| demo | 2025-11-16 · NEW:  Appunta · Stampa · Cita: 'Doc 100524' · pdf |
|
abstract:
Documento annotato il 16.11.2025
Fonte: aepd.es
Link: https://www.aepd.es/documento/ps-00158-2023.pdf
Link: https://www.aepd.es/documento/ps-00158-2023.pdf
analisi:
L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni
-
index:
testo:
Eestimated reading time: 46 min 1 / 20
Expediente N.º: EXP202211901
RESOLUCIÓN DE PROCEDIMIENTO ...
ROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO : En fechas 14/10/2022 y 26/10/2022 tienen entrada en la Agencia Española
de Protección de Datos (AEPD), remitidas por la Autoridad Catalana de Protección de
Datos, las reclamaciones presentadas por A.A.A. y B.B.B. (en adelante, la parte o las
partes reclamantes 1 y 2) La reclamación se dirige contra THE RED KIWI, S.L., con
NIF B53769881 (en adelante, la parte reclamada o la SOCIEDAD), entidad que actúa
con el nombre comercial de CLÍNICA DORSIA.
La parte reclamante basa su reclamación en que la parte reclamada, sin su
autorización, ha incluido su número de teléfono móvil en un grupo de WhatsApp que
ha creado con los datos de sus clientes, de forma que el teléfono de cada uno de los
miembros del grupo es accesible a todos ellos. Las partes reclamantes 1 y 2 añaden
que la parte reclamada, ante las protestas de los clientes agregados al grupo, lo ha
abandonado sin cerrarlo.
-La parte reclamante 1 manifiesta:
“ La Clínica Dorsia en ***DIRECCIÓN.1 ha abierto un grupo de whatssap con los
teléfonos visibles de unos 90 clientes con datos personales . A pesar de
informarles de que no era legal, han decidido salir del grupo dejándolo abierto.”
(El subrayado es nuestro)
Aporta como documento anexo tres capturas de pantalla de un terminal móvil:
Primera captura de pantalla:
En el encabezamiento se informa del grupo y de sus miembros.
Consta lo siguiente: “ Medicina estética 2”, seguido del dibujo de unos labios rojos
(en adelante el dibujo). A continuación:
“You; ***TELÉFONO.1; ***TELÉFONO.2; ***TELÉFONO.3; ***TELÉFONO.4;
***TELÉFONO.5; ***TELÉFONO.6 ”
Bajo la leyenda “ Today ” se incluyen los siguientes mensajes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
2 / 20
- “ ***TELÉFONO.7 created group Medicina estética 2,” seguido del dibujo.
- “* **TELÉFONO.7 added you ”
- De “***TELÉFONO.7 DORSIA (...) ” con una fotografía en la que se promociona
un servicio estético.
-Tres mensajes enviados a las 3.21pm desde el número ***TELÉFONO.4 por
C.C.C. : “ Quién eres?” “De qué me conoces?” “Qué es esto?”
- Mensaje enviado desde “ ***TELÉFONO.7 DORSIA (...)” :
“ Este octubre en Dorsia (...) DESCUENTOS DE MIEDOOOO […] Para cuando te
doy cita?” (El subrayado es nuestro)
-Mensaje enviado desde “ ***TELÉFONO.8 (...) ” a las 3.21 pm con este texto:
“ Perdón ”.
Segunda captura de pantalla :
Recoge la conversación de la reclamante 1, desde su número de móvil
( ***TELÉFONO.7).
Figura en primer término un mensaje enviado el 10/08/2022 - antes de los
hechos objeto de la reclamación- con este texto:
“ Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...) , veo que tenemos una solicitud pendiente de información en
medicina estética […]”
Bajo la indicación “ TODAY ” se incluye una conversación mantenida entre la
reclamante 1 y el teléfono ***TELÉFONO.7 que va seguido de la indicación
“ Medicina Estética 2”, el dibujo y “ Dorsia (...) ”.
-Mensaje enviado a las 3.30 pm con este texto: “ Lo siento ha sido un error”.
-Respuesta de la reclamante 1: “ Hola D.D.D. , entiendo que ha sido un error, pero
Dorsia tendrá que hacer algo para compensar ”.
-Mensaje de la reclamada a las 3.40 pm: “ Lo siento, A.A.A. , ha sido un gran
error. Sentimos las molestias ”.
-Mensajes enviados a las 5.08 pm y 5.09 pm por la reclamante 1: “ El grupo sigue
activo. Haced el favor de eliminarlo”. “ Os lo digo porque ahora sí que os pueden
denunciar”.
-Enviado por la reclamada a las 5.24 pm “ Dios mío lo he eliminado”.
Tercera captura de pantalla:
Recoge la conversación de la reclamante 1 con el número ***TELÉFONO.9 que
va precedido de un anagrama ilegible.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
3 / 20
En primer término, aparece un mensaje enviado el 17/08/2022 y este texto:
“ A.A.A. , te recordamos tu próxima cita el 18-08-2022 […]”
Bajo la rúbrica “ TODAY ” figuran los siguientes mensajes:
-Enviado por la reclamada a las 5.18 pm: “ A.A.A. por favor podrías enviarme
una foto de lo del grupo? q la chica de recepción m dice q lo ha eliminado para
poder verlo y estamos buscando una forma de solucionarlo.”
Enviados por la reclamante 1 a las 5.19 pm seis mensajes:
- “ Yo no voy a enviar nada, lo siento ”.
-Un mensaje que incluye un enlace a “estética 2” seguido del dibujo.
- “ esto es actúa”;
- “verás la hora”.
- “ pero no voy a mandar foto de lo que es está diciendo como podéis entender ”
- “ pues yo no me pondré en riesgo”
De la reclamada, a las 5.20 pm: “ muchísimas gracias A.A.A. ”
-La parte reclamante 2 manifiesta:
“ El pasado 5 de Octubre Clínicas Dorsia (...) abrió un grupo de WhatsApp con
sus clientes para compartir una promoción, dejando expuesto el teléfono de
cada uno de nosotros. Al ver el claro descontento en general, Clínicas Dorsia
abandono el grupo SIN ELIMINARLO, dejándonos a todos dentro. En ese grupo,
debido a la desorientación llegaron a haber insultos por parte de los
participantes incluso. Al salir ellos del grupo se asignó un Administrador de grupo
aleatorio y en este caso cayó sobre mí, quien no quiero tener nada que ver con
esto. Se compartieron nuestros números a otros clientes sin autorización alguna
y no se borró el grupo para intentar remediar el error .” (El subrayado es nuestro)
La parte reclamante 2 añade que dispone de capturas de pantalla y que “ el grupo
sigue abierto, de modo que puedo mostrarlo sin problema.” Indica que ha intentado
adjuntar alguna imagen sin éxito debido a problemas técnicos .
SEGUNDO : De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de ambas reclamaciones a la SOCIEDAD para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
El traslado de ambas reclamaciones, practicado conforme a las normas establecidas
en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), se realizó por medios electrónicos
y fue recogido por la parte reclamada el 11/11/2022, el mismo día de su puesta a
disposición, tal y como consta en los acuses de recibo que obran en el expediente.
No se recibió respuesta de la parte reclamada a ninguno de los escritos de los que se
le dio traslado.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
4 / 20
TERCERO : En fecha 14/01/2023, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO : De acuerdo con el informe recogido de la herramienta AXESOR, la entidad
THE RED KIWI, S.L. es una empresa mediana constituida en el año 2003. En el
ejercicio 2021 su volumen de negocio fue 19.803.262€. Es una filial de la empresa
matriz WOW AESTHETICS, S.L.
QUINTO : En fecha 07/10/2024 la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a la parte reclamada por la presunta
infracción de los artículos 5.1.f) y 32 del RGPD, infracciones tipificadas,
respectivamente, en los artículos 83.5.a) y 83.4.a) del RGPD.
SEXTO : El acuerdo de inicio del procedimiento sancionador se notificó a la parte
reclamada por medios electrónicos, conforme a las normas establecidas en el artículo
14 de la LPACAP, siendo la fecha de puesta a disposición y de aceptación de la
notificación el 07/10/2024, tal y como consta acreditado en la documentación que obra
en el expediente.
Transcurrido el plazo otorgado para la formulación de alegaciones al acuerdo de inicio,
se constata que no se ha recibido alegación alguna de la parte reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada
en el acuerdo de apertura del procedimiento- establece que si no se efectúan
alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando
éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,
podrá ser considerado propuesta de resolución.
En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los
hechos en los que se concretaba la imputación -las infracciones del RGPD atribuidas a
la reclamada- y la sanción que podría imponerse.
Por ello, tomando en consideración que la parte reclamada no ha formulado
alegaciones al acuerdo de inicio del expediente, en atención a lo establecido en el
artículo 64.2.f) de la LPACAP, el acuerdo de inicio es considerado en el presente caso
propuesta de resolución.
