Que, ante tal estado de cosas, comunicamos, por último y desde la fecha de este escrito, el cese definitivo de la sociedad que represento…>>

Se ha solicitado al administrador de MSP que informe de la dirección efectiva de administración y gestión de la entidad a fin de poder realizar una visita de inspección.

Consta intento de entrega en fecha 3/11/2015 y anotación del cartero “ no se


19/48

hace cargo ”. Tras un segundo intento de entrega en fecha 4/11/2015 pasó a lista de correos, resultando la carta finalmente devuelta.

Mediante escrito de fecha 19/5/2016 se remitió una carta a la dirección postal del administrador de MSP. Se realizaron dos intentos de entrega por Correos, en fechas 23 y 30/5/2016, resultando finalmente devuelta la carta como “Caducada”.

Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos.

NOVENO: Según consta en las actuaciones previas de inspección con la referencia E/03693/2015, de las que se deriva el procedimiento sancionador con la referencia PS/00124/2016, una exempleada de HOME XXI informa, entre otros extremos:

Fecha en que comenzó la relación comercial de HOME XXI con MSP.

<<La relación comercial entre HOME XXI y MSP comenzó en julio de 2014 ya que anteriormente la empresa MSP tenía otras razones sociales, detalló a continuación las que recuerdo:

- Megadis

- Mega Data integral services>> Megadis y Mega Data Integral Services son la misma empresa.

Respecto de las comunicaciones con MSP:

<<La forma de comunicación era vía telefónica y sobre todo vía email. En los inicios la persona de contacto era ***NOMBRE.1 (no recuerdo el apellido) luego asignaron a D.D.D. (se ha jubilado) y posteriormente tratábamos todo con:

-E.E.E. (***[email protected])-F.F.F.(***[email protected])-G.G.G. (***[email protected])

Estas personas son las que trabajábamos el día a día, luego con otras personas se trataban otros temas, que normalmente se encargaba directamente el gerente o director ejecutivo de la compañía:

-H.H.H. (***[email protected])-I.I.I. (***[email protected])-J.J.J. (***[email protected])-macro select print (***[email protected])EI teléfono donde nos comunicábamos es el ***TEL.2>> Se ha podido comprobar que este teléfono es de MEYDIS.

DECIMO: Según consta en las actuaciones de inspección con la referencia **REF.1(PS/00435/2015) a una solicitud de datos realizada a MACRO SELECT PRINT


20/48

S.L. por la Inspección de Datos para presentar un documento ante esta Agencia, fue respondida mediante un correo electrónico procedente de la cuenta ***[email protected] con copia para la cuenta ***[email protected].

UNDECIMO: Mediante escrito con entrada en fecha 15 de junio de 2016 informa la Tesorería General de la Seguridad Social que Dª J.J.J.ha sido empleada de:

- MACRO SELECT PRINT S.L.- DATA INTEGRAL ACTION S.L.- MEGA DATA INTEGRAL SERVICES S.L, (MEGADIS).

De las consultas realizadas al Registro Mercantil Central consta que Dª J.J.J. fue además apoderada de esta última entidad.

De las consultas realizadas al Registro Mercantil Central consta D. K.K.K. como administrador de:

- MEGA DATA INTEGRAL SERVICES S.L, que según consta en el sistema de información de la inspección de datos ha sido incursa en nueve procedimientos sancionadores por hechos similares al ahora investigado.

- DATA INTEGRAL ACTION S.L, que según consta en el sistema de información de la inspección de datos ha sido incursa en veintidós procedimientos sancionadores por hechos similares al ahora investigado.

- TODO DATA INTEGRAL SERVICES, S.L. que según consta en el sistema de información de la inspección de datos ha sido incursa en cuatro procedimientos sancionadores por hechos similares al ahora investigado.

DECIMOSEGUNDO: En la publicidad enviada en las campañas que originaron las denuncias con las referencias E/3566/2011 (PS/00052/2012), E/3558/2013 (PS/00218/2014) y E/4058/2013 (PS/00217/2014) de las que era beneficiario PLENISAN, que entonces cursaba con el nombre de SISTEMAS MEDICOS PROFESIONALES S.L., se observa idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP, indicativa de que el autor pueda ser el mismo.

Es de destacar que, en todos los envíos que se han encontrado durante las investigaciones realizadas en las múltiples denuncias, las piezas publicitarias iban únicamente desde MEYDIS a PLENISAN.

DECIMOTERCERO: De las manifestaciones realizadas por MSP en respuestas a múltiples requerimientos de información realizados en diversos expedientes, la entidad mantiene:

Que los datos para las campañas fueron obtenidos de listados accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de


21/48

telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.) revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc. Nunca ha aportado prueba acreditativa de ello.

Los parámetros que sirvieron para identificar los destinatarios de la campaña fueron determinados por MSP y consistieron en una segmentación por zona de ubicación del domicilio.

No se ha requerido información a MSP pues ya no responde a las solicitudes de información de la Agencia y ni siquiera recoge las cartas.

DECIMOCUARTO: Solicitada información al BANCO BILBAO VIZCAYA ARGENTARIA, S.A. respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos a MSP, se ha podido comprobar que entre el 10/9/2015 y el 2/2/2015 se han realizado un total de 20 accesos desde la dirección ***IP.1, que está asignada a MEYDIS.

DECIMOQUINTO: La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda ha informado que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección ***IP.1. Dicha IP está asignada a MEYDIS.

DECIMOSEXTO: Con entrada en fecha 11/5/2016 se recibe en la Agencia respuesta aportada por PLENISAN en la que aporta:

- Contrato suscrito en fecha 1/4/2013 con D. K.K.K., para la prestación del servicio de:

o Selección y segmentación de datos personales.o Personalización de documentos publicitarios, imprimiendo en ellos los

datos de los destinatarios.

- Solicitud de la reserva realizada en fecha 9 de abril de 2014 del evento de fecha 14 de mayo de 2014 del RESTAURANTE XXX.





22/48

- Carta fechada el 9/5/2014 en que PLENISAN informa a MEGA DATA INTEGRAL SERVICES S.L, de la rescisión del contrato debido a la apertura por parte de esta Agencia del procedimiento sancionador PS/00218/2014.

- Factura de fecha 31/5/2014 emitida por MEGADIS por los servicios prestados a PLENISAN durante mayo de 2014.

- Factura emitida en fecha 31/5/2014 por MEYDIS a PLENISAN por los servicios prestados de:

<<CONVOCATORIAS EVENTOS HOTEL

Personalización de hotel

Plegado de carta, ensobrado, cierre de sobre, clasificación y preparación para su distribución (incluye materiales)>> La factura es por un total de 713.165 unidades.

- Ficha contable de SMP según la cual esta entidad ha facturado a PLENISAN en 2014 por importe de 44.956 €

- Ficha contable de MEYDIS según la cual esta entidad ha facturado a PLENISAN en 2014 por importe de 823.047 €

DECIMOSEPTIMO: Mediante escrito con entrada en fecha 10/5/2016 MEYDIS aporta la siguiente documentación:

- Contrato suscrito en fecha 6/4/2016 entre MEYDIS y PLENISAN por el que la primera proporcionará a la segunda los servicios de Recepción de las piezas publicitarias, doblado, ensobrado y franqueo de las piezas y depósito de la publicidad en el correspondiente operador postal.

- Albarán de entrega fechado el 23/4/2014 según el cual MEGADIS entrega a MEYDIS una serie de cartas personalizadas de PLENISAN.

- Factura emitida en fecha 31/5/2014 por MEYDIS a PLENISAN por los servicios prestados, coincidente con la aportada por PLENISAN.





23/48

Niega MEYDIS en su escrito de contestación tener suscrito ningún contrato con MEGADIS:

<<En las campañas de marketing realizadas por PLENISAN con datos de la empresa MEGA DATA INTEGRAL, mi representada prestaba también a PLENISAN los servicios de doblado, ensobrado y puesta en correos de cartas publicitarias, conforme figura en el contrato suscrito entre ambas y que se adjunta a este escrito. No obstante, en estas campañas, la empresa MEGA DATA INTEGRAL se encargaba con sus propios medios de la impresión de los datos personales de sus ficheros en las piezas publicitarias de PLENISAN. Posteriormente, MEGA DATA INTEGRAL, por encargo de PLENISAN, remitía a MEYDIS las cartas impresas, apiladas en cajas precintadas,… >>

Sin embargo, de la documentación aportada se desprende que:

- MEYDIS recibía el correo electrónico de encargo de la campaña de PLENISAN.

- PLENISAN recibía de MEYDIS las pruebas realizadas.

- MEYDIS recibía de PLENISAN la conformidad de las pruebas.

Conduce a pensar que era MEYDIS la entidad que realizaba la impresión de las cartas, para lo que necesitó tratar los datos de los destinatarios.

