Expediente N.º: PS/00499/2022 Dati eccessivi per prenotazione case, selfie e informativa inidonea

estimated reading time: 43 min 1 / 21
 Expediente N.º: PS/00499/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Dª A.A.A. (en adelante, la parte reclamante) con fecha 27 de octubre de
2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra MARKETING ACCOMMODATION SOLUTIONS FZ,
L.L.C. con identificador fiscal 45000501 (en adelante, la parte reclamada). Los motivos
en que basa la reclamación son los siguientes:
A través de la plataforma en línea Airbnb, la parte reclamante contactó con la entidad
propietaria de un apartamento en Barcelona, MARKETING ACCOMMODATION
SOLUTIONS FZ, L.L.C. ( ***URL.1 ), con el propósito de alojarse en él unos días con
sus acompañantes. Dicha entidad había habilitado una página web/app para hacer el
check-in online, trámite obligatorio para formalizar la entrega de llaves del
apartamento. Para la realización del check-in online, las siete personas que iban a
alojarse en el apartamento tuvieron que cumplimentar un formulario con correos,
números de teléfono y direcciones, así como enviar fotos de su D.N.I. por las dos
caras y selfies de cada uno de ellos.
Con posterioridad a la estancia, en concreto el 23 de octubre de 2021, la reclamante
se puso en contacto con el responsable del tratamiento para indicar que los datos que
se solicitan para realizar la reserva son excesivos, protesta porque no se da opción a
que se deniegue el consentimiento para el envío de ofertas y productos, y pregunta
qué datos suyos tienen, cuáles han obtenido siguiendo la autorización y cuáles han
cedido y a quién.
La respuesta que la dieron, el 25 de octubre de 2021, fue que los únicos datos que
tienen de la reclamante son los que facilitó a Airbnb: nombre, apellidos, número de
teléfono y correo electrónico. Asimismo, se la indica que el propósito del check-in que
hizo es para cumplir con la norma autonómica que obliga a comunicar tales datos al
Registro de Viajeros que mantiene la policía catalana (los Mossos d’Esquadra), pues
una vez que se suben los datos a la plataforma, se hace un volcado de los mismos en
la web de los Mossos d’Esquadra, de tal modo que cuando se transfieren a éstos,
desaparecen de su plataforma. Asimismo la indican que “no hemos cedido sus datos
porque no los hemos tenido nunca ni los queremos, ni los necesitamos. puede
quedarse tranquila no enviamos ningún tipo de publicidad a los clientes ni hacemos
campañas.”
La reclamante considera muy genérica la respuesta.
Adjunta la parte reclamante:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

2 / 21
a) Correo electrónico que se la envió desde ***EMAIL.1 para realizar el check-in
online, en el que figura la siguiente información sobre el tratamiento de datos:
“Su información acaba de ser introducida en la base de datos. Le informamos que los
datos proporcionados solo se utilizarán para cumplir con las reservas, así como para
mantenerlo actualizado de nuestras noticias, promociones y ofertas.
Asimismo, nos gustaría informarle que la empresa guarda la información personal que
usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas
con la mejor comodidad para usted y su familia. Todos los datos que nos ha
proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los
casos en los que realicemos una reserva o tengamos que cumplir con una obligación
legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no
dude en contactarnos por correo electrónico: ***EMAIL.1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus
derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de
datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de
sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico: ***EMAIL.1”
b) Intercambio de correos electrónicos entre la parte reclamante y la parte reclamada
entre los días 23 de octubre de 2021 y el 25 de octubre de 2021.
.
SEGUNDO : La Subdirección General de Inspección de Datos de la Agencia remitió a
la parte reclamada escrito de fecha 1 de diciembre de 2021 en el que:
- Se la solicita que en el plazo de un mes, informe del nombre o de la entidad que ha
designado como su representante y su domicilio en la Unión o, indicar los motivos por
los que tal designación no resulta necesaria, toda vez que la parte reclamada no se
encuentra establecida en la Unión y no consta a la Agencia quien es su representante
en la Unión de conformidad con el artículo 27 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD).
- Se la da traslado de la reclamación para que proceda a su análisis e informe a esta
Agencia, en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los
requisitos previstos en la normativa de protección de datos, de conformidad con el
artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante LOPDGDD).
- Se la requiere para que en el plazo de un mes remita a la Agencia la siguiente
información:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