A la vista de todo lo actuado por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran los siguientes
HECHOS PROBADOS
PRIMERO : Se formulan reclamaciones frente a CLÍNICA DORSIA (nombre comercial
del que es titular la mercantil THE RED KIWI, S.L., con NIF B53769881 en las que las
personas reclamantes exponen que el centro estético ubicado en ***DIRECCIÓN.1 ,
(...) (Barcelona) ha creado un grupo de WhatsApp con los datos de sus clientes con la
característica de que el teléfono de cada uno de los incluidos en el grupo es accesible
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
5 / 20
al resto. Añaden que ante sus protestas la parte reclamada ha abandonado el grupo
sin cerrarlo. La parte reclamante 2 manifiesta que los hechos acontecen el 05/10/2022.
SEGUNDO: Antes de la fecha en la que acontecen los hechos controvertidos la parte
reclamada utilizaba para su actividad empresarial el número de móvil
***TELÉFONO.7 .
Lo acredita así la segunda de las capturas de pantalla del terminal móvil de la parte
reclamante 1 que ha aportado con su reclamación en la que figura un mensaje que
recibió el 10/08/2022 desde el número ***TELÉFONO.7 con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de
clínica DORSIA (...), veo que tenemos una solicitud pendiente de información
en medicina estética […]”
TERCERO : Antes de la fecha en la que acontecen los hechos controvertidos -según
declaraciones de la parte reclamante 2 el 05/10/2022 l a parte reclamada ya utilizaba
para su actividad empresarial el número de móvil ***TELÉFONO.9.
Lo acredita así la tercera de las capturas de pantalla de su terminal móvil aportadas
por la parte reclamante 1 en la que consta un mensaje recibido el 17/08/2022 desde el
número ***TELÉFONO.9 con el siguiente texto:
“ A.A.A. , te recordamos tu próxima cita el 18-08-2022 […]”
CUARTO : La parte reclamada creó desde el número de móvil ***TELÉFONO.7 un
grupo de WhatsApp con el nombre de “ Medicina Estética 2” (seguido del dibujo de
unos labios de color rojo, en adelante el dibujo) en el que incluyó a sus clientes y en el
que cada uno de los miembros podía tener acceso al número de móvil del resto de los
clientes incluidos.
Lo acredita así la primera de las tres capturas de pantalla del terminal móvil de la parte
reclamante 1 que ha aportado, en cuyo encabezamiento consta la información del
grupo de WhatsApp creado por el número ***TELÉFONO.7 . Figura la siguiente
información:
“ Medicina estética 2”, seguido del dibujo.
“ You ; ***TELÉFONO.1; ***TELÉFONO.2; ***TELÉFONO.3;
***TELÉFONO.4; ***TELÉFONO.5; ***TELÉFONO.6 ...”
Inmediatamente debajo, bajo el título “TODAY” constan estos mensajes
intercambiados dentro del grupo:
- De “ ***TELÉFONO.7 created group Medicina estética 2,” seguido del dibujo.
- De “ ***TELÉFONO.7 added you ”
(El subrayado es nuestro)
-De “***TELÉFONO.7 DORSIA (...) ” con una fotografía y un texto con el que se
promociona un determinado servicio estético.
-De “ ***TELÉFONO.7 DORSIA (...)” :
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
6 / 20
“Este octubre en Dorsia (...) DESCUENTOS DE MIEDOOOO […] Para cuando te
doy cita?”
-Tres mensajes enviados a las 3.21pm desde el número ***TELÉFONO.4 por
C.C.C. :
“ Quién eres?” “De qué me conoces?” “Qué es esto?”
- Mensaje enviado a las 3.21 pm desde el número “ ***TELÉFONO.8 (...) ” con
este texto:
“ Perdón ”.
QUINTO : Obra en el expediente, aportada por la parte reclamante 1, una captura de
pantalla de su terminal móvil (segunda de las aportadas) con la conversación que ella
mantuvo con la parte reclamada a través del número ***TELÉFONO.7 (el mismo
número desde el que la reclamada creó el grupo de WhatsApp).
En el encabezamiento figura: “ ***TELÉFONO.7 last seen today at 5:48 pm”.
Inmediatamente debajo hay un mensaje de fecha 10/08/2022 con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...), veo que tenemos una solicitud pendiente de información en
medicina estética […]”
Debajo, con el título “ TODAY ” el siguiente diálogo:
Enviado a las 3.30 pm desde el número ***TELÉFONO.7 (de la parte
reclamada):
“ Lo siento ha sido un error ”.
Respuesta de la reclamante 1:
“ Hola D.D.D. , entiendo que ha sido un error, pero Dorsia tendrá que hacer algo
para compensar ”.
Envidado por la reclamada a las 3.40 pm:
“ Lo siento, A.A.A. , ha sido un gran error . Sentimos las molestias ”.
De la reclamante 1 enviados a las 5.08 pm y 5.09 pm
“ El grupo sigue activo. Haced el favor de eliminarlo ”. “ Os lo digo porque ahora
sí que os pueden denunciar”.
Enviado por la reclamada a las 5.24 pm: “ Dios mío lo he eliminado”.
(El subrayado es nuestro)
SÉPTIMO : En la fecha de los hechos la parte reclamada se dirigió desde su número
***TELÉFONO.9 a la parte reclamante 1.
Obra en el expediente una captura de pantalla del terminal móvil de la parte
reclamante 1 (tercera de las aportadas) en la cual, agrupados bajo la rúbrica “ Today ”,
consta la siguiente conversación mantenida con ese número:
De la reclamada a la parte reclamante 1, a las 5.18 pm:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
7 / 20
“ A.A.A. por favor podrías enviarme una foto de lo del grupo? q la chica de
recepción m dice q lo ha eliminado para poder verlo y estamos buscando una
forma de solucionarlo.”
Respuesta de la reclamante 1 a las 5.19 pm (seis mensajes):
- “Yo no voy a enviar nada, lo siento”
- Un mensaje que incluye un enlace a “estética 2” seguido del dibujo.
- “ esto es actúa”
- “verás la hora”.
- “pero no voy a mandar foto de lo que es está diciendo como podéis entender”
- “pues yo no me pondré en riesgo”
Enviado por la reclamada a las 5.20 pm:
“ muchísimas gracias A.A.A. ”
OCTAVO : La parte reclamante 2, que informa en su reclamación que es titular del
número de móvil ***TELÉFONO.2, expone que el 05/10/2022 la parte reclamada abrió
un grupo de WhatsApp “ con sus clientes para compartir una promoción, dejando
expuesto el teléfono de cada uno de nosotros”. Añade que “ Se compartieron nuestros
números a otros clientes sin autorización alguna y no se borró el grupo para intentar
remediar el error.”
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
resolver este procedimiento la Presidencia de la Agencia Española de Protección de
Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina: "Los procedimientos tramitados
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
A tenor de lo establecido en los artículos 4.1 y 4.2 del RGPD consta que la parte
reclamada llevó a cabo un tratamiento de datos personales materializado en haber
facilitado el acceso a datos personales de las reclamantes 1 y 2, habida cuenta que el
número de teléfono móvil de ambas reclamantes fue incluido en un grupo de
mensajería instantánea de WhatsApp denominado “Medicina estética 2” en el que los
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
8 / 20
integrantes podían ver el número de móvil de los demás y, eventualmente, otros datos
personales.
El artículo 4.2. del RGPD define el tratamiento como “ cualquier operación o conjunto
de operaciones realizadas sobre datos personales o conjuntos de datos personales,
ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
En virtud del artículo 4.7 del RGPD la SOCIEDAD tiene la condición de responsable
del tratamiento de los datos personales de la parte reclamante que es objeto de
valoración en este procedimiento, pues es quien decidió sobre los fines y medios del
tratamiento: la creación de un grupo de WhatsApp con los números de móvil de sus
clientes sin adoptar las medidas que impidieran que los integrantes del grupo tuvieran
acceso a los datos del resto de clientes (en todo caso al número de móvil y
eventualmente a otros datos más). En definitiva, la reclamada decidió efectuar un
tratamiento de los datos de sus clientes sin adoptar las medidas necesarias para
garantizar, previa valoración del riesgo que el tratamiento entrañaba para los derechos
y libertades de los interesados, el cumplimiento de los principios de protección de
datos, particularmente el de confidencialidad.
La circunstancia de que el grupo de WhatsApp se hubiera creado por una empleada
de la SOCIEDAD (la recepcionista, extremo que reconoce otra de las empleadas de la
parte reclamada) no la convierte en responsable de la operación de tratamiento, pues
la empleada efectuó el tratamiento de los datos de los clientes en el marco de su
actividad laboral, como lo demuestra que el grupo de la aplicación de mensajería
instantánea precitada hubiera sido creado para dar a conocer una promoción de los
servicios que presta la SOCIEDAD.
El artículo 4.7 del RGPD define al responsable como “ la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros”.
Caba añadir que el artículo 9 del RGPD relativo al tratamiento de categorías
especiales de datos personales prohíbe “ el tratamiento de datos personales que
revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una
persona física.”