DECIMOCTAVO: Mediante escrito de fecha 19 de julio de 2016 se solicitó información a PLENISAN. El servicio de correos realizó dos intentos de entrega en fechas 27 y 28/7/2016, resultando finalmente devuelta la carta en fecha 6/8/2016 por no haber sido retirada de la oficina de Correos.

Mediante escrito de fecha 9/9/2016 se reiteraba solicitud de información a PLENISAN. El servicio de Correos efectuó dos intentos de entrega en fechas 15 y 16/9/2016, devolviendo la carta en fecha 26/9/2016 tras no haber sido retirada de la oficina de Correos.

DECIMONOVENO: Mediante escrito de fecha 28 de julio de 2016 se remitió solicitud de información a MEYDIS. La citada entidad remitió un escrito con entrada en fecha 22 de agosto de 2016 en que planteaba ciertas dudas respecto de la solicitud de información realizada.

Mediante escrito de fecha 30 de agosto de 2016 se respondió a MEYDIS respecto de las dudas planteadas, emplazando nuevamente a la entidad para que en 10 días hábiles aportase respuesta a la solicitud anteriormente realizada. Consta entrega de dicho escrito en fecha 2 de septiembre de 2016. A fecha 11 de enero de 2017, la solicitud no ha sido respondida.

VIGESIMO: Que la Inspección de Datos de esta Agencia en fecha 23 de febrero de


24/48

2016 constató que en la URL **URL.1 aparecía una presentación publicitaria de MEYDIS, S.L. en la que se anunciaba que la entidad dispone de más de 12.000.000 de hogares españoles, todos ellos con los siguientes datos personales: persona de contacto (titular del teléfono), dirección postal completa, nivel socioeconómico de la unidad familiar, edad del titular del teléfono y nivel cultural del titular del teléfono.

Que la Inspección de Datos de esta Agencia ha constatado que los parámetros de selección de estas campañas publicitarias son:

VIGESIMOPRIMERO: Que en fechas de 15 de diciembre de 2015 y 29 de mayo de 2016 Dª. **NOMBRE.2, ex empleada de un cliente de MEYDIS, manifestó a esta Agencia que MSP era una entidad meramente formal y que nunca trató con personal de dicha entidad, a pesar de que era la responsable de los asuntos a tratar, y en cambio trató con personal de MEYDIS. Asimismo manifestó que MSP cambiaba de denominación social según le iba indicando MEYDIS. Finalmente manifestó que el esquema de negocio en acciones de marketing postal nominativo respondía a la determinación de las características de los destinatarios por parte del cliente (en este caso PLENISAN) para que el proveedor de la base de datos generase un determinado fichero de destinatarios de dichas acciones.

Añadiendo de forma literal que “siempre hemos trabajado con Meydis con Macro era puro formalismo mediante un contrato pero realmente esta empresa ni siquiera nos facturaba siempre era Meydis incluso los ficheros que nos proporcionaban con la información de clientes nos la mandaban desde Meydis. La única diferencia ha sido que en nuestras cartas íbamos modificando según nos solicitaba Meydis la empresa que era propietaria de los ficheros y que es obligatorio ponerlo en la parte inferior de la carta, esta empresa si no recuerdo mal se cambió unas tres o cuatro veces, por lo que yo tenía entendido era que en cuanto tenían alguna denuncia importante cerraban dicha empresa y abrían otra, pero realmente con la que siempre hemos trabajado es Meydis.(…)

(…)TODO lo tratábamos con Meydis, solicitudes, cambios, estadísticas, composiciones de cartas, etc nunca he tratado con nadie de la empresa Macro Select Print, el correo que aparece en mi antiguo escrito es porque recibí un único mail de esta dirección, todo lo demás eran de Meydis (…)” (folios 341 a 346).

VIGESIMOSEGUNDO: Que desde principios del año 2014 PLENISAN, S.L. recibía en sus cuentas de correo electrónico comunicaciones de destinatarios de la carta invitación de sus eventos comerciales en el que comunicaban que los destinatarios correspondían a personas fallecidas, y otras tenían por objeto negar el consentimiento para utilizar sus datos solicitando la baja de sus envíos.


ENVIAR DATOS CARTA:

- Una x domicilio

- Hombres y Mujeres

- Preferente Mujeres

- Eliminar: Analfabetos

SocioEconómico: Bajo

<entidad hostelera>

<dirección>

<población>

25/48

VIGESIMOTERCERO: Que en la inspección **INSPECCION.1realizada a PLENISAN la Inspección de Datos de esta Agencia constató que, realizada una búsqueda con el criterio MACRO, se encontró 12 correos electrónicos en diferentes carpetas; imprimiéndose un correo electrónico dirigido por PLENISAN a MSP solicitando una muestra de 50 registros, “que estén en los repertorios telefónicos de la ciudad de León, antes del 23-10-2014”. Analizado dicho correo, se comprueba que fue emitido en fecha 2 de noviembre de 2015 desde la cuenta ***[email protected] con destino a la cuenta **EMAIL.1 e, imprimida la respuesta a la anterior solicitud, se constató que se hizo desde la cuenta ***[email protected], anexando el fichero solicitado con datos personales. Analizado dicho correo, se comprobó que aparecía remitido en fecha 2 de noviembre de 2015 desde ***[email protected] con destino a la cuenta ***[email protected]. En el mismo se redirigió un correo electrónico del mismo día y remitido desde la cuenta ***[email protected] con destino a ***[email protected] con copia a otras dos cuentas del dominio meydis.com (folio 338).

VIGESIMOCUARTO: Que ni PLENISAN, S.L., MACRO SELECT PRINT, S.L. o MEYDIS, S.L. han aportado documentación que acredite que dispusiesen del consentimiento del denunciante para el tratamiento de sus datos personales así como que tuviesen con el mismo algún tipo de relación comercial.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 37.g), en relación con el artículo 36, ambos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

II

La Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) en su artículo 64, bajo la rúbrica “Acuerdo de iniciación en los procedimientos de naturaleza sancionadora” establece: “(…)2. El acuerdo de inicio deberá contener al menos: (…) f) (…) indicación de que, en caso de no efectuar alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, éste podrá ser considerado propuesta de resolución cuanto contenga un pronunciamiento preciso acerca de la responsabilidad imputada”. (El subrayado es de la AEPD)

En fecha 17/01/2017 la Directora de la AEPD acordó la apertura de un expediente sancionador contra PLENISAN, S.L., MACRO SELECT PRINT, S.L. y MEYDIS, S.L. en el que se responsabilizaba a cada una de las tres entidades


26/48

mencionadas de una presunta infracción del artículo 6.1 LOPD, en relación con el artículo 30.1 de esa norma. El acuerdo de inicio precisaba que la sanción que podría corresponder a cada una de las infractoras, sin perjuicio del resultado de la instrucción, era, a tenor del artículo 45.2 LOPD, de 60.000 euros.

Los Fundamentos de Derecho del acuerdo de inicio incluían una sucinta mención a los hechos relevantes y a las circunstancias del artículo 45.4 LOPD que concurrían y permitían, en principio, fijar la sanción en 60.000 euros.

La documentación que obra en este expediente acredita que el acuerdo de inicio del presente procedimiento sancionador fue notificado a PLENISAN, S.L., y MACRO SELECT PRINT, S.L. y que ninguna de estas entidades ha presentado alegaciones.

En consecuencia, habida cuenta de que el plazo de diez días fijado en la LPACAP para hacer alegaciones al acuerdo de inicio del expediente sancionador se cumplió sin que las citadas entidades las hubieran presentado y, puesto que dicho acuerdo contenía –tal y como exige el artículo 64.2.f) de la LPACAP- “un pronunciamiento preciso acerca de la responsabilidad imputada”, hemos de concluir que, en el asunto que nos ocupa, el referido acuerdo de inicio se considera propuesta de resolución para las citadas entidades.

III

El artículo 43.1 de la LOPD atribuye la condición de responsables de las infracciones previstas en dicha norma a los responsables de los ficheros o los encargados de los tratamientos, al disponer que: 1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley“. Por tanto, ambas figuras están sujetas al régimen sancionador de la LOPD.

Conforme al artículo 3.d) de la LOPD, el “Responsable del fichero o tratamiento” es “la persona física o jurídica... que decida sobre la finalidad, contenido y uso del tratamiento”. En el artículo 5.1.q) del RLOPD se considera como “Responsable del fichero o tratamiento” a la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

A su vez, los apartados b), c), y e) del mencionado artículo 3 de la LOPD definen los siguientes conceptos:

“b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

e) Afectado o interesado: persona física titular de los datos que sean objeto del


27/48

tratamiento a que se refiere el apartado c) del presente artículo”.

