Spagna: no all'inserimento del telefono personale del lavoratore nella chat Whatsapp - da conoscere

1/17
 Expediente N.º: EXP202310848
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR RECONOCIMIENTO
DE RESPONSABILIDAD Y PAGO VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 15 de abril de 2025, la Presidencia de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a LVMH IBERIA, S.L.
(en adelante, LVMH IBERIA), mediante el acuerdo que se transcribe:
<<
Expediente N.º: EXP202310848
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos y en
base a los siguientes
HECHOS
PRIMERO: En fecha 10 de julio de 2023, se interpuso reclamación ante la Agencia
Española de Protección de Datos, por una posible infracción imputable a LVMH
IBERIA, S.L., con NIF B81733503 (en adelante, LVMH IBERIA).
Los hechos que se ponen en conocimiento de esta Autoridad son los siguientes:
La reclamante manifiesta que estuvo trabajando durante (…) en la empresa LVMH
IBERIA S.L., en una tienda sita en ***LOCALIDAD.1.
Expone que durante el transcurso de su relación laboral tuvo que hacer uso de su
teléfono móvil personal por requerimiento y exigencia de la empresa, en espera de un
terminal corporativo que la empresa nunca le llegó a entregar. Entrega que, según
afirma, sí se produjo a otros empleados incorporados con posterioridad a ella.
Manifiesta que, en fecha (…), fecha del comienzo de sus vacaciones, se salió de
varios grupos de WhatsApp, previo aviso verbal y por correo electrónico a todos los
responsables de la tienda.
Afirma que en fecha 5 de junio de 2023, en su día de descanso, la ***PUESTO.1 de la
tienda (A.A.A.) agregó el número de su dispositivo personal al grupo de WhatsApp
denominado “GRUPO.1”, sin previo aviso ni comunicación al respecto y que, en fecha
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
2/17
28 de junio de 2023, la misma persona eliminó del citado grupo de WhatsApp, el
número del dispositivo personal de la reclamante al ser despedida de la empresa.
Junto al escrito aporta copia del correo electrónico enviado por la parte reclamante, en
fecha 11 de mayo de 2023, a varios destinatarios con la extensión louisvuitton.com.
entre ellos, A.A.A.: ***EMAIL.1., por el que les comunica su intención de no volver a
usar su teléfono móvil personal para cuestiones laborales, excepto para el caso de
clientes que ya disponían de su número. En dicho correo electrónico, la reclamante
indicaba que “espero pronto tener disponible el móvil de empresa” y anunciaba que
“saldré de los grupos a final de mi jornada el día viernes”.
Asimismo, aporta varias capturas de pantalla del grupo de WhatsApp denominado
“GRUPO.1,” creado en fecha 6 de noviembre de 2014, grupo al que la reclamante fue
agregada, en fecha 5 de junio de 2023, según lo manifestado por la reclamante, por el
usuario A.A.A..
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales
(en adelante LOPDGDD), se dio traslado de dicha reclamación a LVMH IBERIA, para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, (en adelante, LPACAP), mediante notificación electrónica, fue recibido en
fecha 2 de agosto de 2023, como consta en el certificado que obra en el expediente.
En fecha 31 de agosto de 2023, se recibe en esta Agencia escrito de respuesta de
LVMH IBERIA indicando, en relación con los hechos objeto de reclamación, que la
empresa adoptó en todo momento una postura garantista.
Expone que dicha postura queda clara cuando se revisa el correo electrónico de fecha
11 de mayo de 2023. Considera que, en él, la reclamante no solicita, a pesar de lo
afirmado en la reclamación, ser eliminada como tal de los grupos de WhatsApp de
empresa. Literalmente anunciaba que comenzaba sus vacaciones (…) y que entonces
saldría de dichos grupos (además de avisar que deseaba seguir usando su móvil
personal para fines laborales respecto a temas de clientes ya existentes y para
localización en planta, sin excluir los grupos de WhatsApp). Afirma que la empresa,
respetó escrupulosamente la no participación de la reclamante de dichos grupos
durante todo el período de vacaciones, lo que revela el rigor con el que la empresa
deseó respetar en todo momento su privacidad.