Sobre este particular, y por lo que atañe al presente caso, podemos afirmar que la
mera información de que una persona es o ha sido cliente de una determinada clínica
estética tiene la consideración de dato de salud y, en consecuencia, la naturaleza de
dato personal de categoría especial. Consideración de esta Agencia que se adecua a
la doctrina del TJUE sobre los datos personales de la naturaleza indicada.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
9 / 20
Procede traer a colación en tal sentido la STJUE de 01/08/2022, asunto, C-184/20, OT,
en la que el Tribunal de Justicia acoge una interpretación amplia del concepto de
categorías especiales de datos personales:
“ 125 Además, una interpretación amplia de los conceptos de «categorías
especiales de datos personales» y de «datos sensibles» se ve respaldada por
el objetivo de la Directiva 95/46 y del RGPD , a que se ha hecho mención en
el apartado 61 de la presente sentencia, de asegurar un alto nivel de
protección de las libertades y de los derechos fundamentales de las personas
físicas , en particular, de su intimidad, en relación con el tratamiento de los
datos personales que las afectan (véase, en este sentido, la sentencia de 6
de noviembre de 2003, Lindqvist, C 101/01, EU:C:2003:596, apartado 50).
126 Más aún, la interpretación contraria se opondría a la finalidad del artículo
8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD ,
que consiste en garantizar una mayor protección frente a tales tratamientos ,
que, en atención a la particular sensibilidad de los datos objeto de ellos,
pueden constituir, como se desprende del considerando 33 de la Directiva
95/46 y del considerando 51 del RGPD, una injerencia especialmente grave
en los derechos fundamentales al respeto de la vida privada y a la protección
de los datos personales, garantizados por los artículos 7 y 8 de la Carta
[véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y
otros (Retirada de enlaces a datos sensibles), C 136/17, EU:C:2019:773,
apartado 44]”.
De igual forma, la STJUE de 1 de agosto de 2022, asunto, C-184/20, OT, establece
que la revelación indirecta de informaciones sensibles o de categorías especiales de
datos personales se encuentra dentro del régimen de protección que ofrecen las
disposiciones del RGPD:
“ 127 Por consiguiente, no cabe interpretar tales disposiciones en el sentido de
que el tratamiento de datos personales que puedan desvelar indirectamente
informaciones sensibles sobre una persona física queda fuera del régimen de
protección reforzado establecido por las mencionadas disposiciones, pues de
quedar fuera se menoscabaría el efecto útil de ese régimen y la protección de
las libertades y de los derechos fundamentales de las personas físicas que
pretende garantizar ”.
III
Infracción del artículo 5.1.f) RGPD
1. Se responsabiliza a la parte reclamada en esta resolución de una infracción del
artículo 5.1.f) del RGPD, precepto que dispone:
“ Los datos personales serán:[…]
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
10 / 20
su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas
u organizativas apropiadas (integridad y confidencialidad)”
La SOCIEDAD reclamada tuvo acceso a los datos personales de la parte reclamante y
del resto de clientes en el marco de la relación contractual o precontractual que le
vinculaba con ellos. El fundamento de licitud del tratamiento de los datos de los
clientes necesario para el desenvolvimiento o ejecución del contrato de servicios en el
que eran parte o para la aplicación de medidas precontractuales es el descrito en la
letra b) del artículo 6.1 del RGPD: “ el tratamiento es necesario para la ejecución de un
contrato en el que el interesado es parte o para la aplicación a petición de este de
medidas precontractuales”.
Por tanto, la reclamada estaba legitimada para tratar los datos personales de la parte
reclamante y del resto de sus clientes con una finalidad específica y al amparo de la
base jurídica del artículo 6.1. apartado b) del RGPD
La reclamada trata el dato del número de móvil, utilizado o no mediante una aplicación
de mensajería instantánea, con la finalidad de contactar con el cliente para fijar la
fecha de las citas en las que le presta sus servicios o resolver otras cuestiones
relacionadas con ellos.
La SOCIEDAD, como responsable del tratamiento de los datos de sus clientes, tiene la
obligación de cumplir las previsiones del RGPD y, en particular, la obligación de
cumplir durante todo el ciclo de vida del tratamiento los principios que lo presiden l
establecidos en el artículo 5 del RGPD. Entre ellos, la letra f) del artículo 5.1. del
RGPD recoge el de integridad y confidencialidad que impone al responsable la
obligación de impedir tratamientos no autorizados o ilícitos de los datos, su pérdida o
destrucción.
El considerando 39 del RGPD así lo confirma cuando dice:
“Los datos personales deben tratarse de un modo que garantice una seguridad y
confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso
o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”
En relación con la confidencialidad de los datos procede traer a colación la Sentencia
del Tribunal Constitucional (STC) 292/2000, que, con ocasión de analizar al contenido
del derecho fundamental a la protección de datos personales, dice en su Fundamento
de Derecho 7:
“[…] resulta que el contenido del derech o fundamental a la protección de datos
consiste en un poder de disposición y de contro l sobre los datos personales que
faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero , sea
el Estado o un particular, o cuáles puede este tercero recabar, y que también permite
al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse
a esa posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la recogida,
la obtención y el acceso a los datos personales, su posterior almacenamiento y
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
11 / 20
tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un
particular. ” (El subrayado es nuestro)
Paralelamente, debe tenerse en cuenta que el RGPD ha incorporado el principio de
responsabilidad proactiva (ex artículo 5.2) que dispone: “ El responsable del
tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y
capaz de demostrarlo («responsabilidad proactiva»)”.
Además, “ a fin de garantizar y poder demostrar que el tratamiento es conforme con el
presente Reglamento ”, el RGPD impone al responsable del tratamiento la obligación
de aplicar (“aplicará”, dice el precepto) “ medidas técnicas y organizativas apropiadas”
teniendo en cuenta para ello, además de la naturaleza, el ámbito, el contexto y los
fines del tratamiento, “los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas”.
2. La vulneración del principio de confidencialidad previsto en el artículo 5.1.f) del
RGPD exige como presupuesto que se haya producido una comunicación o un acceso
no autorizado de terceros a los datos de carácter personal. Y, además, que éste se
haya ocasionado como consecuencia de la no aplicación por el responsable del
tratamiento de las medidas técnicas u organizativas apropiadas a fin de garantizar la
confidencialidad, previa valoración de diversos factores, entre ellos el riesgo que el
tratamiento puede tener para los derechos y libertades de la persona física.
El primero de los elementos mencionados entraña un resultado. En particular, un
resultado relacionado con la confidencialidad: que se haya producido una
comunicación o acceso no autorizado de terceros a los datos personales.
A la luz de la definición que el artículo 4.12 del RGPD ofrece de “ violación de la
seguridad de los datos personales ” –“ toda violación de la seguridad que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a
dichos datos ”-, que incluye como elemento integrante una referencia al resultado (la
destrucción, pérdida, alteración, comunicación o acceso), y en atención a lo indicado
en los párrafos precedentes, se evidencia que los supuestos de violación de la
confidencialidad, cuando ese resultado se produce como consecuencia de que el
responsable del tratamiento no ha aplicado las medidas apropiadas para garantizarla,
constituyen una infracción del artículo 5.1.f) del RGPD.
Así pues, el otro elemento que debe concurrir para calificar un determinado
tratamiento como una infracción del artículo 5.1.f) del RGPD es la conducta omisiva
del responsable del tratamiento. El resultado -estos es, la comunicación o el acceso
ilícito, o, en otras palabras, la pérdida de confidencialidad- se ocasiona por no haber
aplicado el responsable las medidas técnicas o/y organizativas de todo tipo que fueran
apropiadas para garantizar la confidencialidad de los datos previa valoración de la
concurrencia de diversos factores, entre ellos el riesgo que el tratamiento puede
entrañar para los derechos y libertades de las personas físicas.
El elemento de la culpabilidad, necesario en nuestro ordenamiento jurídico para exigir
responsabilidad sancionadora, se concreta así en la falta de diligencia que demuestra
un responsable de tratamiento que no ha aplicado las medidas técnicas y
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
12 / 20
organizativas apropiadas - previa valoración, además de los fines y la naturaleza del
tratamiento, de los riesgos que entraña el tratamiento de datos efectuado para los
derechos y libertades de los interesados- cuya falta propicia el acceso ilícito o no
autorizado a los datos personales.
3.Consta acreditado a través de la documentación que obra en el expediente que la
parte reclamada creó desde el número de teléfono ***TELÉFONO.7 un grupo de
mensajería instantánea a través de WhatsApp denominado “Medicina estética 2” al
que agregó los números de teléfono de la parte reclamante 1 y de la parte reclamante
2 ( ***TELÉFONO.2 )
Si bien la parte reclamante 2 explica que no ha podido aportar la documentación
acreditativa de la inclusión de su número de móvil en el grupo de WhatsApp por
dificultades técnicas para anexarla a su reclamación, la inclusión de su número de
móvil en el citado grupo consta acreditada a través de las capturas de pantalla
aportadas por la parte reclamante 1.
El hecho probado cuarto de la resolución refleja que la primera de las tres capturas de
pantalla del terminal móvil de la parte reclamante 1 que ésta ha aportado incluye en su
encabezamiento lo siguiente:
“Medicina estética 2”, seguido del dibujo. A continuación:
“You; ***TELÉFONO.1;***TELÉFONO.2;***TELÉFONO.3;***TELÉFONO.4;
***TELÉFONO.5;***TELÉFONO.6 ...”
E inmediatamente debajo, con el nombre “ TODAY ” constan estos mensajes
intercambiados dentro del grupo:
-De “ ***TELÉFONO. 7 created group Medicina estética 2, ” seguido del dibujo.