La LOPD, en su artículo 2, y en relación con el ámbito de aplicación objetivo de la norma, lo circunscribe a “los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento automatizado, y a toda modalidad de uso posterior a estos datos (...)”. De acuerdo con esta delimitación, la LOPD establece la definición del fichero y diferencia las figuras de responsable del fichero y de responsable del tratamiento conforme se establece en las definiciones recogidas en los apartados b) y d) de ese artículo 3.b) y d) de la LOPD anteriormente transcritos.

Ello es congruente con las exigencias de la Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que la LOPD incorpora a nuestro ordenamiento jurídico, y conforme a ella, en el caso de los datos personales susceptibles de tratamiento automatizado, se aplica no sólo cuando existe un conjunto organizado (fichero) de dichos datos, sino también cuando se realizan operaciones y procedimientos que permitan la recogida, grabación, conservación, elaboración, bloqueo y cancelación de aquellos, aunque el responsable de ese tratamiento carezca de bases de datos de su titularidad que, de acuerdo con los términos legales, se incluyen en la definición de fichero.

Por otra parte, el Reglamento general de protección de datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 94/46/CE, establece en su artículo 2.1 que el objeto de la norma es el “tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”; norma en vigor y aplicable a partir del 25 de mayo de 2018.

De acuerdo con lo que se ha señalado, el sistema de protección de la LOPD resulta exigible a los responsables del tratamiento aunque carezcan de ficheros e, incluso, a los meros encargados de aquél, a los que la LOPD también puede convertir en responsables conforme a lo previsto en el artículo 12.4 de dicha norma. Una interpretación contraria llevaría a que el sistema de protección de datos pudiera quedar vacío de tutela respecto de un número cada vez mayor de tratamientos que se externalizan.

El Tribunal Supremo, en su sentencia de 26 de enero de 2005, dictada en casación para unificación de doctrina, confirma la doctrina anteriormente expuesta al señalar que “junto al responsable del fichero –que era en la Ley 5/1992- quien estaba sujeto al régimen sancionador establecido en dicha ley (art. 42) en la nueva Ley 15/1999 aparece un nuevo personaje, el responsable del tratamiento, como posible sujeto pasivo de la potestad sancionadora de la que hoy se llama –a partir de la Ley 62/2003, de 30 de diciembre- Agencia Española de Protección de Datos (artículo 43), Véase lo que dicen uno y otro precepto:

Ley 5/1992 <<Art. 42. Responsables: 1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley>>.

Ley 15/1999 << Art. 43. Responsables: 1- Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley>>.

Y esto es así porque la nueva Ley Orgánica –a diferencia de la vieja Ley


28/48

Orgánica, que atribuía la potestad de decidir sobre la finalidad, contenido y uso del tratamiento únicamente al responsable del fichero- reconoce que esa decisión pueda tomarla –y así ocurre muchas veces- el responsable del tratamiento.

He aquí el nuevo texto: Ley 15/1999. <<Artículo 3. A los efectos de la presente Ley se entenderá por: [...] d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento>>.

No se trata como se ve de un mero cambio de redacción, de un simple giro gramatical, o una innovación puramente estilística. Es algo más profundo: estamos ante un cambio esencial en el modo de afrontar la regulación de las relaciones que se entablan entre quienes manejan los datos y el titular de los mismos”.

En este mismo sentido se ha pronunciado la Audiencia Nacional en su sentencia de 3 de marzo de 2004, citada entre otras en su sentencia de 18 de enero de 2006, al señalar que: “El ámbito subjetivo del ilícito administrativo descrito son los <<responsables de los ficheros y los encargados de los tratamientos>>, pues sólo a éstos les es aplicable el régimen sancionador que diseña la Ley Orgánica 15/1999, ex artículo 43.1 de la misma Ley. Esta delimitación subjetiva, ha sido ampliada en las Ley Orgánica 15/1999, a la sazón aplicable, respecto de la prevista en la Ley Orgánica 5/1992, en cuyo artículo 42.1 sólo sometía a su régimen sancionador a los responsables de los ficheros. Ahora bien, debe tenerse en cuenta que el responsable del fichero tiene una configuración más amplia en la Ley de 1999 que en la de 1992, pues sólo así puede explicarse que cuando el artículo 43.1 alude al <<responsable del fichero>>, esta expresión comprende ahora al responsable del tratamiento, ex artículo 3.d) de la Ley Orgánica 15/1999, bajo la expresión <<responsable del fichero o tratamiento>>, desconocida en la Ley de 1992, y si bien es cierto que las definiciones son coincidentes antes y ahora, sin embargo se ha incluido en la vigente Ley a aquellos otros que decidiendo sobre la finalidad, contenido y uso del tratamiento, no sean propiamente responsables del fichero.

Entendemos, por tanto, por responsable del fichero o del tratamiento la persona física o jurídica, que decida sobre la finalidad, contenido y uso del tratamiento; y por encargado del tratamiento quien trate datos personales por cuenta del responsable del tratamiento, según define el artículo 3, apartados d) y g), respectivamente, de la Ley Orgánica 15/1999”.

En concordancia con la doctrina expuesta, en el presente caso concreto se produce un tratamiento de los datos personales de la persona denunciante para la realización de dos envíos de publicidad postal (pues no se acredita relación comercial, tal como se irá analizando con más detalle a continuación), en el que figuraban su nombre, apellidos y dirección postal con número de calle y piso; envío que se realizó por MEYDIS (figurando como responsable MSP en la carta en cuestión) a instancias y por cuenta de PLENISAN, que era la empresa cuyos productos y servicios se promocionaban en tal envíos recibidos por el denunciante, cuyos datos personales, a su vez, fueron tratados por MEYDIS para seleccionar el público objetivo o destinario de la campaña en función de los intereses comerciales de la beneficiaria de la publicidad.

En consecuencia, estas entidades, MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. se consideran responsables de este específico tratamiento de datos personales.


29/48

IV

Expuesto lo que antecede, decir que el artículo 6.1 de la LOPD dispone lo siguiente:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

No obstante, el apartado 2 del mencionado artículo contiene una serie de excepciones a la regla general contenida en aquel apartado 1, estableciendo que: “No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”

El tratamiento de datos sin consentimiento de los afectados constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7 primer párrafo) “…consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).”

Por otra parte, el artículo 6 del ya citado Reglamento general de protección de datos, Reglamento (UE) 2016/679 establece que el tratamiento de datos personales “solo será lícito si se cumple la menos una de las siguientes condiciones”: “a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que le interesado es parte o para la aplicación a petición de este de medidas precontractuales” (…); norma en vigor y aplicable a partir del 25 de mayo de 2018.

Son, pues, elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

En consecuencia, corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste, así, en este sentido la Audiencia Nacional, en sentencia de fecha 31 de mayo de 2006, por todas, viene a señalar que: “Por otra parte es el responsable del tratamiento (por todas, sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el


30/48

consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley”.

“Respecto al consentimiento – dice la sentencia de la Audiencia Nacional de 4 de marzo de 2009 - , es de interés reseñar que el apartado 1 del Art. 6 LOPD exige el consentimiento inequívoco del afectado para el tratamiento de sus datos de carácter personal. El adjetivo "inequívoco" que califica al consentimiento, significa según el Diccionario de la Real Academia Española "que no admite duda o equivocación" y, por contraposición, a equívoco, lo que no puede entenderse o interpretarse en varios sentidos, o que no puede dar ocasión a juicios diversos.

La exigencia de que sea inequívoco está relacionada con la forma de prestar el consentimiento, pues el citado precepto no establece ni requiere que tenga que prestarse de forma determinada, ni de forma expresa o por escrito. Esta Sala viene considerando que no es necesario que dicho consentimiento se preste de forma expresa, con base a que no tendría sentido la exigencia de consentimiento expreso para el tratamiento de los datos especialmente protegidos a que se refiere el Art. 7 LOPD.

Ahora bien, el consentimiento, como ha dicho esta Sala de forma reiterada, entre otras en la sentencia de 20 de septiembre 2006, tiene que ser inequívoco por parte del titular de los datos pues es él y no un tercero quien tiene el poder de disposición y control sobre sus datos personales, aun cuando no se requiere que se produzca de forma expresa o por escrito pero sí debe reunir los requisitos previstos en el artículo 3h) y 6.1 de la LOPD”.

En el presente caso concreto, con fecha de 21 de enero de 2016 tiene entrada en esta Agencia escrito del denunciante en el que declara estar recibiendo cartas publicitarias nominativas sin haber facilitado sus datos a quien las envía. Aporta copia de la siguiente documentación: (…)

Convocatoria a un evento comercial a desarrollar en fecha 10 de junio de 2015 en el RESTAURANTE XXX convocado por PLENISAN.