3 / 21
1. Justificación de la base de legitimación supuestamente escogida para recoger y
tratar las imágenes “selfies” de los usuarios, así como copia de sus documentos de
identificación, teniendo en cuenta que la orden que establece la obligación (la Orden
IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación a la
Dirección General de la Policía de las personas que se alojan en los establecimientos
de hospedaje ubicados en Cataluña) no incluye dicha información entre los datos a
proporcionar a la policía catalana.
2. Confirmación de que la información recogida no se está tratando tras su supuesta
comunicación a la policía catalana.
3. Confirmación de que no se están utilizando los datos personales de los clientes con
fines publicitarios u otros fines.
4. Informe sobre las medidas adoptadas para adecuar su “Política de Privacidad” al
artículo 13 del RGPD, de forma que refleje los anteriores puntos. Indicar fechas de
implantación y controles efectuados para comprobar su eficacia.
5. La decisión adoptada a propósito de esta reclamación.
6. La dirección postal del representante del responsable del tratamiento en la Unión
Europea.
7. Cualquier otra que considere relevante.
El mencionado escrito, cuya notificación se practicó conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante, LPACAP) mediante correo
postal internacional, fue devuelto por ausente de reparto.
TERCERO : Con fecha 27 de enero de 2022, de conformidad con el artículo 65 de la
LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO : La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del RGPD, y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:

Con fecha 29 de julio de 2022 se comprueba en registros whois que el dominio
***URL.1 está registrado por el registrador 10DENCEHISPAHARD S.L.
Con fecha 29 de julio de 2022 se comprueba en la política de privacidad de ***URL.1
los datos de identificación del responsable de la página correspondiendo estos a
MARKETING ACCOMMODATION SOLUTIONS FZ-LLC y consta:
“MARKETING ACCOMMODATION SOLUTIONS FZ-LLC, con identificador
fiscal
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

4 / 21
45000501 y dirección en: Business Park, PO Box 10055, Ras Al Khaimah
UAE[…]”
Con fecha 29 de julio de 2022 se envía requerimiento de información a
10DENCEHISPAHARD S.L., relativo a datos de identificación y contacto, incluyendo
nombre, apellidos o denominación social, DNI/CIF y dirección postal, del titular del
dominio siguiente, así como de quien haya contratado su alojamiento: ***URL.1 .
El 2 de agosto de 2022, 10DENCEHISPAHARD S.L. remite a esta Agencia los datos
de identificación y contacto del titular de la web ***URL.1 siendo estos los siguientes:
Empresa: MARKETING ACCOMMODATION SOLUTIONS FZ-LLC
NIF: 784119887490316
Nombre: B.B.B.
Cargo: Manager
Dirección: Business Park, PO 10055
Código postal: I
Localidad: Ras Al Khaimah
País: Emiratos Arabes Unidos
Correo: ***EMAIL.2
Teléfono: + ***TELÉFONO.1
Con fecha 29 de julio de 2022 se envía requerimiento de información a MARKETING
ACCOMMODATION SOLUTIONS FZ-LLC relativo a:
1. Justificación de la base de legitimación supuestamente escogida para recoger y
tratar las imágenes “selfies” de los usuarios, así como copia de sus documentos de
identificación, teniendo en cuenta que la orden que establece la obligación (la Orden
IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación a la
Dirección General de la Policía de las personas que se alojan en los establecimientos
de hospedaje ubicados en Cataluña, la cual se adjunta al presente requerimiento) no
incluye dicha información entre los datos a proporcionar a la policía catalana.
2. Capturas de pantalla de la app que usa su entidad con el proceso completo que
siguen sus clientes para proporcionar datos como la copia de documentos de
identificación y un “selfie” como requisito previo a la entrada en el apartamento.
3. Capturas de pantalla de sus sistemas donde consten todos los datos de que
disponen acerca de 100 usuarios incluyendo la reclamante.
4. Documentación que acredite la ubicación geográfica donde tratan los datos de sus
clientes.
5. Capturas de pantalla de sus sistemas donde consten todas las transmisiones o
comunicaciones de datos efectuadas de 100 usuarios, incluyendo la reclamante, con
el detalle de a qué destinatarios se han enviado.
6. Capturas de pantalla de sus sistemas donde conste que los datos de la reclamante
se han eliminado tras su envío a la policía catalana y donde conste asimismo la fecha
de eliminación.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