-De “ ***TELÉFONO.7 added you”
En definitiva, la primera captura de pantalla prueba que se creó por el número
***TELÉFONO.7 un grupo de conversación denominado Medicina Estética 2 al que fue
agregado el número de móvil de la parte reclamante 1, pudiendo visualizarse también
otros seis del total de los números móviles que fueron agregados al grupo. Entre estos
seis números figura el ***TELÉFONO.2 , que es el número de la parte reclamante 2
con el prefijo “(…)”.
Respecto al total de clientes cuyos números de móvil se agregaron al grupo “Medicina
Estética 2”, la captura de pantalla aportada muestra tan solo seis números, lo que no
excluye que fueran más. Debemos dejar constancia de lo manifestado por la parte
reclamante 2: que el grupo estaba formado por unos noventa clientes cuyos
respectivos datos quedaron expuestos.
Asimismo, consta acreditado que el número *** TELÉFONO.7 desde el que se crea el
grupo de WhatsApp era de titularidad de la parte reclamada o, al menos, venía siendo
utilizado por ella para sus fines profesionales, en particular por la clínica DORSIA de
(...), desde meses antes a la fecha en la que acontecen los hechos . A tal efecto,
recordamos que según la parte reclamante 2, los hechos acaecieron el 05/10/2022.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
13 / 20
En ese sentido, en el hecho probado quinto se describe la segunda captura de pantalla
que la parte reclamante 1 ha aportado de su terminal móvil. Muestra la conversación
mantenida con el número ***TELÉFONO.7 (el mismo desde el que la reclamada
creará el grupo de WhatsApp “Medicina estética 2”) en la que figura un mensaje
enviado a la parte reclamante 1 varios meses antes, el 10/08/2022 , con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...), veo que tenemos una solicitud pendiente de información en medicina
estética […]”.
Consta también acreditado a la luz de la documentación que obra en el expediente
que el dato de los números de teléfono móvil de los componentes del grupo Medicina
Estética 2 creado por la parte reclamada mediante el número ***TELÉFONO.7 eran
visibles para el resto de sus miembros.
A este respecto hemos de remitirnos una vez más a la primera captura de pantalla de
su terminal móvil aportada por la parte reclamante 1 en la que pueden visualizarse
seis números de móvil que han sido agregado al grupo Medicina Estética 2, además
del móvil de la reclamante.
Se añade a lo anterior que, en la conversación del grupo Medicina Estética 2 que nos
muestra la primera captura de pantalla (hecho probado cuarto) son visibles los
mensajes que escriben otros clientes desde su número de móvil que había sido
agregado al grupo. La captura de pantalla refleja tres mensajes enviados a las 3.21
horas, pm, el día de los hechos, desde el número ***TELÉFONO.4 , identificado con el
nombre de C.C.C. :
“Quién eres?” “De qué me conoces?” “Qué es esto?”.
También figura un mensaje enviado a las 3.21 horas, pm, desde el número
“ ***TELÉFONO.8 , identificado con el nombre (...) ”.
Así pues, consta acreditado que la parte reclamada creó un grupo de WhatsApp en el
que incluyó el número de móvil de sus clientes con el fin de promocionar un servicio,
que cada uno de los miembros del grupo tenía acceso a los datos de los demás (en
todo caso al número de teléfono móvil y eventualmente otros datos adicionales como
el nombre) y que los números de móvil de la parte reclamante 1 y de la parte
reclamante 2 fueron incluidos en el citado grupo “Medicina Estética 2”.
Como se ha indicado, la reclamada podía lícitamente tratar los datos de sus clientes al
amparo del artículo 6.1.b) del RGPD. E incluso podía tratarlos con fines de promoción
comercial sobre la base de su interés legítimo (artículo 6.1.f del RGPD) cuando -como
es el caso- pretendía promocionar un producto o servicio similar a los contratados por
sus clientes. Pero, al mismo tiempo estaba obligada a garantizar la confidencialidad de
los datos de los clientes que trataba en calidad de responsable.
La circunstancia de que el grupo de mensajería instantánea creado por la parte
reclamada para promocionar comercialmente entre sus clientes uno de sus servicios
permitiera a cada uno de sus integrantes ver el dato del número de móvil (como
mínimo) del resto de los miembros del grupo pone de manifiesto la parte reclamada no
realizado un mínimo examen previo de las características que revestía ese medio y de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
14 / 20
sus evidentes riesgos para los derechos y libertades de los afectados y no adoptó
ninguna medida técnica u organizativa apropiada para garantizar la confidencialidad
de los datos que trataba.
A mayor abundamiento, obra en el expediente una conversación de WhatsApp
mantenida entre la reclamada y la parte reclamante 1 (fuera del grupo Medicina
Estética 2) que revela el desconocimiento e improvisación de la reclamada en el
tratamiento de datos efectuado, hasta el punto de que no es capaz de comprobar por
sus propios medios si ha conseguido o no eliminar el grupo que ella ha creado.
Reproducimos parcialmente la conversación entre la reclamada (desde su número
***TELÉFONO.9 ) y la parte reclamante 1 a la que se hace mención en el hecho
probado séptimo. En ella la empleada D.D.D. se dirige a la parte reclamante 1 - A.A.A. -
para hacerle una consulta sobre el grupo de WhatsApp “Medicina Estética 2” que en
esos momentos estaba activo. La reclamada se dirige a la reclamante 1 a las 5.18 pm:
“ A.A.A. por favor podrías enviarme una foto de lo del grupo? q la chica de recepción
m dice q lo ha eliminado para poder verlo y estamos buscando una forma de
solucionarlo.”.
Finalmente es preciso subrayar que, como consta acreditado en el expediente, se dio
traslado a la parte reclamada de las reclamaciones recibidas para que informara a esta
Agencia de acuerdo con lo prevenido en el artículo 65.5 de la LOPDGDD, sin que la
SOCIEDAD haya dado respuesta. En idéntico sentido, la parte reclamada, pese a
haber accedido a la notificación del acuerdo de inicio del procedimiento, no presentó
alegaciones, siendo así que le incumbe a ella la carga de acreditar que el tratamiento
efectuado cumple los principios que presiden el tratamiento de datos personales (ex
artículo 5.2. RGPD) .
Cabe recordar, por último, que la vulneración del principio de confidencialidad reviste
especial gravedad en el supuesto de hecho aquí examinado, en el que -como se ha
indicado en el Fundamento precedente- los datos tratados tienen la naturaleza de
datos de salud, incluidos en la categoría de datos especiales del artículo 9 del RGPD.
El tratamiento de estos datos, con carácter general, se encuentra prohibido (ex artículo
9.2) siendo necesario para levantar la prohibición de tratamiento que concurra alguna
de las circunstancias previstas en el artículo 9.2 RGPD. Entre ellas, la letra a) del
artículo citado menciona el consentimiento explícito del interesado para el tratamiento
de dichos datos personales con uno o más de los fines especificados, excepto cuando
el Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado. A tenor de la
exposición precedente, esta resolución considera acreditado que la SOCIEDAD,
actuando con una grave falta de diligencia, incluyó el número de móvil de la parte
reclamante 1 y de la parte reclamante 2, junto con el número de otros clientes, en un
grupo de WhatsApp en el que cada uno de los integrantes podía acceder al dato del
número de teléfono (como mínimo) del resto, por lo que incumplió la obligación que le
impone el RGPD de garantizar su confidencialidad (ex artículo 5.1.f)
IV
Tipificación y calificación a efectos de prescripción de la infracción del artículo 5.1.f) del
RGPD
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
15 / 20
La vulneración del principio de confidencialidad establecido en el artículo 5.1.f) del
RGPD se encuentra tipificada en su artículo 83.5, precepto que establece:
“ Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9; b) los derechos; […]”
Con la exclusiva finalidad de determinar el plazo de prescripción de las infracciones, el
artículo 72 de la LOPDGDD califica de “muy grave ” la infracción tipificada en el artículo
83.5.a) del RGPD y fija para ella un plazo de prescripción de tres años. Así, el artículo
72.1 de la LOPDGDD dispone lo siguiente:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679”.
V
Sanción de la infracción del artículo 5.1.f) RGPD
El artículo 58.2 del RGPD, apartados a) a j), relaciona los poderes correctivos
atribuidos a la Autoridad Supervisora.
El precepto menciona, entre ellos, la potestad de imponer una multa administrativa con
arreglo al artículo 83 del RGPD (artículo 58.2. i). También, la potestad de ordenar al
responsable o encargado del tratamiento que las operaciones de tratamiento se
ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y
dentro de un plazo especificado (artículo 58.2. d). Además, el artículo 83.2 del RGPD
advierte que las multas administrativas se impondrán “a título adicional o sustitutivo de
las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j).”