En las citadas cartas figura el nombre, la calle y el número del denunciante, coincidente con la dirección que aparece en su tarjeta censal.

En efecto, y tal como consta acreditado en el expediente, en los envíos citados, los mismos contaban con el logotipo de PLENISAN, y ref. ***REF.1 (…) ***REF.2 (…), en los que aparecen el nombre y apellidos del denunciante, así como su dirección postal completa; con la convocatoria para proceder a la entrega de un regalo.

En el pie de los citados escritos se recoge que los datos personales tenían su origen en un fichero de MACRO SELECT PRINT, S.L. e informando que los derechos de acceso, rectificación, cancelación u oposición podían ejercitarse en el ***APTDO.1.


31/48

En este sentido, la entidad PLENISAN, desde una cuenta del dominio plenisan.com, solicitó al Restaurante información y disponibilidad de sala para dicha reunión.

El Grupo de Protección de Datos del Artículo 29, creado en virtud del artículo 29 de la Directiva 95/46/CE, como órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad (Comité Europeo de Protección de Datos, de acuerdo con el considerando 139 y el artículo 68.1 del Reglamento General de Protección de Datos de la Unión Europea), en su Dictamen 15/2011 sobre la definición del consentimiento adoptado el 13 de julio de 2011, dice en relación al asunto que estamos analizando que:

“Como se describe a continuación, este requisito obliga a los responsables del tratamiento a crear procedimientos rigurosos para que las personas den su consentimiento; se trata de, o bien buscar un claro consentimiento expreso o bien basarse en determinados tipos de procedimientos para que las personas manifiesten un claro consentimiento deducible. El responsable del tratamiento debe además asegurarse suficientemente de que la persona que da su consentimiento es efectivamente el interesado. Esto tiene especial importancia cuando el consentimiento se autoriza por teléfono o en línea.

La prueba del consentimiento plantea una cuestión relacionada con lo anterior. Los responsables del tratamiento que se basen en el consentimiento pueden desear o necesitar demostrar que el consentimiento se ha obtenido, por ejemplo, en el contexto de un litigio con el interesado. Efectivamente, en algunos casos se les podrá pedir que aporten estas pruebas en el marco de medidas ejecutivas. Como consecuencia de ello y como cuestión de buena práctica los responsables del tratamiento deben crear y conservar pruebas de que el consentimiento fue efectivamente dado, lo que significa que el consentimiento debería ser demostrable”.

El citado Reglamento General de Protección de Datos de la Unión Europea 2016/679 en su artículo 7.1) sintetiza, por su parte, en relación con el consentimiento del interesado que “el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”.

Cabe decir por tanto que, ante la falta de acreditación por parte de las entidades imputadas del consentimiento inequívoco de la persona denunciante para el tratamiento de sus datos personales, y ante la ausencia de cobertura legal que amparase dicho tratamiento sin consentimiento, se estima vulnerado por la entidad imputada el artículo 6.1 de la LOPD.

Abundando en este sentido, procede citar, por todas, la sentencia de la Audiencia Nacional de fecha 21 de diciembre de 2001 en la que se declaraba que “de acuerdo con el principio que rige en materia probatoria (art. 1214 del Código Civil) la Agencia de Protección de Datos probó el hecho constitutivo que era el tratamiento automatizado de los datos personales de D. (…) (nombre, apellidos y domicilio), y a la recurrente incumbía el hecho impeditivo o extintivo, cuál era el consentimiento del mismo.

Es decir, (...) debía acreditar el consentimiento del afectado para el tratamiento automatizado de datos personales, o justificar que el supuesto examinado concurre alguna de las excepciones al principio general del consentimiento consagrado en el art. 6.1 de la Ley Orgánica 5/1992. Y nada de esto ha sucedido”.


32/48

Hay que insistir que ni PLENISAN, S.L. ni MEYDIS, S.L. ni MACRO SELECT PRINT S.L., han aportado documentación que acredite que dispusiesen del consentimiento inequívoco del denunciante para el tratamiento de sus datos personales que se ha descrito anteriormente, ni que el denunciante tuviese con alguno de ellos algún tipo de relación comercial.

En consecuencia, por todo lo que antecede, se considera infringido el artículo 6.1 de la LOPD por parte de MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. y que son responsables de dicha infracción al artículo citado.

V

Una vez que se aprecia la existencia de una convocatoria poco transparente para en realidad la promoción de productos de salud, indicar que el artículo 30.1 de la LOPD, relativo a los “Tratamientos con fines de publicidad y de prospección comercial”, establece que: “1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento”.

Por su parte, el artículo 45.1 del RLOPD, referido a “Datos susceptibles de tratamiento e información al interesado”, desarrolla el precepto anterior disponiendo que:

“1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, así como quienes realicen estas actividades con el fin de comercializar sus propios productos o servicios o los de terceros, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento y el interesado no haya manifestado su negativa u oposición a que sus datos sean objeto de tratamiento para las actividades descritas en este apartado.

b) Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial, habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. “

Asimismo, el artículo 46 del RLOPD establece lo siguiente:

“Tratamiento de datos en campañas publicitarias.

1. Para que una entidad pueda realizar por sí misma una actividad publicitaria de sus productos o servicios entre sus clientes será preciso que el tratamiento se ampare en alguno de los supuestos contemplados en el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre.

2. En caso de que una entidad contrate o encomiende a terceros la realización de una determinada campaña publicitaria de sus productos o servicios,


33/48

encomendándole el tratamiento de determinados datos, se aplicarán las siguientes normas:

a) Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será responsable del tratamiento de los datos.

b) Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsable del tratamiento.

c) Cuando en la determinación de los parámetros intervengan ambas entidades, serán ambas responsables del tratamiento.

3. En el supuesto contemplado en el apartado anterior, la entidad que encargue la realización de la campaña publicitaria deberá adoptar las medidas necesarias para asegurarse de que la entidad contratada ha recabado los datos cumpliendo las exigencias establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

4. A los efectos previstos en este artículo, se consideran parámetros identificativos de los destinatarios las variables utilizadas para identificar el público objetivo o destinatario de una campaña o promoción comercial de productos o servicios que permitan acotar los destinatarios individuales de la misma”.

En conclusión, PLENISAN decidió sobre la finalidad, el uso y contenido, al determinar los parámetros de la campaña de los datos contenidos en el fichero de MSP, lo que le sitúa como responsable del tratamiento de los datos del denunciante de acuerdo con la definición prevista en el artículo 3.d) de la LOPD, con arreglo a lo que está sujeta al régimen sancionador que determina el artículo 43 de la LOPD al reunir los requisitos subjetivos legalmente exigidos para poder ser sancionada por vulneraciones a lo previsto en dicha norma.

Amén de lo cual, dada la naturaleza publicitaria del tratamiento de datos personales analizado, en este caso resulta de aplicación lo previsto en los citados artículos 30.1 de la LOPD y 45.1 del RLOPD.

Así, el tratamiento de datos con fines publicitarios requiere, de acuerdo con lo dispuesto en el artículo 6.1 de la LOPD en su relación con lo previsto en el artículo 30.1 de esa misma norma, y en relación también con su desarrollo reglamentario, el consentimiento inequívoco de los afectados o que sus datos procedan de fuentes de acceso público.

VI

Es obligado precisar que en el supuesto examinado, de las actuaciones practicadas se desprende que el tratamiento publicitario de los datos personales del denunciante, que ha resultado acreditado, y del que son responsables las tres entidades imputadas con arreglo a lo previsto en apartados 2 y 4 del mencionado artículo 46 del RLOPD por haber participado ambas en la fijación de los parámetros identificativos de los destinatarios de la campaña publicitaria en la que enmarca el envío estudiado, se desarrolló sin estar amparado en alguno los supuestos previstos en los artículos 6.1 y 30.1 de la LOPD citados.

En las actuaciones efectuadas en el procedimiento no consta que ninguna de las empresas imputadas haya probado contar con el consentimiento inequívoco del


34/48

denunciado para tratar sus datos personales con fines publicitarios, bien por haber sido facilitados por el propio denunciante o por haberse obtenido con su consentimiento para tal finalidad, circunstancias, además, negadas de manera expresa por parte del denunciante a la vista de los términos de su denuncia. Tampoco MACRO SELECDT PRINT, S.L., PLENISAN, S.L y MEYDIS, S.L. han justificado que concurriera alguno de los supuestos que dispensarían de tal consentimiento recogidos en los artículos 6.2 y 30.1 de la LOPD legitimando tal tratamiento, y que para este caso requeriría justificar que los datos personales de la persona denunciante utilizados para remitir el envío postal publicitario denunciado procedían de fuentes accesibles al público establecidas en el artículo 3.j) de la LOPD, en concreto, de repertorios telefónicos de uso vigente.