Manifiesta que la reclamante no solicitó una eliminación permanente, sino que solo
manifestó su voluntad de salir y no participar en dichos grupos durante las vacaciones,
algo a lo que la empresa no solo accedió, sino que “blindó” permitiendo una baja
temporal en los grupos durante ese período.
Entiende que la empresa ha adoptado respecto a las peticiones de la reclamante
siempre la solución más respetuosa para su privacidad, a saber, cuando apoyó la baja
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
3/17
temporal de los grupos de WhatsApp de empresa incluso sin haberlo solicitado ella
expresamente, cuando respetó su intención de no participar en ellos durante sus
vacaciones, cuando la reintegró a los mismos solo al regresar de aquéllas y, por
último, eliminándola de manera inmediata y definitiva de dichos grupos cuando causó
baja como empleada en la empresa.
Considera que la práctica de la empresa hasta la fecha en esta materia ha sido
prudente y garantista toda vez que los grupos de WhatsApp sólo incluyen empleados
de la empresa, sin admitir a ningún tercero y que los datos personales de los
miembros que son objeto de tratamiento necesario se refieren exclusivamente al
nombre y apellidos de los miembros y a su número móvil, así como a su intervención
en determinadas tareas y proyectos de la empresa, es decir, a los mínimos
indispensables.
Expone que la justificación del establecimiento de dichos grupos es la naturaleza de
las operaciones de la empresa, siendo la forma más eficaz y menos intrusiva de poder
organizar el trabajo y dar cumplimiento a las obligaciones laborales de empresa y
trabajadores.
Explica que con carácter general, los miembros de tales grupos lo son usando sus
terminales móviles ICON proporcionados por la empresa con especiales
características de seguridad y que, atendiendo al hecho de que los mismos podrían no
estar disponibles en un momento dado (sea por robo, extravío, avería o problemas de
suministro) y que, al ser una herramienta de trabajo, el empleado podría no poder
cumplir sus obligaciones laborales o ejercitar sus derechos laborales adecuadamente,
se admitía hasta ahora la posibilidad de usar, de forma excepcional y transitoria, el
móvil personal para participar en uno de esos grupos de WhatsApp de empresa.
No obstante, lo anterior, indica que con objeto de que no quede duda alguna en lo
sucesivo sobre cuál es el criterio y el propósito de la empresa cuando aplica esa
práctica, se ha decidido:
(1) Redactar y aprobar durante el mes de septiembre de 2023 un protocolo escrito
específico, a través de su Delegado de Protección de Datos que refleje esa buena
práctica de forma expresa, con la variación señalada más abajo y
(2) Prohibir con efecto inmediato, a partir del 1 de septiembre de 2023, la participación
de sus empleados en los grupos de WhatsApp de empresa siempre que no tengan
operativo un terminal ICON, incluso (a) si hubieran solicitado expresamente ser
incorporados o reincorporados a dichos grupos usando sus móviles personales y/o (b)
si el terminal móvil ICON hubiera sido sustraído, perdido o estuviera en reparación o
indisponible por cualquier motivo. La comprobación de dicha medida es sencilla en la
medida en la que la empresa posee el listado de todos los móviles ICON usados por
sus empleados y el responsable de comunicaciones de la misma comprobará el
mismo semanalmente frente al listado de miembros de los grupos de WhatsApp de
empresa.
TERCERO: En fecha 29 de septiembre de 2023, tras analizarse la documentación que
obraba en el expediente, se dictó resolución por la Directora de la Agencia Española
de Protección de Datos, acordando inadmitir a trámite de la reclamación.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
4/17
La resolución fue notificada a la parte reclamante, en fecha 25 de octubre de 2023,
según consta acreditado en el expediente.
CUARTO: En fecha 3 de noviembre de 2023, la parte reclamante interpuso recurso
potestativo de reposición, a través del Registro Electrónico de la AEPD, contra la
resolución recaída en el expediente EXP202310848, en el que, en síntesis,
manifestaba su disconformidad con la resolución impugnada, solicitando que se
admitiera a trámite la reclamación inicial presentada en la AEPD.
QUINTO: En fecha 23 de enero de 2024, de conformidad con lo establecido en el
artículo 118 de la LPACAP, se procedió a la práctica de la notificación del trámite de
audiencia a la parte reclamada, a los efectos de que formulase las alegaciones y
presentase los documentos y justificantes que estimase procedentes, lo que se ha
verificado mediante escrito de respuesta de fecha 2 de febrero de 2024.