La presente resolución acuerda imponer a la parte reclamada, como responsable de
una infracción del artículo 5.1.f) del RGPD una sanción de multa administrativa
conforme al artículo 58.2.i) del RGPD.
El artículo 83 del RGPD, “ Condiciones generales para la imposición de multas
administrativas”, dice en su apartado 1 que la autoridad de control garantizará que la
imposición de multas por las infracciones del presente Reglamento indicadas en los
apartados 4,5 y 6, cumpla en cada caso individual los principios de efectividad,
proporcionalidad y carácter disuasorio.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
16 / 20
Para lograr la adecuación entre la sanción y la infracción cometida el artículo 83.2 del
RGPD recoge una relación de criterios para graduar el importe de la sanción. El
precepto establece:
“ Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.”
La LOPDGDD, artículo 76, “ Sanciones y medidas correctivas ”, dispone en relación con
el artículo 83.2.k) que podrán tenerse en cuenta:
“a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
17 / 20
Por otra parte, el artículo 83.4 del RGPD dispone que el importe máximo de la sanción
que se imponga será la mayor de estas dos cantidades: 10.000.000 de euros o,
tratándose de una empresa, una “ cuantía equivalente al 2% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior ”.
Se aprecian en este caso, en relación con la infracción del artículo 5.1.f) del RGPD de
la que se responsabiliza a la parte reclamada, la concurrencia de las siguientes
circunstancias que se valoran a efectos de determinar el nivel de gravedad de la
infracción:
i.- Artículo 83.2 g) del RGPD " la categoría de los datos personales afectados por la
infracción" .
Como se expone en los Fundamentos II y III de esta resolución, la vulneración del
principio de confidencialidad afectó en el supuesto de hecho examinado a datos de
salud; categoría de datos especialmente protegidos, sometidos al régimen jurídico
particular del artículo 9 del RGPD. La vulneración de la confidencialidad de datos de la
parte reclamante de esa naturaleza incrementa la gravedad de la conducta infractora
lo cual justifica la concurrencia de la presente circunstancia.
Por otra parte, se valoran como circunstancias agravantes las siguientes:
ii.- Artículo 83.2.k) RGPD en relación con el artículo 76.b) de la LOPDGDD: “La
evidente vinculación entre la actividad empresarial de la parte reclamada y el
tratamiento de datos personales.”
La reclamada, por el carácter de los servicios que presta -es una clínica estética- se ve
obligada de manera habitual a tratar numerosos datos de carácter personal. Este
hecho incide en la diligencia que le es exigible en lo que respecta al cumplimiento de
los principios que presiden el tratamiento de datos de carácter personal para
garantizar el respeto de este derecho fundamental.
Es ilustrativa en ese sentido la SAN de 17/10/2007 (Rec. 63/2006) en la que se dice:
“[...].el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso
ahora examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado
por ajustarse a las prevenciones legales al respecto ”.
Por lo expuesto y de conformidad con los criterios de los artículos 83.1. y 83.2 del
RGPD, se acuerda imponer a la parte reclamada por la infracción del artículo 5.1.f) del
RGPD de la que se le responsabiliza, una sanción de multa administrativa por un
importe de 30.000€ (treinta mil euros).
VI
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
18 / 20
Sobre la infracción del artículo 32 del RGPD que se atribuyó a la reclamada en el
acuerdo de inicio
En el acuerdo de inicio de este procedimiento sancionador se imputaron a la parte
reclamada dos presuntas infracciones del RGPD: los artículos 5.1.f) y 32.
Los hechos que constan acreditados en el procedimiento, sin embargo, no ofrecen
elementos de juicio para considerar que la parte reclamada hubiera omitido alguna
medida de seguridad, adicional y distinta a la que se subsume en la infracción del
artículo 5.1.f) del RGPD, que permita integrar la infracción del artículo 32 del RGPD.
En consecuencia, se acuerda el archivo de la infracción del artículo 32 del RGPD
inicialmente atribuida a la entidad reclamada.
VII
Adopción de medidas
El artículo 58.2 del RGPD relaciona las medidas correctivas que la autoridad de control
puede adoptar, entre ellas (apartado d) “ ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado”. El artículo 83.2 del RGPD precisa que la imposición de tal medida
es compatible con la imposición de una multa administrativa prevista en el artículo
58.2.i) del RGPD.
En el acuerdo de inicio de este procedimiento se hizo constar que, en caso de dictarse
una resolución sancionadora, se podría ordenar al responsable la adopción de las
medidas correctivas que se detallaban en dicho acuerdo, con indicación de los plazos
en los que debía acreditar su cumplimiento.
Esta resolución considera acreditado que la parte reclamada es responsable de una
infracción del artículo 5.1.f) del RGPD, en los términos que han quedado expuestos,
por lo que, de conformidad con el artículo 58.2.d) del RGPD, acuerda ordenar a la
parte reclamada que adopte las siguientes medidas:
- En el plazo de un mes desde que la resolución sancionadora fuera ejecutiva, la
eliminación del grupo de WhatsApp sobre el que versan las reclamaciones que
han dado origen al presente procedimiento.
- En el plazo de tres meses desde que la resolución sancionadora fuera
ejecutiva, la implementación en el centro estético del que es titular de sistemas
de comunicación en los que la inclusión de participantes en grupos no permita
la visibilidad del resto de los integrantes, salvo el del administrador,
garantizándose que solo éste último tenga conocimiento de la composición del
grupo de participantes.
Se advierte que no atender la orden de adopción de medidas impuestas por este
organismo podrá ser considerado una infracción administrativa conforme a lo
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
19 / 20
dispuesto en el RGPD, tipificada en sus artículos 83.5 y 83.6, pudiendo motivar tal
conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de
la Agencia Española de Protección de Datos RESUELVE :
PRIMERO : IMPONER a THE RED KIWI, S.L . , con NIF B53769881 , por una infracción
del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a) del RGPD, una multa
administrativa (artículo 58.2.i LOPDGDD) por un importe de 30.000 € (treinta mil
euros)
SEGUNDO : ACORDAR EL ARCHIVO de la infracción del artículo 32 del RGPD,
tipificada en el artículo 83.4.a) del RGPD, imputada en el acuerdo de inicio del
procedimiento a THE RED KIWI, S.L, con NIF B53769881, habida cuenta de que no
consta acreditado que concurran los elementos integrantes de esa infracción.
TERCERO : ORDENAR a THE RED KIWI, S.L., con NIF B53769881, que, en virtud del
artículo 58.2.d) del RGPD, acredite en los plazos que se indican haber procedido al
cumplimiento de las siguientes medidas:
-En el plazo de un mes, la eliminación del grupo de WhatsApp sobre el que versan las
reclamaciones que han dado origen al presente procedimiento.
-En el plazo de tres meses, la implementación en el centro estético del que es titular la
parte reclamada de sistemas de comunicación en los que la inclusión de participantes
en grupos no permita la visibilidad del resto de los integrantes, salvo el del
administrador, garantizándose que solo éste último tenga conocimiento de la
composición del grupo de participantes.
CUARTO : NOTIFICAR la presente resolución a THE RED KIWI, S.L., con NIF
B53769881.
Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso
potestativo de reposición (un mes a contar desde el día siguiente a la notificación de
esta resolución) sin que el interesado haya hecho uso de esta facultad. Se advierte al
sancionado que deberá hacer efectiva la sanción impuesta una vez que la presente
resolución sea ejecutiva de conformidad con lo dispuesto en el artículo 98.1.b) de la
LPACAP, en el plazo de pago voluntario establecido en el artículo 68 del Reglamento
General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en
relación con el artículo 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso,
indicando el NIF del sancionado y el número de procedimiento que figura en el
encabezamiento de este documento, en la cuenta restringida nº IBAN: ES00-0000-
0000-0000-0000-0000 (BIC/Código SWIFT: CAIXESBBXXX) , abierta a nombre de la
Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.
En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
20 / 20
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública. La publicación se realizará una vez la resolución sea firme
en vía administrativa.
Contra esta resolución, que pone fin a la vía administrativa conforme al artículo 48.6
de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el artículo 90.3 a) de la LPACAP ,
se podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el artículo 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-100325
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO : En fechas 14/10/2022 y 26/10/2022 tienen entrada en la Agencia Española
de Protección de Datos (AEPD), remitidas por la Autoridad Catalana de Protección de
Datos, las reclamaciones presentadas por A.A.A. y B.B.B. (en adelante, la parte o las
partes reclamantes 1 y 2) La reclamación se dirige contra THE RED KIWI, S.L., con
NIF B53769881 (en adelante, la parte reclamada o la SOCIEDAD), entidad que actúa
con el nombre comercial de CLÍNICA DORSIA.
La parte reclamante basa su reclamación en que la parte reclamada, sin su
autorización, ha incluido su número de teléfono móvil en un grupo de WhatsApp que
ha creado con los datos de sus clientes, de forma que el teléfono de cada uno de los
miembros del grupo es accesible a todos ellos. Las partes reclamantes 1 y 2 añaden
que la parte reclamada, ante las protestas de los clientes agregados al grupo, lo ha
abandonado sin cerrarlo.