El artículo 3 j) de la LOPD define como fuentes accesibles al público “…aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación…”

En el presente caso concreto, resulta que ninguna de las entidades inculpadas han acreditado que los datos personales de la denunciante se obtuvieran de repertorios telefónicos, al igual que no han probado que fueran datos vigentes en el momento de su posible obtención y uso publicitario al no facilitar, tampoco, la fecha de acceso de dichos datos, tratándose de una información que resulta relevante a los efectos del cómputo del plazo de vigencia durante el cual se mantiene la naturaleza de fuentes de acceso público, ello conforme a lo previsto en el artículo 28.3 de la LOPD que al regular los “Datos incluidos en las fuentes de acceso público”, establece que:

“3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique.

En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención.”

Además, a la vista de los datos personales tratados dicho origen únicamente podría asignarse a los datos del nombre, apellidos, calle y número del domicilio postal de la afectada, población y provincia.

Se observa que las entidades imputadas en su calidad de responsables del tratamiento publicitario analizado deben estar, por consiguiente, en condiciones de acreditar que cuentan con el consentimiento inequívoco de los afectados o cobertura legal para realizar el repetido tratamiento, estableciéndose a este respecto en los apartados 1 y 3 del artículo 12 del RLOPD que:

“1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como


35/48

de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

(…)

3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. “

En este sentido, la sentencia de la Audiencia Nacional de fecha 11 de mayo de 2001, por todas, en un supuesto similar, dispone que “quien gestiona la base, debe estar en condiciones de acreditar el consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la acreditación del consentimiento de las personas en las que se basa la sanción”

Indicar aquí por tanto que MACRO SELECT PRINT, S.L. ha manifestado a esta Agencia, y como consta suficientemente acreditado en respuestas a múltiples requerimientos de información realizados en diversas actuaciones previas de inspección, que los datos personales para campañas publicitarias habían sido obtenidos de listados accesibles al público, páginas blancas, páginas amarillas, QDQ, repertorios de servicios de telecomunicaciones (Infobel, ABC Teléfonos, 11811, etc.), revistas u otros medios de comunicación, nombramientos oficiales, diarios oficiales, páginas web con información comercial utilizable, etc.; sin que nunca se haya aportado prueba acreditativa de ello y utilizando parámetros de identificación de los destinatarios de cada campaña, consistiendo en una segmentación por zona de ubicación del domicilio.

Y por su parte MEYDIS, en relación con el fichero para la confección de la impresión publicitaria en otras campañas para la que estaba contratado ha comunicado, lo siguiente: “la empresa MSP no nos informaba de que un fichero estaba disponible para confeccionar la impresión de la publicidad. Simplemente, cada vez que recibíamos una orden de trabajo de nuestro cliente Plenisan, accedíamos al FTP en el que MSP colocaba los ficheros y ya nos encontrábamos colocado ahí el que debía utilizarse para esa concreta carta publicitaria. Como también se ha indicado a esa Agencia en ocasiones anteriores, en la actualidad, ya no conservamos en nuestros sistemas los registros de actividad”; sin embargo, la entidad no ha aportado documentación alguna que acredite lo expuesto.

Sin embargo, reiterar que ninguna de estas entidades imputadas ha aportado ningún medio de prueba que permita acreditar que el tratamiento efectuado se realizó con las garantías establecidas en los artículos 6.1 y 30.1 de la LOPD, motivo por el que cabe concluir que MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. han vulnerado lo dispuesto en el artículo 6.1 de la LOPD al no haber acreditado que mediaba el consentimiento inequívoco de la persona denunciante para usar sus datos personales con fines publicitarios y de prospección comercial o justificar, en su caso, que el supuesto examinado concurría alguna de las excepciones al principio general del consentimiento consagrado en dicho precepto. Consecuentemente, los datos personales del denunciado fueron utilizados con fines publicitarios por las entidades citadas, sin que éstas contasen con su consentimiento inequívoco para ello.

VII

MEYDIS ha alegado en otros procedimientos sancionadores frente a esta Agencia la atipicidad sobrevenida de los hechos como consecuencia de la entrada en vigor del Reglamento General de Protección de Datos, recogiendo en el artículo 6.1.f) y


36/48

en el último inciso del Considerando 47 del mismo la posibilidad del tratamiento de los datos personales del interesado aun sin consentimiento en aplicación de la figura del interés legítimo de aquellas las entidades con fines de mercadotecnia directa, por lo que cabría la aplicación retroactiva de dicha norma por ser más favorable, debiéndose proceder al archivo del presente procedimiento.

En relación con dicha petición resulta esencial:

En primer lugar, tener en cuenta que el artículo 99 del citado RGPD establece respecto de su “Entrada en vigor y aplicación” que:

“1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Será aplicable a partir del 25 de mayo de 2018.”

En segundo lugar, los Considerandos del citado RGPD carecen de valor normativo, cuestión distinta es que puedan servir de criterio interpretativo a la hora de su aplicación.

En tercer lugar, el apartado 7.f de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ya regula la regla del interés legítimo al disponer que:

“Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.”

En cuarto lugar, procede indicar que el Considerando 47 del mencionado Reglamento recoge el razonamiento consolidado de nuestra jurisprudencia relativo a que es legítimo el tratamiento que se realiza con fines publicitarios. Ahora bien, olvida MEYDIS que la aplicación de la excepción del interés legítimo requerirá de una ponderación de los intereses y de los derechos que se ven afectados, ponderación que dependerá de las circunstancias concretas de cada caso, sin que en la lectura efectuada por esa empresa haya valorado en forma alguna la primacía de su interés sobre el derecho fundamental del afectado a que sus datos personales no se utilicen con fines publicitarios.

VIII

Asimismo, indicar que: “En cuanto a la denuncia de incongruencia omisiva, resulta pertinente recordar que el Tribunal Constitucional viene declarando repetidamente (sentencia 1/2001, de 5 de enero, entre otras) que la exigencia de motivación de las resoluciones judiciales no significa que estas deban dar respuesta pormenorizada a todos y cada uno de los alegatos de las partes, sino que cabe que el Tribunal se enfrente a ellos exponiendo su propia argumentación de que queda deducir la admisión o rechazo de los motivos en que las partes hayan apoyado sus respectivas posiciones” (sentencia del Tribunal Supremo de fecha 3 de noviembre de 2003, rec.


37/48

4566/2000).

Pese a esto, es conveniente decir que no se puede hablar de vulneración de los derechos fundamentales ni de “persecución sin precedentes” por parte de la Agencia, dado que los distintos procedimientos abiertos o las investigaciones previas llevadas a cabo parten de las correspondientes denuncias (lo que obliga a la actuación de esta Agencia, realizada con estricto cumplimiento de la legalidad), si no, ello llevaría a la interpretación absurda de que son los denunciantes los que, con sus denuncias, vendrían a ser los que tienen ese ánimo persecutorio.

MEYDIS alega no haber participado en las campañas publicitarias denuncias y así evitar una eventual sanción al respecto.

Sin embargo escapa a la lógica más elemental que PLENISAN contrate la explotación de la base de datos de MSP (como se puede leer en letra pequeña en el pie de la carta publicitaria denunciada) y el diseño de la campaña (entidad sin medios suficientes como cita en su contrato, con una única empleada y de relativa reciente creación), cuando es MEYDIS una empresa que desde hace mucho tiempo presta servicios de explotación de bases de datos, así por ejemplo promociona productos como Consumer List; Bussines List; International List; Data Service, y tan sólo contrate con ésta actividades auxiliares de la principal, que no es otra que la utilización del fichero para fines comerciales, cuando lo lógico es que, dada la experiencia y medios de MEYDIS, sea ésta y no MSP la proveedora de manera efectiva y real de las bases de datos utilizadas, pues es una buena parte del objeto de su negocio.

En el contrato entre MEYDIS y MSP (EL CLIENTE) se pacta lo siguiente (…) adicionalmente, puesto que EL CLIENTE carece de infraestructura suficiente para ello, podrá solicitar a MEYDIS que desempeñe funciones de intermediación en la gestión de las relaciones entre EL CLIENTE y los Clientes Finales, de modo que las peticiones de servicio u otras comunicaciones dirigidas desde estos al CLIENTE se hagan utilizando a MEYDIS como canal. En estos casos, MEYDIS se limitara a trasladarla comunicación que reciba del Cliente Final. (…)

Por otra parte, en el contrato entre MEYDIS y PLENISAN (EL CLIENTE) se estipula lo siguiente:

“I Por virtud de este contrato, MEYDIS se compromete a prestar al CLIENTE los siguientes servicios:

a) Recepción de las piezas publicitarias, en las que ya se encontraran impresos los datos de nombre, apellidos y dirección postal de las personas a las que deba ser enviadas. Las piezas publicitarias se entregaran a MEYDIS en soporte papel y apiladas en cajas, sin orden o indexación alguna. Dichas cajas serán enviadas a MEYDIS directamente por la tercera empresa que haya sido contratada por el CLIENTE para los servicios de selección e impresión de los datos personales en la publicidad.

b) Doblado, ensobrado y franqueo de las piezas publicitarias.

c) Depósito de la publicidad en el correspondiente operador postal para su envío.