5 / 21
7. Descripción detallada del sistema que utilizan para el envío de los datos de sus
clientes a la policía catalana con indicación de los tipos de datos enviados, instante
preciso en que se envían desde que son recibidos desde sus clientes y si los datos
pasan en algún momento por sistemas bajo su responsabilidad o no. En caso de que
los datos no pasen en ningún momento por sistemas bajo su responsabilidad indique
los datos de identificación y contacto, incluyendo dirección postal, de quien sea el
responsable de esos sistemas y aporte copia de contratos firmados entre su entidad y
dicho responsable, y que incluyan el ámbito de la protección de datos.
8. Informe sobre las medidas adoptadas para adecuar su “Política de Privacidad” al
artículo 13 del RGPD. Indicar fechas de implantación y controles efectuados para
comprobar su eficacia.
9. La dirección postal del representante del responsable del tratamiento en la Unión
Europea.
10. Cualquier otra que considere relevante.
El mencionado escrito, cuya notificación se practicó conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante, LPACAP) mediante correo
postal internacional, fue devuelto por ausente de reparto.
Con fecha 13 de septiembre de 2022 se comprueba que en la Orden IRP/418/2010, de
5 de agosto, sobre la obligación de registro y comunicación a la Dirección General de
la Policía de las personas que se alojan en los establecimientos de hospedaje
ubicados en Cataluña, consta:
“[…]
Artículo 2
Registro documental
Toda persona que se aloje en los establecimientos comprendidos en el ámbito
de aplicación de esta Orden, debe registrarse. A este efecto se tiene que
cumplimentar, como mínimo, la información especificada como obligatoria en el
modelo del anexo 1 de esta Orden.
[…]
Artículo 3
Comunicación de datos por medios telemáticos a la Dirección General de la
Policía.
Los establecimientos comprendidos en el ámbito de aplicación de esta Orden
deben comunicar a la Dirección General de la Policía del departamento
competente en materia de seguridad pública la información contenida en el
anexo 2 de esta Orden. […]
Artículo 4
Comunicación de datos por otros medios
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

6 / 21
Cuando por razones especiales debidamente motivadas, los establecimientos
no puedan efectuar a través de medios telemáticos la comunicación
mencionada, debe enviarse la información del anexo 2 a las dependencias
policiales del cuerpo de mozos de escuadra a través de cualquiera de los
siguientes sistemas:
[…]
ANEXO 2
Datos de la información que se debe comunicar a la Dirección General de la
Policía
Datos del establecimiento
CIF/NIF
Nombre del establecimiento
Dirección
Municipio
Provincia
Datos de la persona alojada
Número del documento
Tipo de documento
Fecha de expedición
Nombre
Apellidos
Sexo (F=femenino / M=masculino)
Fecha de nacimiento (formato fecha: AAAAMMDD)
Nacionalidad (nombre de país)
Fecha de entrada en el establecimiento (formato fecha: AAAAMMDD)
[…]”
Con fecha 13 de septiembre de 2022 se comprueba que en la Orden IRP/418/2010, de
5 de agosto, sobre la obligación de registro y comunicación a la Dirección General de
la Policía de las personas que se alojan en los establecimientos de hospedaje
ubicados en Cataluña, consta en su Anexo 1 un formulario con los datos de “Núm.
documento de identidad”, “Tipo de documento”, “Fecha de expedición (si consta)”,
nombre y apellidos, sexo, fecha de nacimiento, nacionalidad, fecha de entrada,
domicilio, teléfono, días previstos de estancia y firma, todos ellos relativos a las
personas alojadas.
QUINTO : Con fecha 27 de septiembre de 2022 , la Directora de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
por la presunta infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5 del
RGPD, y por la presunta infracción del artículo 13, tipificada en el artículo 83.5.b) del
RGPD.
SEXTO : El citado acuerdo de inicio, cuya notificación se practicó conforme a las
normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas (en adelante, LPACAP)
mediante correo postal internacional, fue devuelto por ausente de reparto. Por lo que
se procedió a la notificación, de conformidad con el artículo 44 de la LPACAP, por
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