En dicho escrito manifiesta en primer lugar, que la empresa desea ratificarse y
confirmar en su totalidad el contenido de su anterior escrito de alegaciones de fecha
31 de agosto de 2023.
Entiende, no obstante, que resulta importante resaltar cómo la propia recurrente ha
reconocido en sus dos escritos la veracidad y exactitud de las alegaciones de la
empresa.
Afirma que la recurrente ha confirmado expresamente que el régimen aplicable al uso
corporativo de WhatsApp se basaba en teléfonos corporativos ICON, y quedaba sujeto
a criterios estrictos sobre quiénes podían hacer uso del sistema y para qué fines.
Considera que denunciar que la empresa le impuso algo en contra de su
consentimiento va simplemente en contra de los hechos reales que la propia B.B.B. ha
acreditado más allá de cualquier duda razonable con la prueba propia presentada por
ella misma.
Finalmente, la empresa no realiza comentario alguno con respecto a los hechos o
elementos nuevos incorporados por la recurrente en su recurso, pero no incluidos en
la reclamación original y que, por ello, considera que resultan legalmente inadmisibles.
Entiende, por tanto, que resulta procedente que la AEPD desestime el recurso de
reposición presentado.
SEXTO: En fecha 16 de abril de 2024, la Directora de la Agencia Española de
Protección de Datos resolvió estimar el recurso de reposición interpuesto contra la
resolución de esta Agencia dictada en fecha 29 de septiembre de 2023, y, admitir a
trámite la reclamación formulada de acuerdo con lo establecido en el artículo 65 de la
LOPDGDD.
En la motivación de la estimación del recurso se indicaba lo siguiente:
La parte reclamada tampoco ha acreditado una causa de licitud que justificase utilizar
el número personal de los trabajadores para su inclusión en un grupo de WhatsApp,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
5/17
sin que resulte suficiente la supuesta imposibilidad de obtener dispositivos
corporativos compatibles con esta aplicación, que tampoco ha quedado justificada por
la parte reclamada. Esto resulta aplicable tanto al tratamiento realizado sobre los
datos de la parte recurrente como al tratamiento que continúe realizándose de los
empleados actuales a los que no se proporcione dispositivo corporativo.
SÉPTIMO: De acuerdo con el informe recogido de la herramienta AXESOR, la entidad
LVMH IBERIA es una gran empresa, constituida en el año 1997, y con un volumen de
negocios de 541.845.000 € euros, en el año 2023.
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
Garantía de los Derechos Digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento, la Presidencia de la Agencia Española de
Protección de Datos.
II
Procedimiento
Asimismo, el artículo 63.2 de la LOPDGDD determina que: “Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos”.
De acuerdo con el artículo 64 de la LOPDGDD, y teniendo en cuenta las
características de la presunta infracción cometida, se inicia un procedimiento
sancionador.
El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha
del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en
consecuencia, el archivo de actuaciones, de conformidad con lo establecido en el
artículo 64 de la LOPDGDD.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en lo sucesivo, LPACAP).
III
Cuestiones previas
El artículo 4 del RGPD, en sus apartados 1, 2, 7 y 11, define:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
6/17
“1) «datos personales»: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
“2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;
“7) «responsable del tratamiento» o «responsable» como: “la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros”.
Según los hechos conocidos, consta un tratamiento por la parte reclamada de, entre
otros y por lo que aquí concierne, el teléfono móvil personal. Dicho tratamiento es
llevado a cabo por la parte reclamada en su condición de responsable al ser quien
define los fines y medios del tratamiento de acuerdo con lo previsto en el art. 4.7
RGPD.
IV
Obligación incumplida. Licitud del tratamiento
El RGPD exige que el tratamiento de datos de carácter personal sea lícito (artículo
5.1.a), principio que desarrolla el artículo 6, cuyo apartado 1, señala que el tratamiento
solo será lícito si concurre alguna de las circunstancias que se relacionan.
Así pues, el artículo 6 del RGPD bajo la rúbrica “Licitud del tratamiento” concreta en su
apartado 1, los supuestos en los que el tratamiento de datos de terceros es
considerado lícito:
“1. El tratamiento sólo será lícito si cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
7/17
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.”