-La parte reclamante 1 manifiesta:
“ La Clínica Dorsia en ***DIRECCIÓN.1 ha abierto un grupo de whatssap con los
teléfonos visibles de unos 90 clientes con datos personales . A pesar de
informarles de que no era legal, han decidido salir del grupo dejándolo abierto.”
(El subrayado es nuestro)
Aporta como documento anexo tres capturas de pantalla de un terminal móvil:
Primera captura de pantalla:
En el encabezamiento se informa del grupo y de sus miembros.
Consta lo siguiente: “ Medicina estética 2”, seguido del dibujo de unos labios rojos
(en adelante el dibujo). A continuación:
“You; ***TELÉFONO.1; ***TELÉFONO.2; ***TELÉFONO.3; ***TELÉFONO.4;
***TELÉFONO.5; ***TELÉFONO.6 ”
Bajo la leyenda “ Today ” se incluyen los siguientes mensajes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
2 / 20
- “ ***TELÉFONO.7 created group Medicina estética 2,” seguido del dibujo.
- “* **TELÉFONO.7 added you ”
- De “***TELÉFONO.7 DORSIA (...) ” con una fotografía en la que se promociona
un servicio estético.
-Tres mensajes enviados a las 3.21pm desde el número ***TELÉFONO.4 por
C.C.C. : “ Quién eres?” “De qué me conoces?” “Qué es esto?”
- Mensaje enviado desde “ ***TELÉFONO.7 DORSIA (...)” :
“ Este octubre en Dorsia (...) DESCUENTOS DE MIEDOOOO […] Para cuando te
doy cita?” (El subrayado es nuestro)
-Mensaje enviado desde “ ***TELÉFONO.8 (...) ” a las 3.21 pm con este texto:
“ Perdón ”.
Segunda captura de pantalla :
Recoge la conversación de la reclamante 1, desde su número de móvil
( ***TELÉFONO.7).
Figura en primer término un mensaje enviado el 10/08/2022 - antes de los
hechos objeto de la reclamación- con este texto:
“ Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...) , veo que tenemos una solicitud pendiente de información en
medicina estética […]”
Bajo la indicación “ TODAY ” se incluye una conversación mantenida entre la
reclamante 1 y el teléfono ***TELÉFONO.7 que va seguido de la indicación
“ Medicina Estética 2”, el dibujo y “ Dorsia (...) ”.
-Mensaje enviado a las 3.30 pm con este texto: “ Lo siento ha sido un error”.
-Respuesta de la reclamante 1: “ Hola D.D.D. , entiendo que ha sido un error, pero
Dorsia tendrá que hacer algo para compensar ”.
-Mensaje de la reclamada a las 3.40 pm: “ Lo siento, A.A.A. , ha sido un gran
error. Sentimos las molestias ”.
-Mensajes enviados a las 5.08 pm y 5.09 pm por la reclamante 1: “ El grupo sigue
activo. Haced el favor de eliminarlo”. “ Os lo digo porque ahora sí que os pueden
denunciar”.
-Enviado por la reclamada a las 5.24 pm “ Dios mío lo he eliminado”.
Tercera captura de pantalla:
Recoge la conversación de la reclamante 1 con el número ***TELÉFONO.9 que
va precedido de un anagrama ilegible.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
3 / 20
En primer término, aparece un mensaje enviado el 17/08/2022 y este texto:
“ A.A.A. , te recordamos tu próxima cita el 18-08-2022 […]”
Bajo la rúbrica “ TODAY ” figuran los siguientes mensajes:
-Enviado por la reclamada a las 5.18 pm: “ A.A.A. por favor podrías enviarme
una foto de lo del grupo? q la chica de recepción m dice q lo ha eliminado para
poder verlo y estamos buscando una forma de solucionarlo.”
Enviados por la reclamante 1 a las 5.19 pm seis mensajes:
- “ Yo no voy a enviar nada, lo siento ”.
-Un mensaje que incluye un enlace a “estética 2” seguido del dibujo.
- “ esto es actúa”;
- “verás la hora”.
- “ pero no voy a mandar foto de lo que es está diciendo como podéis entender ”
- “ pues yo no me pondré en riesgo”
De la reclamada, a las 5.20 pm: “ muchísimas gracias A.A.A. ”
-La parte reclamante 2 manifiesta:
“ El pasado 5 de Octubre Clínicas Dorsia (...) abrió un grupo de WhatsApp con
sus clientes para compartir una promoción, dejando expuesto el teléfono de
cada uno de nosotros. Al ver el claro descontento en general, Clínicas Dorsia
abandono el grupo SIN ELIMINARLO, dejándonos a todos dentro. En ese grupo,
debido a la desorientación llegaron a haber insultos por parte de los
participantes incluso. Al salir ellos del grupo se asignó un Administrador de grupo
aleatorio y en este caso cayó sobre mí, quien no quiero tener nada que ver con
esto. Se compartieron nuestros números a otros clientes sin autorización alguna
y no se borró el grupo para intentar remediar el error .” (El subrayado es nuestro)
La parte reclamante 2 añade que dispone de capturas de pantalla y que “ el grupo
sigue abierto, de modo que puedo mostrarlo sin problema.” Indica que ha intentado
adjuntar alguna imagen sin éxito debido a problemas técnicos .
SEGUNDO : De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de ambas reclamaciones a la SOCIEDAD para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
El traslado de ambas reclamaciones, practicado conforme a las normas establecidas
en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), se realizó por medios electrónicos
y fue recogido por la parte reclamada el 11/11/2022, el mismo día de su puesta a
disposición, tal y como consta en los acuses de recibo que obran en el expediente.
No se recibió respuesta de la parte reclamada a ninguno de los escritos de los que se
le dio traslado.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
4 / 20
TERCERO : En fecha 14/01/2023, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO : De acuerdo con el informe recogido de la herramienta AXESOR, la entidad
THE RED KIWI, S.L. es una empresa mediana constituida en el año 2003. En el
ejercicio 2021 su volumen de negocio fue 19.803.262€. Es una filial de la empresa
matriz WOW AESTHETICS, S.L.
QUINTO : En fecha 07/10/2024 la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a la parte reclamada por la presunta
infracción de los artículos 5.1.f) y 32 del RGPD, infracciones tipificadas,
respectivamente, en los artículos 83.5.a) y 83.4.a) del RGPD.
SEXTO : El acuerdo de inicio del procedimiento sancionador se notificó a la parte
reclamada por medios electrónicos, conforme a las normas establecidas en el artículo
14 de la LPACAP, siendo la fecha de puesta a disposición y de aceptación de la
notificación el 07/10/2024, tal y como consta acreditado en la documentación que obra
en el expediente.
Transcurrido el plazo otorgado para la formulación de alegaciones al acuerdo de inicio,
se constata que no se ha recibido alegación alguna de la parte reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada
en el acuerdo de apertura del procedimiento- establece que si no se efectúan
alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando
éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,
podrá ser considerado propuesta de resolución.
En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los
hechos en los que se concretaba la imputación -las infracciones del RGPD atribuidas a
la reclamada- y la sanción que podría imponerse.
Por ello, tomando en consideración que la parte reclamada no ha formulado
alegaciones al acuerdo de inicio del expediente, en atención a lo establecido en el
artículo 64.2.f) de la LPACAP, el acuerdo de inicio es considerado en el presente caso
propuesta de resolución.
A la vista de todo lo actuado por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran los siguientes
HECHOS PROBADOS
PRIMERO : Se formulan reclamaciones frente a CLÍNICA DORSIA (nombre comercial
del que es titular la mercantil THE RED KIWI, S.L., con NIF B53769881 en las que las
personas reclamantes exponen que el centro estético ubicado en ***DIRECCIÓN.1 ,
(...) (Barcelona) ha creado un grupo de WhatsApp con los datos de sus clientes con la
característica de que el teléfono de cada uno de los incluidos en el grupo es accesible
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
5 / 20
al resto. Añaden que ante sus protestas la parte reclamada ha abandonado el grupo
sin cerrarlo. La parte reclamante 2 manifiesta que los hechos acontecen el 05/10/2022.
SEGUNDO: Antes de la fecha en la que acontecen los hechos controvertidos la parte
reclamada utilizaba para su actividad empresarial el número de móvil
***TELÉFONO.7 .
Lo acredita así la segunda de las capturas de pantalla del terminal móvil de la parte
reclamante 1 que ha aportado con su reclamación en la que figura un mensaje que
recibió el 10/08/2022 desde el número ***TELÉFONO.7 con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de
clínica DORSIA (...), veo que tenemos una solicitud pendiente de información
en medicina estética […]”
TERCERO : Antes de la fecha en la que acontecen los hechos controvertidos -según
declaraciones de la parte reclamante 2 el 05/10/2022 l a parte reclamada ya utilizaba
para su actividad empresarial el número de móvil ***TELÉFONO.9.