7 / 21
medio de anuncio publicado en el Boletín Oficial del Estado de fecha 27 de diciembre
de 2022. Se ha constatado que no se ha recibido alegación alguna por la parte
reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada
en el acuerdo de apertura del procedimiento- establece que si no se efectúan
alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando
éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,
podrá ser considerado propuesta de resolución.
En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los
hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la
parte reclamada y la sanción que podría imponerse. Por ello, tomando en
consideración que la parte reclamada no ha formulado alegaciones al acuerdo de
inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP,
el citado acuerdo de inicio es considerado en el presente caso propuesta de
resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO : Con fecha 6 de octubre de 2021, desde el correo electrónico ***EMAIL.1 ,
se envió un correo electrónico a la parte reclamante con el siguiente contenido:
“Con el Check-in Online de Apartments2be disfrutarás antes de tu estancia! Rellena
los datos necesarios para alojarte y evita esperas. Es un proceso sencillo que te
llevará pocos min utos.
REALIZA TU CHECK-IN
Te recordamos que debes realizar el Check-in Online antes de tu llegada. Para ello, te
recomendamos que tengas a mano los datos y documentos de identidad de todos los
ocupantes del alojamiento. Es obligatorio para formalizar la entrega de llaves de tu
alojamiento.
(…)
Apartments2be
(…)
SBAM0460 Service Block Al Jazirah Al Hamra , Al Hamra Industrial Zone- FZ,
Emiratos Árabes Unidos
Su información acaba de ser introducida en la base de datos. Le informamos que los
datos proporcionados solo se utilizarán para cumplir con las reservas, así como para
mantenerlo actualizado de nuestras noticias, promociones y ofertas.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

8 / 21
Asimismo, nos gustaría informarle que la empresa guarda la información personal que
usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas
con la mejor comodidad para usted y su familia. Todos los datos que nos ha
proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los
casos en los que realicemos una reserva o tengamos que cumplir con una obligación
legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no
dude en contactarnos por correo electrónico: ***EMAIL. 1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus
derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de
datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de
sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico: ***EMAIL.1 ”
SEGUNDO : El 23 de octubre de 2021, la parte reclamante envió un correo electrónico
***EMAIL.1 en el que consta:
“Recientemente se me ha solicitado autorización para tratar y ceder mis datos
personales así como el de las 6 personas que me acompañaban en relación con una
reserva que hice de un apartamento en Barcelona. Además de ser excesivos (tuvimos
que enviar copias de nuestros DNI, rellenar un largo formulario y hacernos selfies), no
daban opción a que denegara el consentimiento para que me enviasen sus ofertas y
otros productos.
Siguiendo con lo establecido en dicha autorización y con la normativa de protección de
datos quisiera saber qué datos tienen sobre mí, cuáles han obtenido siguiendo esta
autorización y cuáles han cedido y a quién.[…]”
El 25 de octubre de 2021, el departamento de reservas de apartments2be, desde la
dirección ***EMAIL.1 , envió un correo electrónico a la parte reclamante en el que se
respondía el correo electrónico anteriormente citado, indicando:
“Gracias por su email, los únicos datos que tenemos sobre usted son los que usted
facilitó a Airbnb: su nombre, sus apellidos, un número de teléfono y el email que le
hizo Airbnb cuando creó su cuenta y que los mensajes le llegan a la bandeja de
mensajes de airbnb.
El registro de viajeros que realizaron, es obligatorio en Cataluña, no se puede acceder
a un alojamiento en Cataluña sea del tipo que sea sin antes realizar un registro de
viajeros, hay particulares que lo hacen a mano rellenando un papel y haciendo una
foto del dni del cliente que luego imprimen y envían en formato pdf a los mossos, pero
este modo, a nuestro entender sí que hace que los datos de los clientes estén en
nuestras manos y sufran trazabilidades, es por esto que usamos el modo telemático,
ustedes subieron sus datos a una plataforma que hace un volcado en la web de los
mossos de esquadra, prácticamente los envían ustedes directamente, nosotros solo
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