Sobre esta cuestión de la licitud del tratamiento, incide asimismo el Considerando 40
del mencionado RGPD, cuando dispone que
«Para que el tratamiento sea lícito, los datos personales deben ser tratados con el
consentimiento del interesado o sobre alguna otra base legítima establecida conforme
a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión
o de los Estados miembros a que se refiera el presente Reglamento, incluida la
necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la
necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de
tomar medidas a instancia del interesado con anterioridad a la conclusión de un
contrato.»
La documentación obrante en el expediente ofrece indicios evidentes de que la parte
reclamada llevó a cabo la utilización del número personal del dispositivo móvil de la
parte reclamante para su inclusión en un grupo de WhatsApp llamado “GRUPO.1,” sin
que conste que la empleada, aquí la reclamante, diera su consentimiento.
Tampoco se aprecia la existencia de otra base legal que legitime el tratamiento
realizado.
Así, y a pesar de lo manifestado por la reclamada en respuesta a las actuaciones
practicadas, en relación con el correo electrónico remitido por la reclamante de fecha
11 de mayo de 2023 el sentido de que, en él, la reclamante no solicita, a pesar de lo
afirmado en la reclamación, ser eliminada como tal de los grupos de WhatsApp de
empresa. Literalmente anunciaba que comenzaba sus vacaciones al día siguiente
(viernes) y que entonces saldría de dichos grupos (además de avisar que deseaba
seguir usando su móvil personal para fines laborales respecto a temas de clientes ya
existentes y para localización en planta, sin excluir los grupos de WhatsApp), hemos
de recordar la literalidad de dicha comunicación (el subrayado es de esta AEPD):
“El motivo de este correo tal y como lo hemos comentado con algunos de vosotros
personalmente, empiezo mis vacaciones el sábado y ya no seguiré utilizando mi móvil
personal para cuestiones laborales como hice hasta ahora dada la demora del ICON.
Espero pronto tener disponible el móvil de empresa, así que de omento seguiré en
contacto con mi móvil con los clientes que ya tengo, pero sin dar mi contacto a nuevos
clientes y lo llevaré conmigo para estar disponible en planta en caso de necesitar
contactarme, saldré de los grupos a final de mi jornada el día viernes.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
8/17
Resulta significativo resaltar que la reclamante indicaba expresamente su negativa a
seguir utilizando su móvil personal para cuestiones laborales, pero, a pesar de ello,
con fecha 5 de junio, solo días después, el teléfono móvil personal de la reclamante
fue de nuevo utilizado para incorporarla en el grupo de WhatsApp organizado en el
ámbito de los trabajadores de la reclamada.
Por otro lado, en el escrito elaborado por LVMH IBERIA en respuesta a la reclamación
presentada, afirma “prohibir con efecto inmediato, a partir del 1 de septiembre de
2023, la participación de sus empleados en los grupos de WhatsApp de empresa
siempre que no tengan operativo un terminal ICON”.
Y aclara que los miembros de tales grupos lo son usando terminales móviles ICON
proporcionados por la empresa con especiales características de seguridad.
Esta decisión refleja de forma expresa una buena práctica, pero no tiene en cuenta
que la reclamante no había dado su consentimiento a LVMH IBERIA para
comunicaciones vía WhatsApp, tal y como se ha indicado anteriormente. Tampoco
contempla otras posibilidades.
La falta de diligencia desplegada por la parte reclamada en el cumplimiento de las
obligaciones impuestas por la normativa de protección de datos de carácter personal
es, pues, evidente, toda vez que ante la circunstancia de que los terminales móviles
ICON proporcionados por la empresa puedan no estar disponibles en un momento
dado (ya sea por robo, extravío, avería o problemas de suministro) y que, siendo una
herramienta de trabajo, el empleado pueda no cumplir con sus obligaciones laborales,
la empresa opte por agregar el teléfono móvil del empleado a un grupo de WhatsApp.
Un cumplimiento diligente del principio de licitud en el tratamiento de datos de terceros
requiere que el responsable del tratamiento esté en condiciones de probarlo (principio
de responsabilidad proactiva), lo que, trasladado al supuesto analizado, significa que
ha de poder acreditar que la empleada prestó su consentimiento o que se contaba con
otra base legitimadora del tratamiento.