Lo acredita así la tercera de las capturas de pantalla de su terminal móvil aportadas
por la parte reclamante 1 en la que consta un mensaje recibido el 17/08/2022 desde el
número ***TELÉFONO.9 con el siguiente texto:
“ A.A.A. , te recordamos tu próxima cita el 18-08-2022 […]”
CUARTO : La parte reclamada creó desde el número de móvil ***TELÉFONO.7 un
grupo de WhatsApp con el nombre de “ Medicina Estética 2” (seguido del dibujo de
unos labios de color rojo, en adelante el dibujo) en el que incluyó a sus clientes y en el
que cada uno de los miembros podía tener acceso al número de móvil del resto de los
clientes incluidos.
Lo acredita así la primera de las tres capturas de pantalla del terminal móvil de la parte
reclamante 1 que ha aportado, en cuyo encabezamiento consta la información del
grupo de WhatsApp creado por el número ***TELÉFONO.7 . Figura la siguiente
información:
“ Medicina estética 2”, seguido del dibujo.
“ You ; ***TELÉFONO.1; ***TELÉFONO.2; ***TELÉFONO.3;
***TELÉFONO.4; ***TELÉFONO.5; ***TELÉFONO.6 ...”
Inmediatamente debajo, bajo el título “TODAY” constan estos mensajes
intercambiados dentro del grupo:
- De “ ***TELÉFONO.7 created group Medicina estética 2,” seguido del dibujo.
- De “ ***TELÉFONO.7 added you ”
(El subrayado es nuestro)
-De “***TELÉFONO.7 DORSIA (...) ” con una fotografía y un texto con el que se
promociona un determinado servicio estético.
-De “ ***TELÉFONO.7 DORSIA (...)” :
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
6 / 20
“Este octubre en Dorsia (...) DESCUENTOS DE MIEDOOOO […] Para cuando te
doy cita?”
-Tres mensajes enviados a las 3.21pm desde el número ***TELÉFONO.4 por
C.C.C. :
“ Quién eres?” “De qué me conoces?” “Qué es esto?”
- Mensaje enviado a las 3.21 pm desde el número “ ***TELÉFONO.8 (...) ” con
este texto:
“ Perdón ”.
QUINTO : Obra en el expediente, aportada por la parte reclamante 1, una captura de
pantalla de su terminal móvil (segunda de las aportadas) con la conversación que ella
mantuvo con la parte reclamada a través del número ***TELÉFONO.7 (el mismo
número desde el que la reclamada creó el grupo de WhatsApp).
En el encabezamiento figura: “ ***TELÉFONO.7 last seen today at 5:48 pm”.
Inmediatamente debajo hay un mensaje de fecha 10/08/2022 con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...), veo que tenemos una solicitud pendiente de información en
medicina estética […]”
Debajo, con el título “ TODAY ” el siguiente diálogo:
Enviado a las 3.30 pm desde el número ***TELÉFONO.7 (de la parte
reclamada):
“ Lo siento ha sido un error ”.
Respuesta de la reclamante 1:
“ Hola D.D.D. , entiendo que ha sido un error, pero Dorsia tendrá que hacer algo
para compensar ”.
Envidado por la reclamada a las 3.40 pm:
“ Lo siento, A.A.A. , ha sido un gran error . Sentimos las molestias ”.
De la reclamante 1 enviados a las 5.08 pm y 5.09 pm
“ El grupo sigue activo. Haced el favor de eliminarlo ”. “ Os lo digo porque ahora
sí que os pueden denunciar”.
Enviado por la reclamada a las 5.24 pm: “ Dios mío lo he eliminado”.
(El subrayado es nuestro)
SÉPTIMO : En la fecha de los hechos la parte reclamada se dirigió desde su número
***TELÉFONO.9 a la parte reclamante 1.
Obra en el expediente una captura de pantalla del terminal móvil de la parte
reclamante 1 (tercera de las aportadas) en la cual, agrupados bajo la rúbrica “ Today ”,
consta la siguiente conversación mantenida con ese número:
De la reclamada a la parte reclamante 1, a las 5.18 pm:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
7 / 20
“ A.A.A. por favor podrías enviarme una foto de lo del grupo? q la chica de
recepción m dice q lo ha eliminado para poder verlo y estamos buscando una
forma de solucionarlo.”
Respuesta de la reclamante 1 a las 5.19 pm (seis mensajes):
- “Yo no voy a enviar nada, lo siento”
- Un mensaje que incluye un enlace a “estética 2” seguido del dibujo.
- “ esto es actúa”
- “verás la hora”.
- “pero no voy a mandar foto de lo que es está diciendo como podéis entender”
- “pues yo no me pondré en riesgo”
Enviado por la reclamada a las 5.20 pm:
“ muchísimas gracias A.A.A. ”
OCTAVO : La parte reclamante 2, que informa en su reclamación que es titular del
número de móvil ***TELÉFONO.2, expone que el 05/10/2022 la parte reclamada abrió
un grupo de WhatsApp “ con sus clientes para compartir una promoción, dejando
expuesto el teléfono de cada uno de nosotros”. Añade que “ Se compartieron nuestros
números a otros clientes sin autorización alguna y no se borró el grupo para intentar
remediar el error.”
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
resolver este procedimiento la Presidencia de la Agencia Española de Protección de
Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina: "Los procedimientos tramitados
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
A tenor de lo establecido en los artículos 4.1 y 4.2 del RGPD consta que la parte
reclamada llevó a cabo un tratamiento de datos personales materializado en haber
facilitado el acceso a datos personales de las reclamantes 1 y 2, habida cuenta que el
número de teléfono móvil de ambas reclamantes fue incluido en un grupo de
mensajería instantánea de WhatsApp denominado “Medicina estética 2” en el que los
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
8 / 20
integrantes podían ver el número de móvil de los demás y, eventualmente, otros datos
personales.
El artículo 4.2. del RGPD define el tratamiento como “ cualquier operación o conjunto
de operaciones realizadas sobre datos personales o conjuntos de datos personales,
ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
En virtud del artículo 4.7 del RGPD la SOCIEDAD tiene la condición de responsable
del tratamiento de los datos personales de la parte reclamante que es objeto de
valoración en este procedimiento, pues es quien decidió sobre los fines y medios del
tratamiento: la creación de un grupo de WhatsApp con los números de móvil de sus
clientes sin adoptar las medidas que impidieran que los integrantes del grupo tuvieran
acceso a los datos del resto de clientes (en todo caso al número de móvil y
eventualmente a otros datos más). En definitiva, la reclamada decidió efectuar un
tratamiento de los datos de sus clientes sin adoptar las medidas necesarias para
garantizar, previa valoración del riesgo que el tratamiento entrañaba para los derechos
y libertades de los interesados, el cumplimiento de los principios de protección de
datos, particularmente el de confidencialidad.
La circunstancia de que el grupo de WhatsApp se hubiera creado por una empleada
de la SOCIEDAD (la recepcionista, extremo que reconoce otra de las empleadas de la
parte reclamada) no la convierte en responsable de la operación de tratamiento, pues
la empleada efectuó el tratamiento de los datos de los clientes en el marco de su
actividad laboral, como lo demuestra que el grupo de la aplicación de mensajería
instantánea precitada hubiera sido creado para dar a conocer una promoción de los
servicios que presta la SOCIEDAD.
El artículo 4.7 del RGPD define al responsable como “ la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros”.
Caba añadir que el artículo 9 del RGPD relativo al tratamiento de categorías
especiales de datos personales prohíbe “ el tratamiento de datos personales que
revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o
filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos
biométricos dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una
persona física.”
Sobre este particular, y por lo que atañe al presente caso, podemos afirmar que la
mera información de que una persona es o ha sido cliente de una determinada clínica
estética tiene la consideración de dato de salud y, en consecuencia, la naturaleza de
dato personal de categoría especial. Consideración de esta Agencia que se adecua a
la doctrina del TJUE sobre los datos personales de la naturaleza indicada.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
9 / 20
Procede traer a colación en tal sentido la STJUE de 01/08/2022, asunto, C-184/20, OT,
en la que el Tribunal de Justicia acoge una interpretación amplia del concepto de
categorías especiales de datos personales:
“ 125 Además, una interpretación amplia de los conceptos de «categorías
especiales de datos personales» y de «datos sensibles» se ve respaldada por
el objetivo de la Directiva 95/46 y del RGPD , a que se ha hecho mención en
el apartado 61 de la presente sentencia, de asegurar un alto nivel de
protección de las libertades y de los derechos fundamentales de las personas
físicas , en particular, de su intimidad, en relación con el tratamiento de los
datos personales que las afectan (véase, en este sentido, la sentencia de 6
de noviembre de 2003, Lindqvist, C 101/01, EU:C:2003:596, apartado 50).
126 Más aún, la interpretación contraria se opondría a la finalidad del artículo
8, apartado 1, de la Directiva 95/46 y del artículo 9, apartado 1, del RGPD ,
que consiste en garantizar una mayor protección frente a tales tratamientos ,
que, en atención a la particular sensibilidad de los datos objeto de ellos,
pueden constituir, como se desprende del considerando 33 de la Directiva
95/46 y del considerando 51 del RGPD, una injerencia especialmente grave
en los derechos fundamentales al respeto de la vida privada y a la protección
de los datos personales, garantizados por los artículos 7 y 8 de la Carta
[véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y
otros (Retirada de enlaces a datos sensibles), C 136/17, EU:C:2019:773,
apartado 44]”.