9 / 21
validamos una imagen que vemos ( no podemos imprimir, ni descargar , ni copiar)
para verificar que esté correcta, porque es nuestra responsabilidad recoger todos
estos datos, una vez les transfiere los datos ustedes directamente, estos desaparecen
y solo ellos los tienen.
La policía no está obligada a decirle a usted la finalidad con la que recaba datos de los
viajeros.
Nosotros no hemos cedido sus datos porque no los hemos tenido nunca ni los
queremos, ni los necesitamos. puede quedarse tranquila no enviamos ningún tipo de
publicidad a los clientes ni hacemos campañas”
TERCERO : Con fecha 27 de octubre de 2021, la parte reclamante interpuso
reclamación ante la Agencia Española de Protección de Datos por entender que los
datos que se exigen en el chek-in online son excesivos y por considerar que la
respuesta que se la ha dado en fecha 25 de octubre de 2021 es muy genérica.
CUARTO : Consta acreditado que el responsable de la página web ***URL.1 es la
parte reclamada.
QUINTO : La Agencia Española de Protección de Datos ha notificado en legal forma a
la parte reclamada el acuerdo de apertura del presente procedimiento sancionador,
pero ésta no ha presentado alegaciones ni pruebas que contradigan los hechos
denunciados.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD,
es competente para iniciar y resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.”
El artículo 3.2 del RGPD señala que “El presente Reglamento se aplica al tratamiento
de datos personales de interesados que se encuentren en la Unión por parte de un
responsable o encargado no establecido en la Unión, cuando las actividades de
tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago,
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

10 / 21
En el presente caso, la parte reclamada, si bien no está establecida en la Unión,
ofrece un servicio de alquiler de apartamentos vacacionales dentro de la misma, por lo
que la Agencia es competente para tramitar el presente expediente.
II
Todo responsable del tratamiento ha de respetar los principios recogidos en el artículo
5 del RGPD. Destacaremos el artículo 5.1.c) del RGPD que establece que:
“1. Los datos personales serán
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los
que son tratados («minimización de datos»);”
Hay que aclarar que este artículo no limita el exceso de datos, sino la necesidad. Es
decir, los datos personales serán, “adecuados, pertinentes y limitados a la necesidad”
para la que fueron recabados, de tal manera que si el objetivo perseguido puede
alcanzarse sin realizar un tratamiento excesivo de datos, así debe hacerse en todo
caso.
Igualmente, el considerando 39 del RGPD indica que: “Los datos personales solo
deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por
otros medios.” Por tanto, únicamente se tratarán los datos que sean, “ adecuados,
pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan” .
Las categorías de datos seleccionados para su tratamiento deben ser los
estrictamente necesarios para lograr el objetivo declarado y el responsable del
tratamiento debe limitar estrictamente la recogida de datos a aquella información que
esté directamente relacionada con el fin específico que se intenta alcanzar.
En el presente caso la parte reclamada realiza un tratamiento de diversos datos
personales como el nombre, apellidos, número de teléfono, dirección de correo
electrónico, dirección postal, imagen del D.N.I. por los dos lados.
Y no todos ellos son necesarios ni para prestar el servicio de alquiler de apartamentos
vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que
se alojan en los establecimientos de hospedaje de Cataluña que exige el artículo 2 de
la Orden IRP/418/2010, de 5 de agosto, sobre la obligación de registro y comunicación
a la Dirección General de Policía de las personas que se alojan en los
establecimientos de hospedaje ubicados en Cataluña.
Es en el anexo I de la citada Orden donde se indican qué datos son necesarios para
tal registro: número del documento de identidad, tipo de documento, fecha de
expedición del mismo (si consta), apellidos, nombre, sexo, nacionalidad, fecha de
entrada, domicilio, número de teléfono y días previstos de estancia.
De la documentación obrante en el expediente hay evidencias de que la parte
reclamada ha vulnerado el artículo 5.1.c) del RGPD, al haber exigido la imagen del
D.N.I. por los dos lados, a efectos de poder obtener éstas las llaves del alojamiento
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