II MEYDIS únicamente tratará las piezas publicitarias impresas conforme a las instrucciones del CLIENTE, prohibiéndose expresamente su aplicación o utilización con un fin distinto al establecido en la relación que les vincula.


38/48

Como norma general, las instrucciones que debe cumplir MEYDIS son las que, en buena lógica se deducen de la propia naturaleza de los servicios contratados y son necesarias para su cumplimiento. En caso de que CLIENTE estimase oportuno impartir instrucciones distintas de las mencionadas, las comunicará expresamente a MEYDIS.

III MEYDIS no podrá ceder o entregar las piezas publicitarias o la información que contengan a terceras personas, salvo indicación expresa de CLIENTE.

IV MEYDIS se compromete a implementar en sus sistemas técnicos y organizativos las medidas pertinentes para la seguridad de las piezas publicitarias impresas, las medidas de seguridad de nivel básico de las establecidas en el Real Decreto 1720/2007, debiendo elaborar su propio Documento de Seguridad, en el que se recojan todas las medidas legales y cumplirlo.

Y entre PLENISAN y MSP de fecha 16 de junio de 2014 se estipula que:

“I.- LIST BROKER (MSP) prestará a CLIENTE (PLENISAN) los servicios de:

Diseño de campañas de marketing directo de CLIENTE.

Selección de datos personales de los ficheros de LIST BROKER para la realización de envíos publicitarios, excluyendo los datos de personas inscritas en las LISTAS ROBINSON de AIDIGITAL. Los criterios de necesarios para determinar los destinatarios de cada campaña de marketing serán fijados por LIST BROKER en cada caso, según el diseño de aquella.

Personalización de los documentos publicitarios a enviar, imprimiendo en estos los datos de los destinatarios e incluyendo una cláusula que informe de que LIST BROKER es el origen de los datos y de la posibilidad de ejercer los derechos que la ley reconoce en la correspondiente dirección o apartado de correos (…)

De acuerdo con lo expuesto, y según los contratos citados, deberían existir al menos las siguientes comunicaciones:

La petición de MSP a MEYDIS para que desempeñe las funciones de intermediación entre MSP y PLENISAN, y una vez aceptada dicha intermediación, tal como consta en el contrato, que del carácter de mero canal de comunicación, se desprenda una comunicación de PLENISAN a MEYDIS, y de esta a MSP. Sin embargo no se han probado estas últimas; sino que las comunicaciones terminan en MEYDIS.

De igual modo, también deberían existir las comunicaciones relativas a la determinación del diseño de las campañas, y la determinación de los criterios de segmentación, entre MSP y PLENISAN tal como afirma ésta en sus alegaciones al decir que “los servicios de diseño, selección, segmentación y tratamiento de los datos personales son hechos, en exclusiva, por el mismo proveedor” y sin embargo ninguna comunicación, ni documentación consta al respecto, sino que PLENISAN se comunica únicamente con MEYDIS para dar el visto bueno a las creaciones publicitarias, es decir, a si acepta un determinado diseño u otro, cuando esos servicios son los que, por contrato, realiza MSP, respecto de dicha actividad, sin que nada conste.

En definitiva, de ser real la ejecución de los contratos en la forma pactada, existirían multitud de comunicaciones entre MSP y MEYDIS y entre PLENISAN y MSP.

Pues bien, las únicas comunicaciones que constan son entre PLENISAN y MEYDIS y viceversa, resultando cuanto menos sorprendente que no conste en ellas MSP, pues, a pesar de cuidarse mucho en el contrato de fijar que MEYDIS podrá actuar


39/48

como “canal de comunicación”, se echa en falta el traslado y la respuesta de MSP.

MEYDIS en defensa de sus argumentos, señala que “…no intervino en ninguna de las dos campaña de marketing aquí denunciadas, que, por lo que se deduce del expediente, consisten en sendas convocatorias comerciales de la empresa Plenisan para eventos a realizar los días 10 de junio y 11 de noviembre de 2015. Mi representada no trató los datos del denunciante, porque no participé en estas dos concretas campañas de marketing…”

Resulta sin embargo que MEYDIS somete a tratamiento los datos del denunciante para la campaña publicitaria de PLENISAN. Prueba que sería sencilla de facilitar, puesto que no consta acreditada ninguna instrucción por parte de MSP a MEYDIS, que acote, defina, o determine caso por caso (campaña por campaña) el tratamiento, supuestamente encargado dado los términos abiertos del citado contrato.

Es decir, los parámetros de selección de los correspondientes datos personales a utilizar en las distintas campañas publicitarias ofrecidos en la página web del Grupo MEYDIS, coinciden casi en su totalidad con los criterios de selección fijados y demandados por PLENISAN como ya se indiciado anteriormente.

De igual modo, resaltar que en fechas de 15 de diciembre de 2015 y 29 de mayo de 2016 Dª. **NOMBRE.2 (datos personales que constan en otro expediente de esta Agencia), ex empleada de un cliente de MEYDIS, manifestó a esta Agencia que MSP era una entidad meramente formal y que nunca trató con personal de dicha entidad, a pesar de que era la responsable de los asuntos a tratar, y en cambio trató con personal de MEYDIS. Asimismo manifestó que MSP cambiaba de denominación social según le iba indicando MEYDIS. Finalmente manifestó que el esquema de negocio en acciones de marketing postal nominativo respondía a la determinación de las características de los destinatarios por parte del cliente (en este caso PLENISAN) para que el proveedor de la base de datos generase un determinado fichero de destinatarios de dichas acciones.

Añadiendo de forma literal que “siempre hemos trabajado con Meydis con Macro era puro formalismo mediante un contrato pero realmente esta empresa ni siquiera nos facturaba siempre era Meydis incluso los ficheros que nos proporcionaban con la información de clientes nos la mandaban desde Meydis. La única diferencia ha sido que en nuestras cartas íbamos modificando según nos solicitaba Meydis la empresa que era propietaria de los ficheros y que es obligatorio ponerlo en la parte inferior de la carta, esta empresa si no recuerdo mal se cambió unas tres o cuatro veces, por lo que yo tenía entendido era que en cuanto tenían alguna denuncia importante cerraban dicha empresa y abrían otra, pero realmente con la que siempre hemos trabajado es Meydis.(…)

(…)TODO lo tratábamos con Meydis, solicitudes, cambios, estadísticas, composiciones de cartas, etc nunca he tratado con nadie de la empresa Macro Select Print, el correo que aparece en mi antiguo escrito es porque recibí un único mail de esta dirección, todo lo demás eran de Meydis (…)”.

Por otro lado, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda informó a esta Agencia que el certificado digital a nombre de MSP fue solicitado y descargado desde la dirección ***IP.1. Dicha IP está asignada a MEYDIS.

Y el BANCO BILBAO VIZCAYA ARGENTARIA, S.A. informó a esta Agencia, respecto de los accesos realizados mediante banca electrónica a la cuenta en la que están domiciliados los pagos de PLENISAN a MSP, que se había comprobado que entre


40/48

el 10 de septiembre de 2015 y el 2 de febrero de 2016 fueron realizados un total de 20 accesos desde la dirección ***IP.1, que está asignada a MEYDIS, como se ha detallado.

Además, y respecto del apartado de correos designado para ejercer los derechos ARCO ante MSP, que se recoge en la carta publicitaria enviada, la entidad S.E. Correos y Telégrafos, S.A. informó a esta Agencia que, por contrato de fecha 22 de junio de 2014 MSP realizó la suscripción anual de este apartado de correos número ***APTDO.1 de Madrid, el domicilio aportado fue en la (C/...1) Madrid, con teléfono de contacto del administrador el número de línea móvil ***TEL.1, facilitando copia del DNI del administrador de la entidad y copia de la escritura notarial de constitución de la sociedad MSP fechado el 12 de junio de 2014, en la que figura D. B.B.B. como socio único y administrador y domicilio el ya citado.

De igual modo, Correos informó a esta Agencia que estaba autorizado por parte de MSP para “la recogida de documentos que lleguen esta apartado (***APTDO.1)” para dicha entidad a D. L.L.L., esto es, la misma persona que se ha personado en esta Agencia para tomar vista de los expedientes y obtener copias del mismo en nombre de MEYDIS, S.L., de manera concreta, según autorización de fecha 10 de mayo de 2016.