Por tanto, de conformidad con las evidencias de las que se dispone en este momento
de acuerdo de inicio de procedimiento sancionador, se considera que los hechos
conocidos podrían ser constitutivos de una infracción, imputable a LVMH IBERIA, por
vulneración del artículo transcrito anteriormente.
V
Tipificación de la infracción del artículo 6.1 del RGPD y calificación a efectos de
prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, que se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;"
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
9/17
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica”.
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD
establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
VI
Propuesta de sanción por la infracción del artículo 6 del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
“1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
10/17
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción”.
Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD
dispone:
“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado”.
En el presente caso, considerando la gravedad de la posible infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
correspondería la imposición de multa, además de la adopción de medidas, si
procede.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
estos principios, se considera, con carácter previo, el volumen de negocio de LVMH
IBERIA, S.L. (541.845.000 € euros en el año 2023)
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con las evidencias de que se dispone en el presente momento de
acuerdo de inicio de procedimiento sancionador, y sin perjuicio de lo que resulte de la
instrucción, se considera que procede graduar la sanción a imponer de acuerdo con
las circunstancias siguientes, contempladas en los preceptos antes citados.
Con carácter previo, se estima que concurren las circunstancias siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
11/17
• Intencionalidad/ Negligencia en la infracción (artículo 83.2, letra b), del
RGPD):
A este respecto, cabe señalar que la infracción afecta a un principio básico del
tratamiento de datos personales, como es el que dicho tratamiento cuente con una
base de legitimación. En el presente caso consta, asimismo que, a pesar de que la
reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono
personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese
objetivo. Es relevante asimismo para entender de aplicación esta circunstancia que,
habiendo establecido medios que no implicasen el uso de esta información personal,
como es en este caso del uso de teléfonos corporativos denominados ICON, se
utilizara el teléfono personal de la reclamante.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida, al vulnerar lo establecido en el artículo 6.1 del
RGPD, en el caso analizado en el presente acuerdo de procedimiento sancionador,
permite fijar inicialmente una sanción de multa administrativa de 70.000,00 euros.
VII
Medidas correctivas
De confirmarse la infracción, la resolución que se dicte podrá establecer las medidas
correctivas que la entidad infractora deberá adoptar para poner fin al incumplimiento
de la legislación de protección de datos personales, en este caso del artículo 6.1 del
RGPD, de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD, según el
cual cada autoridad de control podrá “ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado…”
Así, se podrá requerir a la entidad responsable para que adecúe su actuación a la
normativa de protección de datos personales, con el alcance expresado en los
anteriores Fundamentos de Derecho.
En el presente acto se establece cuál es la presunta infracción cometida y los hechos
que podrían dar lugar a esa posible vulneración de la normativa de protección de
datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio
de que el tipo de procedimientos, mecanismos o instrumentos concretos para
implementarlas corresponda a la parte sancionada, pues es el responsable del
tratamiento quien conoce plenamente su organización y ha de decidir, en base a la
responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la
LOPDGDD.
No obstante, en este caso, con independencia de lo anterior, de conformidad con las
evidencias de que se dispone en el presente momento de acuerdo de inicio de
procedimiento sancionador, en la resolución que se adopte se podrá requerir a LVHM
IBERIA para que, en el plazo de un mes, a contar desde la fecha de ejecutividad de la
resolución finalizadora de este procedimiento, adopte las medidas siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
12/17
-Acreditar la adopción de las medidas necesarias para garantizar el
cumplimiento de lo dispuesto en el artículo 6.1 del RGPD, en el tratamiento de datos
personales que realice.
La imposición de esta medida es compatible con la sanción consistente en multa
administrativa, según lo dispuesto en el art. 83.2 del RGPD.
Se advierte que no atender la posible orden de adopción de medidas impuestas por
este organismo en la resolución del presente procedimiento sancionador podrá ser
considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,
tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la
apertura de un ulterior procedimiento administrativo sancionador.
Asimismo, se recuerda que ni el reconocimiento de la infracción cometida ni, en su
caso, el pago voluntario de las cuantías propuestas, eximen de la obligación de
adoptar las medidas pertinentes para que cese la conducta o se corrijan los efectos de
la infracción cometida y la de acreditar ante esta AEPD el cumplimiento de esa
obligación.