11 / 21
que han reservado, pues tales datos no son necesarios para el tratamiento que realiza
la parte reclamada.
Por otro lado, hay que indicar que, si bien la parte reclamante indicó que la parte
reclamada también la exigió un selfie de las personas que se iban a alojar en el
apartamento, este extremo no ha sido debidamente probado.
III
En el presente caso, la parte reclamada no ha presentado alegaciones ni pruebas que
contradigan los hechos denunciados en el plazo dado para ello.
De conformidad con las evidencias de las que se dispone y que no han sido
desvirtuadas durante el procedimiento sancionador, se considera que la parte
reclamada ha tratado datos que eran excesivos al no ser necesarios para la finalidad
para la que se trataban.
Atendiendo a lo expuesto, los hechos suponen una vulneración de lo establecido en el
artículo 5.1.c) del RGPD, lo que supone la comisión de una infracción tipificada en el
artículo 83.5, apartado a) del RGPD, que bajo la rúbrica “Condiciones generales para
la imposición de multas administrativas” dispone que:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;”
A este respecto, la LOPDGDD, en su artículo 71 establece que “ Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica” .
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:
Artículo 72. Infracciones consideradas muy graves.
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

12 / 21
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679.”
IV
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan :
“1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturale -
za, alcance o propósito de la operación de tratamiento de que se trate así como el nú -
mero de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para pa -
liar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habi -
da cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los
artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

13 / 21
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.”
Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,
“ Sanciones y medidas correctivas”, dispone:
“2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.”
Atendiendo a los preceptos transcritos, a efectos de fijar el importe de la sanción de
multa a imponer en el presente caso por la infracción tipificada en el artículo 83.5.a)
del RGPD, procede graduarla de acuerdo con las siguientes circunstancias:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

14 / 21
Como agravantes:
- En la actividad de la parte reclamada es imprescindible el tratamiento de datos de
carácter personal de las personas que se alojan en sus apartamentos vacacionales
(artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k) del RGPD).
- La intencionalidad o negligencia en la infracción, puesto que la parte reclamada era
plenamente consciente del procedimiento implantado (artículo 83.2.b) del RGPD).
Conectada con el grado de diligencia que el responsable del tratamiento está obligado
a desplegar en el cumplimiento de las obligaciones que le impone la normativa de
protección de datos puede citarse la Sentencia de la Audiencia Nacional de 17 de 10
de 2007 (rec. 63/2006), la cual, después de aludir a que las entidades en las que el
desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y
terceros han de observar un adecuado nivel de diligencia, precisaba que “(...) el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta
con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso
ahora examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado
por ajustarse a las prevenciones legales al respecto” (artículo 83.2.b) del RGPD).
El acuerdo de inicio del presente procedimiento sancionador indicó que “La cuantía de
la multa que correspondería, sin perjuicio de lo que resulte de la instrucción del
procedimiento, es de 50.000 € (cincuenta mil euros).”
No obstante, a la vista de no haberse acreditado que la parte reclamada exija un selfie
de las personas que se van a alojar en sus apartamentos a la hora de hacer el chek-in
online, así como por el balance de las circunstancias contempladas, con respecto a la
infracción cometida al vulnerar lo establecido en el artículo 5.1.c) del RGPD, se fija una
multa de 25.000 € (veinticinco mil euros).
V
El artículo 13 del RGPD regula la información que se debe facilitar al interesado
cuando los datos son recogidos directamente de él, estableciéndose lo siguiente:
“1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