La Inspección de Datos de esta Agencia, asimismo, ha constatado que en la web de la Comisión Nacional de los Mercados y la Competencia constaba que MEYDIS estaba entre las entidades que tenían acceso al Sistema de Gestión de Datos de Abonado.

Desde principios del año 2014 PLENISAN, S.L. recibía en sus cuentas de correo electrónico comunicaciones de destinatarios de la carta invitación de sus eventos comerciales en el que comunican que los destinatarios corresponden a personas fallecidas, y otras tienen por objeto negar el consentimiento para utilizar sus datos solicitando la baja de sus envíos.

Y en la inspección **INSPECCION.1realizada a PLENISAN la Inspección de Datos de esta Agencia constató que, realizada una búsqueda con el criterio MACRO, se encontraron 12 correos electrónicos en diferentes carpetas; imprimiéndose un correo electrónico dirigido por PLENISAN a MSP solicitando una muestra de 50 registros, “que estén en los repertorios telefónicos de la ciudad de León, antes del 23-10-2014”. Analizado dicho correo, se comprueba que fue emitido en fecha 2 de noviembre de 2015 desde la cuenta ***[email protected] con destino a la cuenta **EMAIL.1 e, imprimida la respuesta a la anterior solicitud, se constó que se hizo desde la cuenta ***[email protected], anexando el fichero solicitado con datos personales. Analizado dicho correo, se comprobó que aparecía remitido en fecha 2 de noviembre de 2015 desde ***[email protected] con destino a la cuenta ***[email protected]. En el mismo se redirigió un correo electrónico del mismo día y remitido desde la cuenta ***[email protected] con destino a ***[email protected] con copia a otras dos cuentas del dominio meydis.com.

Según consta en las actuaciones de inspección de referencia **REF.1a una solicitud de datos realizada por el inspeccionado para presentar un documento ante esta Agencia como aportado por MSP, fue respondida mediante un correo electrónico procedente de la cuenta ***[email protected] con copia para la cuenta ***[email protected].

Por otra parte, de la información aportada por la Tesorería General de la Seguridad Social, consta que la única empleada de MSP ha sido J.J.J., quien anteriormente trabajó para MEGA DATA INTEGRAL SERVICES SL (Megadis) y para DATA INTEGRAL ACTION SL, empresas reiteradamente sancionadas por esta Agencia


41/48

con motivo de denuncias similares a la actual. El administrador de estas dos últimas empresas también lo ha sido de TODO DATA INTEGRAL SERVICES, SL, igualmente sancionada por esta Agencia por denuncias similares a la actual.

Y en la publicidad enviada en las campañas que originaron otras denuncias en esta Agencia, con expedientes de investigación E/3566/2011, E/3558/2013 y E/4058/2013, de las que era beneficiario PLENISAN, entonces SISTEMAS MEDICOS PROFESIONALES S.L., se constató que existía idéntica factura y codificación que en las piezas publicitarias objeto de múltiples denuncias contra PLENISAN y MSP.

En cualquier caso, indicar que la Inspección de Datos ha constatado que: “Todos los intentos realizados por la Inspección para verificar que MSP es una empresa real, con empleados e instalaciones reales, han resultado infructuosos”.

En conclusión, y como consta suficientemente acreditado en esta Agencia en relación con las distintas denuncias investigadas, los elementos de prueba analizados en definitiva sitúan en la ejecución del tratamiento de mayor peso a (MEYDIS); dados los medios humanos, materiales y de solvencia profesional en el sector del marketing de bases de datos (recuérdese que una de sus principales líneas de negocio es la explotación de bases de datos que del responsable, MSP, que ni tiene sede física, cuenta con un único empleado y solamente utiliza un ordenador portátil, además de resultar desconocido en las últimas actuaciones de esta Agencia). En el sentido expuesto, ha resultado acreditado que existen evidentes conexiones entre MEYDIS y MSP más allá de las contenidas en la contratación aportada.

Sin que lo manifestado anteriormente exima de responsabilidad a MSP, ya que los datos del denunciante obraban en sus ficheros y fueran sometidos a tratamiento para el envío de la comunicación postal en virtud de una relación comercial de la que también se lucró MSP.

IX

El artículo 44.3.b) de la LOPD considera infracción grave:

“Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo”.

En el presente caso concreto, MACRO SELECT PRINT S.L., PLENISAN, S.L y MEYDIS, S.L. han tratado los datos personales de la persona denunciante sin su consentimiento inequívoco, ni habilitación legal para ello (relación comercial), y han conculcado en consecuencia el principio de consentimiento regulado en el artículo 6.1 de la LOPD, en relación aquí además con el artículo 30.1 de la misma norma, y en relación también, con los artículos 45 y 46 del RLOPD, que encuentra su tipificación en el artículo 44.3.b) de la LOPD.

La documentación que obra en el expediente de investigación evidencia que las empresas MSP, PLENISÁN y MEYDIS son responsables del tratamiento sin consentimiento de los datos personales del denunciante con fines publicitarios que se materializó en el envío de dos carta nominativa a su domicilio de contenido


42/48

promocional.

Las investigaciones realizadas por la Inspección de Datos desvirtúan la condición que PLENISÁN atribuye a las empresas según el texto de la carta publicitaria que envió a la denunciante. A tenor de dicha carta PLENISÁN sería beneficiaria de la publicidad y MSP la responsable del tratamiento con fines publicitarios. En definitiva, el esquema en el que PLENISÁN pretende enmarcar la actividad de las infractoras sería el descrito en el artículo 46.2 del RLOPD que en su apartado b, considera responsable del tratamiento a la empresa contratada que ha fijado los parámetros de la campaña publicitaria en cuyo marco los datos personales han sido objeto de tratamiento. Sin embargo, de las actuaciones que a continuación se citan se concluye que el modelo de negocio obedece al supuesto contemplado en el apartado a) del artículo 46 del RDLOPD, considerándose a PLENISAN responsable del tratamiento.

En el curso de varias actuaciones de investigación seguidas por esta Agencia contra las tres infractoras y que dieron lugar, entre otros, a los expedientes sancionadores PS 47/2016, 53/2016, 107/2016, 121/2016, 127/2016, 128/2016 y 190/2016, se han constatado varios extremos que ponen de manifiesto que las tres empresas son responsables del tratamiento de datos con fines publicitarios del tercero que recibe una carta publicitaria de PLENISAN en la que se menciona a MSP como responsable del fichero del que proceden los datos tratados sin consentimiento del titular.

Así, hemos de destacar que en el curso de la actuaciones de la Inspección realizadas se constató que en la cuenta del Banco Bilbao Vizcaya Argentaria en la que MSP tiene domiciliados los pagos que recibe de PLENISÁN, en un periodo de tiempo comprendido entre el 02/02/2015 y el 10/09/2015, se efectuaron un total de veinte accesos desde la dirección ***IP.1, dirección que está asignada a la empresa MEYDIS. La conexión entre esta última entidad y MSP vuelve a ponerse de manifiesto cuando la Fábrica Nacional de Moneda y Timbre informa a la Inspección (en el curso del PS 107/2016) que el certificado digital a nombre de MSP fue solicitado y descargado desde la misma dirección IP asignada a MEYDIS.

Igualmente, obra en el expediente procedente de las actuaciones de investigación practicadas en diversos procedimientos sancionadores que existe una URL en la que MEYDIS se anuncia como poseedora de un fichero con datos de más de doce millones de hogares españoles que incluirían –según dicha publicidad- el teléfono de la persona de contacto, edad del titular de la línea telefónica, nivel cultural de esa persona, dirección postal completa e información sobre el nivel socio económico de la unidad familiar. Esta información contradice la versión que en los distintos expedientes administrativos seguidos contra ellas han mantenido tanto PLENISÁN como MEYDIS conforme a la cual esta última sería una mera encargada de tratamiento de la primera.

Por lo que concierne a la relación entre MSP y MEYDIS –respecto a la cual las entidades denunciadas han mantenido la tesis de que la segunda era la encargada de tratamiento de la primera, de forma tal que MSP en su hipotético cometido de fijar los parámetros identificativos de la campaña publicitaria (por cuenta de PLENISAN, circunstancia que refleja el contrato pero no es corroborada por las actuaciones practicadas), realizaba una selección de las personas a convocar y generaba un fichero que enviaba a MEYDIS- lo cierto es que cuando se solicitó a ésta última que aportara


43/48

una prueba documental que acreditara la puesta a su disposición por MSP del fichero que contenía los datos de los destinatarios de las campañas publicitarias, sus representantes respondieron que MSP informaba de que el fichero con los datos estaba disponible para confeccionar la impresión de publicidad y que cuando recibían una orden de trabajo de PLENISÁN accedían al FTP, en el que MPS colocaba los ficheros y accedían así al que debían utilizar.