Por lo tanto, a tenor de lo anteriormente expuesto, por la Presidencia de la Agencia
Española de Protección de Datos,
SE ACUERDA:
PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a LVHM IBERIA, S.L., con
NIF B81733503,
- por la presunta infracción del artículo 6.1 del RGPD, tipificada conforme a lo
dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de
prescripción, en el artículo 72.1.b) de la LOPDGDD.
SEGUNDO: NOMBRAR instructora a C.C.C. y, como secretaria, a D.D.D., indicando
que podrán ser recusados, en su caso, conforme a lo establecido en los artículos 23 y
24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
(LRJSP).
TERCERO: INCORPORAR al expediente, a efectos probatorios, la reclamación
interpuesta por la parte reclamante y su documentación, así como, así como los
documentos obtenidos y generados por la Subdirección General de Inspección de
Datos en las actuaciones previas al inicio del presente procedimiento sancionador.
CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la
sanción que pudiera corresponder sería de multa administrativa de 70.000,00 euros,
sin perjuicio de lo que resulte de la instrucción.
QUINTO: NOTIFICAR el presente acuerdo a LVHM IBERIA, S.L., con NIF B81733503,
otorgándole un plazo de audiencia de diez días hábiles para que formule las
alegaciones y presente las pruebas que considere convenientes. En su escrito de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
13/17
alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el
encabezamiento de este documento.
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, podrá reconocer su
responsabilidad dentro del plazo otorgado para la formulación de alegaciones al
presente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de la
sanción que proceda imponer en el presente procedimiento. Con la aplicación de esta
reducción, la sanción quedaría establecida en 56.000,00 euros, resolviéndose el
procedimiento con la imposición de esta sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que
supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,
la sanción quedaría establecida en 56.000,00 euros y su pago implicará la terminación
del procedimiento, sin perjuicio de la imposición de las medidas correspondientes.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento
de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 42.000,00 euros.
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia expresos de cualquier acción o recurso en
vía administrativa contra la sanción.
A estos efectos, en caso de acogerse a alguna de ellas, deberá remitir a la
Subdirección General de Inspección de datos comunicación expresa del desistimiento
o renuncia a cualquier acción o recurso en vía administrativa contra la sanción
indicando a cuál de las dos reducciones se acoge o si es a las dos.
En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades
señaladas anteriormente (56.000,00 euros o 42.000,00 euros), deberá hacerlo
efectivo mediante su ingreso en la cuenta nº IBAN: ES00-0000-0000-0000-0000-0000
(BIC/Código SWIFT: CAIXESBBXXX) abierta a nombre de la Agencia Española de
Protección de Datos, en la entidad bancaria CAIXABANK, S.A., indicando en el
concepto, el número de referencia del procedimiento que figura en el encabezamiento
de este documento y la causa de reducción del importe a la que se acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección junto con la comunicación del desistimiento o renuncia a cualquier acción o
recurso en vía administrativa contra la sanción para continuar con el procedimiento en
concordancia con la cantidad ingresada.
En cumplimiento de los artículos 14, 41 y 43 de la LPACAP, se advierte de que, en lo
sucesivo, las notificaciones que se le remitan se realizarán exclusivamente de forma
electrónica, a través de la Dirección Electrónica Habilitada única (dehu.redsara.es) y
de la Sede electrónica (sedeagpd.gob.es), y que, de no acceder a ellas, se hará
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
14/17
constar su rechazo en el expediente, dando por efectuado el trámite y siguiéndose el
procedimiento. Se le informa que puede identificar ante esta Agencia una dirección de
correo electrónico para recibir el aviso de puesta a disposición de las notificaciones y
que la falta de práctica de este aviso no impedirá que la notificación sea considerada
plenamente válida.
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,
contra el presente acto no cabe recurso administrativo alguno.
1479-290125
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
>>
SEGUNDO: En fecha 1 de mayo de 2025, LVMH IBERIA ha procedido al pago de la
sanción en la cuantía de 42.000,00 euros haciendo uso de las dos reducciones
previstas en el acuerdo de inicio transcrito anteriormente, lo que implica el
reconocimiento de la responsabilidad en relación con los hechos a los que se refiere el
acuerdo de inicio y su calificación jurídica.