15 / 21
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su
caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer
país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los
artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las
garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o
al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los
datos personales relativos al interesado, y su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad
de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo
9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no
facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se
refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.”
La información que remite la parte reclamada a las personas que han realizado la
reserva de uno de sus apartamentos vacacionales es la siguiente:
“Su información acaba de ser introducida en la base de datos. Le informamos que los
datos proporcionados solo se utilizarán para cumplir con las reservas, así como para
mantenerlo actualizado de nuestras noticias, promociones y ofertas.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

16 / 21
Asimismo, nos gustaría informarle que la empresa guarda la información personal que
usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas
con la mejor comodidad para usted y su familia. Todos los datos que nos ha
proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los
casos en los que realicemos una reserva o tengamos que cumplir con una obligación
legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no
dude en contactarnos por correo electrónico: hello@***URL.1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus
derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de
datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de
sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico: ***EMAIL.1 ”
Por tanto, la parte reclamada no envía a los interesados toda la información que exige
el artículo 13 del RGPD, en concreto faltaría remitirles:
- La identidad y los datos de contacto del responsable y, en su caso, de su
representante.
- Los datos de contacto del delegado de protección de datos, en su caso.
- La base jurídica del tratamiento de datos.
- Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo.
- El derecho a presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no
facilitar tales datos.
A mayor abundamiento, la “Política de Privacidad” de la parte reclamada señala lo
siguiente:
“MARKETING ACCOMMODATION SOLUTIONS FZ-LLC, con identificador fiscal
45000501 y dirección en: Business Park, PO Box 10055, Ras Al Khaimah UAE, no
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

17 / 21
puede asumir ninguna responsabilidad derivada del uso incorrecto, inapropiado o
ilícito de la información aparecida en las páginas web de: ***URL.1
Que MARKETING ACCOMMODATION SOLUTIONS FZ-LLC consta inscrita en el
Registro Mercantil de EAU
Con los límites establecidos en la ley, MARKETING ACCOMMODATION SOLUTIONS
FZ-LLC no asume ninguna responsabilidad derivada de la falta de veracidad,
integridad, actualización y precisión de los datos o informaciones que contienen sus
páginas web.
Los contenidos e información no vinculan a MARKETING ACCOMMODATION
SOLUTIONS FZ-LLC ni constituyen opiniones, consejos o asesoramiento legal de
ningún tipo pues se trata meramente de un servicio ofrecido con carácter informativo y
divulgativo.
Las páginas de Internet de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC
pueden contener enlaces (links) a otras páginas de terceras partes que MARKETING
ACCOMMODATION SOLUTIONS FZ-LLC. no puede controlar. Por lo tanto,
MARKETING ACCOMMODATION SOLUTIONS FZ-LLC no puede asumir
responsabilidades por el contenido que pueda aparecer en páginas de terceros.
Los textos, imágenes, sonidos, animaciones, software y el resto de contenidos
incluidos en este website son propiedad exclusiva de MARKETING
ACCOMMODATION SOLUTIONS FZ-LLC o sus licenciantes. Cualquier acto de
transmisión, distribución, cesión, reproducción, almacenamiento o comunicación
pública total o parcial, deberá contar con el consentimiento expreso de MARKETING
ACCOMMODATION SOLUTIONS FZ-LLC Asimismo, para acceder a algunos de los
servicios que MARKETING ACCOMMODATION SOLUTIONS FZ-LLC ofrece a través
del sitio web, deberá proporcionar algunos datos de carácter personal. En
cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos le informamos que, mediante la cumplimentación de los presentes
formularios, sus datos personales quedarán incorporados y serán tratados en los
ficheros de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC con el fin de
poderle prestar y ofrecer nuestros servicios así como para informarle de las mejoras
del sitio Web.
Le informamos también de que tendrá la posibilidad en todo momento de ejercer los
derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad de
sus datos de carácter personal, de manera gratuita mediante email a: ***EMAIL.3 ”
Esto es, la política de privacidad de la parte reclamada tampoco está adaptada a lo
establecido en el artículo 13 del RGPD, pues faltaría incluir la siguiente información:
- La identidad y los datos de contacto del responsable y, en su caso, de su
representante.
- Los datos de contacto del delegado de protección de datos, en su caso.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