Sin embargo, estas manifestaciones no se han visto corroboradas en el curso de las distintas actuaciones de inspección practicadas ni se han encontrado en ellas indicios razonables de las que pudiera inferirse que ese era efectivamente el modo de proceder de estas entidades. Por el contrario, ante los requerimientos que la Inspección de la AEPD dirigió a MEYDIS para que acreditara sus afirmaciones, respondió que no conservaba los registros de actividad. Procede recordar igualmente que practicada una inspección en la sede de MEYDIS en la que se solicitó poder acceder a la FTP de la entidad, los inspectores comprobaron que estaba vacío y la inspeccionada ofreció como explicación que había cambiado de antivirus por lo que se habían borrado los registros.

Asimismo, es relevante para apreciar que las tres entidades contra las que se acuerda la apertura de este expediente sancionador son responsables del tratamiento sin consentimiento de los datos del denunciante con fines publicitarios el testimonio de Dña. L.P.C., quien era empleada de una tercera empresa con la que MSP tuvo suscrito un contrato publicitario. Esta persona insiste en situar a MEYDIS como responsable del tratamiento de los datos personales hasta el punto que reduce la intervención de MSP a una mera formalidad y concluye que esta empresa operaba como una sociedad instrumental de la que MEYDIS se servía.

X

En relación con la culpabilidad, recordar con la Audiencia Nacional en su sentencia de 12 de noviembre de 2007 (Rec 351/2006), el siguiente criterio: “Cuando concurre una falta de diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche sancionador sin que el hecho de que no exista actuación dolosa deba conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido impuesta en su grado mínimo”. Por tal razón, si bien es cierto que no es posible sostener en el presente caso que las entidades hubieran actuado intencionadamente o con dolo, no cabe ninguna duda de que incurrieron en una grave falta de diligencia.

No cabe duda de que la culpabilidad constituye nota esencial en materia sancionadora y que la llamada responsabilidad objetiva no tiene cabida en Derecho administrativo sancionador. Efectivamente, el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del procedimiento Administrativo Común (en lo sucesivo LRJPAC) dispone que “sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia”. Esta simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias 15/1999, de 4 de julio, y 76/1990, de 26 de abril) y la jurisprudencia mayoritaria de nuestro Tribunal Supremo (por todas Sentencia de 23 de enero de 1998), así como las


44/48

exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa.

El Tribunal Supremo (Sentencias de 5 de julio de 1998 y 2 de marzo de 1999) viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible.

Asimismo, conviene recordar que el elemento de la exigibilidad de una conducta diferente es considerado por el Tribunal Supremo como un elemento delimitador de la culpabilidad de las conductas sancionables (SSTS de fecha 23 de octubre de 2006 y 22 de noviembre de 2004), ya que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Así, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva.

No obstante lo anterior, la Sentencia de la Audiencia Nacional dictada el 21 de septiembre de 2005, Recurso 937/2003, establece que “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 113/2001) que la comisión de la infracción prevista en el art. 77.3 d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del art. 130 de la Ley 30)1992, lo cierto es que la expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado”

XI

El artículo 45 de la LOPD, en sus aparatados 2 a 5, establece que:

«2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a


45/48

terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

El apartado 5 del artículo 45 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad el imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita.

Las citadas circunstancias no se dan en el presente caso, lo que impide apreciar la existencia de motivos para la aplicación de la facultad contemplada en el artículo 45.5, debido, por un lado, a que no obra en el expediente ningún elemento que lleve a apreciar la concurrencia de alguna de las circunstancias previstas del referido artículo y, por otro, a la especial diligencia y conocimiento de la normativa de protección de datos que se ha de exigir a las entidades profesionales cuando, como ocurre con la entidad imputada, el tratamiento de datos personales constituye parte habitual y esencial de su actividad. Las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos (como de forma reiterada sostiene la Audiencia Nacional, entre otras en sentencia de 26 de noviembre de 2008).

Asimismo, la sentencia de 21 de enero de 2004 de la Audiencia Nacional ha señalado que dicho precepto “…no es sino manifestación del llamado principio de proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general del prohibición de exceso, reconocido por la jurisprudencia como principio general del


46/48

Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y sólo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión “especialmente cualificada”) y concretos” (rec. núm. 1939/2001).

E incidiendo en este aspecto, la sentencia de la Audiencia Nacional de fecha 20 de noviembre de 2013, respecto a la solitud de aplicación del apartado 5 del artículo 45 de la LOPD, dice que:

“Si ello lo relacionamos con que para aminorar la sanción, a tenor del apartado 5 del artículo 45 LOPD, deben concurrir dos o más circunstancias del apartado 4 del mismo artículo 45, y además de manera “significativa”, concurrencia significativa que no se da en el presente supuesto y que por otra parte, en el mismo apartado 4, se prevé como circunstancia agravante la reincidencia, y es un hecho notorio Ia reiteración de conductas infractoras en materia de protección de datos por parte de (…), de todo ello concluimos que el articulo 45.5 LOPD no puede ser aplicado en el caso” (R. núm. 279/011).

Por lo que respecta a los criterios de graduación de las sanciones que contempla el artículo 45.4 de la LOPD, hay que considerar que en el presente caso concreto están presentes varias circunstancias que operan como agravantes, a saber:

1. Por la vinculación de la actividad del infractor con la realización de tratamientos de carácter personal (apartado 4.c), pues la actividad empresarial de MEYDIS exige un continuo tratamiento de datos de carácter personal, tanto de sus clientes como de terceros, que se traduce en un deber de extremar la diligencia a fin de garantizar una tutela efectiva del derecho fundamental que nos ocupa.

La sentencia de la Audiencia Nacional de 17 de octubre de 2007 (Rec. 63/2006) exige a estas entidades que observen un adecuado nivel de diligencia, e indica a este respecto: “….el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto”.

2. Por las medidas adoptadas (apartado 4.i), no se acredita que en los hechos concretos se hubieran tomado ninguna medida, que de haberse producido, habría evitado los hechos como el denunciado.

En el presente caso no consta que ni PLENISAN, MSP o MEYDIS hayan implantado medidas suficientes para verificar, en forma fehaciente, la licitud del tratamiento efectuado utilizados para desarrollar en beneficio de aquélla campañas de marketing directo, lo que lleva a considerar la existencia del elemento subjetivo de culpabilidad en la conducta de PLENISAN y MSP en el ilícito administrativo imputado, existente también en el caso de MEYDIS.

3. También se considera relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora (apartado 4.j) que es un hecho notorio la reiteración de conductas infractoras en materia de protección de datos


47/48

por la comisión de infracciones de la misma naturaleza por parte de PLENISAN, MSP y MEYDIS, como muestran las resoluciones acordadas en los procedimientos sancionadores PS/00047/2016, PS/00128/2016, PS/00417/2016, PS/00436/2016 y PS/00464/2016.

Por todo ello, procede imponer una multa cuyo importe se encuentre entre 40.001 € y 300.000 €, en aplicación de lo previsto en el apartado 2 del citado artículo 45, al tener la infracción imputada la consideración de grave en cualquier caso.

En el presente caso, por tanto, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, en particular, la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal (apartado 4.c), el grado de intencionalidad (apartado 4.f) y en relación a las medidas adoptadas (apartado 4.i), procede imponer por ello sendas multas de cuantía de 60.000 € a cada entidad por la infracción cometida.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad MACRO SELECT PRINT S.L por una infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 60.000 euros (sesenta mil euros), de conformidad con lo establecido en el artículo 45 apartados 2 y 4 de esa misma Ley Orgánica.

SEGUNDO: IMPONER a la entidad MEYDIS S.L. por una infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 60.000 euros (sesenta mil euros), de conformidad con lo establecido en el artículo 45 apartados 2 y 4 de esa misma Ley Orgánica.

TERCERO: IMPONER a la entidad PLENISAN, S.L. por una infracción del artículo 6.1 de la LOPD, en relación con el artículo 30.1 de la misma norma, infracción tipificada como grave en el artículo 44.3.b) de dicha norma, una multa de 60.000 euros (sesenta mil euros), de conformidad con lo establecido en el artículo 45 apartados 2 y 4 de esa misma Ley Orgánica.

CUARTO: NOTIFICAR la presente resolución a MACRO SELECT PRINT S.L., MEYDIS S.L. y PLENISAN, S.L.

QUINTO: Advertir a los sancionados que la sanción impuesta deberán hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período


48/48

ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Mar España MartíDirectora de la Agencia Española de Protección de Datos


1/48 - aepd · 1/48 procedimiento nº ps/00013/2017 resoluciÓn: r/01441/2017 en el procedimiento...

Documents