TERCERO: En el acuerdo de inicio transcrito anteriormente se señalaba que, de
confirmarse la infracción, podría acordarse imponer al responsable la adopción de
medidas adecuadas para ajustar su actuación a la normativa mencionada en este
acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el
cual cada autoridad de control podrá “ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado…”.
Habiéndose reconocido la responsabilidad de la infracción, procede la imposición de
las medidas incluidas en el acuerdo de inicio.
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
resolver este procedimiento la Presidencia de la Agencia Española de Protección de
Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
15/17
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Terminación del procedimiento
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
“Terminación en los procedimientos sancionadores” dispone lo siguiente:
“1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.”
III
Pago voluntario y reconocimiento de responsabilidad
De conformidad con lo dispuesto en el citado artículo 85 de la LPACAP, en el acuerdo
de inicio notificado se informaba sobre la posibilidad de reconocer la responsabilidad y
de realizar el pago voluntario de la sanción propuesta, lo que supondría dos
reducciones acumulables de un 20% cada una. Con la aplicación de estas dos
reducciones, la sanción quedaría establecida en 42.000,00 euros y su pago implicaría
la terminación del procedimiento, sin perjuicio de la imposición de las medidas
correspondientes.
Tras la notificación del citado acuerdo de inicio, LVMH IBERIA ha procedido al
reconocimiento de la responsabilidad y al pago voluntario de la sanción, acogiéndose
a las dos reducciones previstas. De conformidad con el apartado 3 del artículo 85
LPACAP, la efectividad de las citadas reducciones estará condicionada al desistimiento
o renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
Debe tenerse en cuenta que, de acuerdo con los preceptos de la LPACAP, así como
de la jurisprudencia del Tribunal Supremo en esta materia, el ejercicio del pago
voluntario por el presunto responsable no exime a la administración de la obligación de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
16/17
resolver y notificar todos los procedimientos, cualquiera que sea su forma de
iniciación. De igual forma, el artículo 88 de la citada norma establece que la resolución
que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los
interesados y aquellas otras derivadas del mismo.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones, la Presidencia de la Agencia Española de Protección de
Datos RESUELVE:
PRIMERO: DECLARAR la comisión de las infracciones y CONFIRMAR las sanciones
determinadas en la parte dispositiva del acuerdo de inicio transcrito en la presente
resolución.
La suma de las citadas cuantías arroja una cantidad total 70.000,00 euros.
Tras haber procedido LVMH IBERIA, S.L. al pronto pago y reconocimiento de
responsabilidad, se procede, en virtud del artículo 85 de la LPACAP, a la reducción de
un 40% del total mencionado, lo cual supone la cantidad definitiva de 42.000,00 euros.
La efectividad de las citadas reducciones está condicionada, en todo caso, al
desistimiento o renuncia de cualquier acción o recurso en vía administrativa.
SEGUNDO: DECLARAR la terminación del procedimiento EXP202310848, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
TERCERO: ORDENAR a LVMH IBERIA, S.L. para que en el plazo de 1 mes desde
que la presente resolución sea firme y ejecutiva, notifique a la Agencia la adopción de
las medidas que se describen en los fundamentos de derecho del acuerdo de inicio
transcrito en la presente resolución.
CUARTO: NOTIFICAR la presente resolución a LVMH IBERIA, S.L..
QUINTO: De acuerdo con lo previsto en el artículo 85 de la LPACAP que condiciona la
reducción por pago voluntario y reconocimiento de la responsabilidad al desistimiento
o renuncia de cualquier acción o recurso en vía administrativa, la presente resolución
será firme en vía administrativa y plenamente ejecutiva a partir de su notificación.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
17/17
No obstante, conforme a lo previsto en el artículo 90.3.a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado
manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste
el caso, el interesado deberá comunicar formalmente este hecho mediante escrito
dirigido a la Agencia Española de Protección de Datos, presentándolo a través del
Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o
a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley
39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación
que acredite la interposición efectiva del recurso contencioso-administrativo. Si la
Agencia no tuviese conocimiento de la interposición del recurso contenciosoadministrativo en el plazo de dos meses desde el día siguiente a la notificación de la
presente resolución, daría por finalizada la suspensión cautelar.
1259-260325
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es