18 / 21
- La base jurídica del tratamiento de datos.
- Los destinatarios o las categorías de destinatarios de los datos personales, en su
caso.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo.
- El derecho a presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no
facilitar tales datos.
De la documentación obrante en el expediente hay evidencias de que la parte
reclamada ha vulnerado el artículo 13 del RGPD, al no haber remitido a las personas
que han realizado la reserva de uno de sus apartamentos vacacionales toda la
información que exige el mencionado precepto, ni tiene adaptada su política de
privacidad a lo establecido en el precitado artículo.
VI
En el presente caso, la parte reclamada no ha presentado alegaciones ni pruebas que
contradigan los hechos denunciados en el plazo dado para ello.
De conformidad con las evidencias de las que se dispone y que no han sido
desvirtuadas durante el procedimiento sancionador, se considera que la parte
reclamada no ha cumplido con la obligación de remitir al interesado toda la información
que recoge el artículo 13 del RGPD.
Atendiendo a lo expuesto, los hechos suponen una vulneración de lo establecido en el
artículo 13 del RGPD, lo que supone la comisión de una infracción tipificada en el
artículo 83.5, apartado b) del RGPD, que bajo la rúbrica “Condiciones generales para
la imposición de multas administrativas” dispone que:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22;”
A este respecto, la LOPDGDD, en su artículo 71 establece que “ Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica” .
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

19 / 21
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD indica:
Artículo 72. Infracciones consideradas muy graves.
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(…)
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos
personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)
2016/679 y 12 de esta ley orgánica.”
VII
A efectos de fijar el importe de la sanción de multa a imponer en el presente caso por
la infracción tipificada en el artículo 83.5.b) del RGPD, procede graduarla de acuerdo
con las siguientes circunstancias:
Como agravantes:
- En la actividad de la parte reclamada es imprescindible el tratamiento de datos de
carácter personal de las personas que se alojan en sus apartamentos vacacionales
(artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k) del RGPD).
- La intencionalidad o negligencia en la infracción, puesto que la parte reclamada es
plenamente consciente de su política de privacidad. Conectada con el grado de
diligencia que el responsable del tratamiento está obligado a desplegar en el
cumplimiento de las obligaciones que le impone la normativa de protección de datos
puede citarse la Sentencia de la Audiencia Nacional de 17 de 10 de 2007 (rec.
63/2006), la cual, después de aludir a que las entidades en las que el desarrollo de su
actividad conlleva un continuo tratamiento de datos de clientes y terceros han de
observar un adecuado nivel de diligencia, precisaba que “(...) el Tribunal Supremo
viene entendiendo que existe imprudencia siempre que se desatiende un deber legal
de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y
en la valoración del grado de diligencia ha de ponderarse especialmente la
profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado,
cuando la actividad de la recurrente es de constante y abundante manejo de datos de
carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las
prevenciones legales al respecto” (artículo 83.2.b) del RGPD).
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

20 / 21
El balance de las circunstancias contempladas, con respecto a la infracción cometida
al vulnerar lo establecido en el artículo 13 del RGPD, permite fijar una multa 50.000 €
(cincuenta mil euros).
VIII
En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y
los hechos que han dado lugar a la vulneración de la normativa de protección de
datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio
de que el tipo de procedimientos, mecanismos o instrumentos concretos para
implementarlas corresponda a la parte sancionada, pues es el responsable del
tratamiento quien conoce plenamente su organización y ha de decidir, en base a la
responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la
LOPDGDD.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE :
PRIMERO : IMPONER a MARKETING ACCOMMODATION SOLUTIONS FZ, L.L.C.,
con identificador fiscal 45000501 , por la infracción:
- Del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) del RGPD, una multa de
VEINTICINCO MIL EUROS (25.000€).
- Del artículo 13 del RGPD, tipificada en el artículo 83.5.b) del RGPD, una multa de
CINCUENTA MIL EUROS (50.000€).
SEGUNDO : NOTIFICAR la presente resolución a MARKETING ACCOMMODATION
SOLUTIONS FZ, L.L.C..
TERCERO : Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
XXXXXXXXXXX) , abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

21 / 21
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3.a) de la LPACAP , se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-181022
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es