De igual forma, la STJUE de 1 de agosto de 2022, asunto, C-184/20, OT, establece
que la revelación indirecta de informaciones sensibles o de categorías especiales de
datos personales se encuentra dentro del régimen de protección que ofrecen las
disposiciones del RGPD:
“ 127 Por consiguiente, no cabe interpretar tales disposiciones en el sentido de
que el tratamiento de datos personales que puedan desvelar indirectamente
informaciones sensibles sobre una persona física queda fuera del régimen de
protección reforzado establecido por las mencionadas disposiciones, pues de
quedar fuera se menoscabaría el efecto útil de ese régimen y la protección de
las libertades y de los derechos fundamentales de las personas físicas que
pretende garantizar ”.
III
Infracción del artículo 5.1.f) RGPD
1. Se responsabiliza a la parte reclamada en esta resolución de una infracción del
artículo 5.1.f) del RGPD, precepto que dispone:
“ Los datos personales serán:[…]
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
10 / 20
su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas
u organizativas apropiadas (integridad y confidencialidad)”
La SOCIEDAD reclamada tuvo acceso a los datos personales de la parte reclamante y
del resto de clientes en el marco de la relación contractual o precontractual que le
vinculaba con ellos. El fundamento de licitud del tratamiento de los datos de los
clientes necesario para el desenvolvimiento o ejecución del contrato de servicios en el
que eran parte o para la aplicación de medidas precontractuales es el descrito en la
letra b) del artículo 6.1 del RGPD: “ el tratamiento es necesario para la ejecución de un
contrato en el que el interesado es parte o para la aplicación a petición de este de
medidas precontractuales”.
Por tanto, la reclamada estaba legitimada para tratar los datos personales de la parte
reclamante y del resto de sus clientes con una finalidad específica y al amparo de la
base jurídica del artículo 6.1. apartado b) del RGPD
La reclamada trata el dato del número de móvil, utilizado o no mediante una aplicación
de mensajería instantánea, con la finalidad de contactar con el cliente para fijar la
fecha de las citas en las que le presta sus servicios o resolver otras cuestiones
relacionadas con ellos.
La SOCIEDAD, como responsable del tratamiento de los datos de sus clientes, tiene la
obligación de cumplir las previsiones del RGPD y, en particular, la obligación de
cumplir durante todo el ciclo de vida del tratamiento los principios que lo presiden l
establecidos en el artículo 5 del RGPD. Entre ellos, la letra f) del artículo 5.1. del
RGPD recoge el de integridad y confidencialidad que impone al responsable la
obligación de impedir tratamientos no autorizados o ilícitos de los datos, su pérdida o
destrucción.
El considerando 39 del RGPD así lo confirma cuando dice:
“Los datos personales deben tratarse de un modo que garantice una seguridad y
confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso
o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”
En relación con la confidencialidad de los datos procede traer a colación la Sentencia
del Tribunal Constitucional (STC) 292/2000, que, con ocasión de analizar al contenido
del derecho fundamental a la protección de datos personales, dice en su Fundamento
de Derecho 7:
“[…] resulta que el contenido del derech o fundamental a la protección de datos
consiste en un poder de disposición y de contro l sobre los datos personales que
faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero , sea
el Estado o un particular, o cuáles puede este tercero recabar, y que también permite
al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse
a esa posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la recogida,
la obtención y el acceso a los datos personales, su posterior almacenamiento y
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
11 / 20
tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un
particular. ” (El subrayado es nuestro)
Paralelamente, debe tenerse en cuenta que el RGPD ha incorporado el principio de
responsabilidad proactiva (ex artículo 5.2) que dispone: “ El responsable del
tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y
capaz de demostrarlo («responsabilidad proactiva»)”.
Además, “ a fin de garantizar y poder demostrar que el tratamiento es conforme con el
presente Reglamento ”, el RGPD impone al responsable del tratamiento la obligación
de aplicar (“aplicará”, dice el precepto) “ medidas técnicas y organizativas apropiadas”
teniendo en cuenta para ello, además de la naturaleza, el ámbito, el contexto y los
fines del tratamiento, “los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas”.
2. La vulneración del principio de confidencialidad previsto en el artículo 5.1.f) del
RGPD exige como presupuesto que se haya producido una comunicación o un acceso
no autorizado de terceros a los datos de carácter personal. Y, además, que éste se
haya ocasionado como consecuencia de la no aplicación por el responsable del
tratamiento de las medidas técnicas u organizativas apropiadas a fin de garantizar la
confidencialidad, previa valoración de diversos factores, entre ellos el riesgo que el
tratamiento puede tener para los derechos y libertades de la persona física.
El primero de los elementos mencionados entraña un resultado. En particular, un
resultado relacionado con la confidencialidad: que se haya producido una
comunicación o acceso no autorizado de terceros a los datos personales.
A la luz de la definición que el artículo 4.12 del RGPD ofrece de “ violación de la
seguridad de los datos personales ” –“ toda violación de la seguridad que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a
dichos datos ”-, que incluye como elemento integrante una referencia al resultado (la
destrucción, pérdida, alteración, comunicación o acceso), y en atención a lo indicado
en los párrafos precedentes, se evidencia que los supuestos de violación de la
confidencialidad, cuando ese resultado se produce como consecuencia de que el
responsable del tratamiento no ha aplicado las medidas apropiadas para garantizarla,
constituyen una infracción del artículo 5.1.f) del RGPD.
Así pues, el otro elemento que debe concurrir para calificar un determinado
tratamiento como una infracción del artículo 5.1.f) del RGPD es la conducta omisiva
del responsable del tratamiento. El resultado -estos es, la comunicación o el acceso
ilícito, o, en otras palabras, la pérdida de confidencialidad- se ocasiona por no haber
aplicado el responsable las medidas técnicas o/y organizativas de todo tipo que fueran
apropiadas para garantizar la confidencialidad de los datos previa valoración de la
concurrencia de diversos factores, entre ellos el riesgo que el tratamiento puede
entrañar para los derechos y libertades de las personas físicas.
El elemento de la culpabilidad, necesario en nuestro ordenamiento jurídico para exigir
responsabilidad sancionadora, se concreta así en la falta de diligencia que demuestra
un responsable de tratamiento que no ha aplicado las medidas técnicas y
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
12 / 20
organizativas apropiadas - previa valoración, además de los fines y la naturaleza del
tratamiento, de los riesgos que entraña el tratamiento de datos efectuado para los
derechos y libertades de los interesados- cuya falta propicia el acceso ilícito o no
autorizado a los datos personales.
3.Consta acreditado a través de la documentación que obra en el expediente que la
parte reclamada creó desde el número de teléfono ***TELÉFONO.7 un grupo de
mensajería instantánea a través de WhatsApp denominado “Medicina estética 2” al
que agregó los números de teléfono de la parte reclamante 1 y de la parte reclamante
2 ( ***TELÉFONO.2 )
Si bien la parte reclamante 2 explica que no ha podido aportar la documentación
acreditativa de la inclusión de su número de móvil en el grupo de WhatsApp por
dificultades técnicas para anexarla a su reclamación, la inclusión de su número de
móvil en el citado grupo consta acreditada a través de las capturas de pantalla
aportadas por la parte reclamante 1.
El hecho probado cuarto de la resolución refleja que la primera de las tres capturas de
pantalla del terminal móvil de la parte reclamante 1 que ésta ha aportado incluye en su
encabezamiento lo siguiente:
“Medicina estética 2”, seguido del dibujo. A continuación:
“You; ***TELÉFONO.1;***TELÉFONO.2;***TELÉFONO.3;***TELÉFONO.4;
***TELÉFONO.5;***TELÉFONO.6 ...”
E inmediatamente debajo, con el nombre “ TODAY ” constan estos mensajes
intercambiados dentro del grupo:
-De “ ***TELÉFONO. 7 created group Medicina estética 2, ” seguido del dibujo.
-De “ ***TELÉFONO.7 added you”
En definitiva, la primera captura de pantalla prueba que se creó por el número
***TELÉFONO.7 un grupo de conversación denominado Medicina Estética 2 al que fue
agregado el número de móvil de la parte reclamante 1, pudiendo visualizarse también
otros seis del total de los números móviles que fueron agregados al grupo. Entre estos
seis números figura el ***TELÉFONO.2 , que es el número de la parte reclamante 2
con el prefijo “(…)”.
Respecto al total de clientes cuyos números de móvil se agregaron al grupo “Medicina
Estética 2”, la captura de pantalla aportada muestra tan solo seis números, lo que no
excluye que fueran más. Debemos dejar constancia de lo manifestado por la parte
reclamante 2: que el grupo estaba formado por unos noventa clientes cuyos
respectivos datos quedaron expuestos.
Asimismo, consta acreditado que el número *** TELÉFONO.7 desde el que se crea el
grupo de WhatsApp era de titularidad de la parte reclamada o, al menos, venía siendo
utilizado por ella para sus fines profesionales, en particular por la clínica DORSIA de
(...), desde meses antes a la fecha en la que acontecen los hechos . A tal efecto,
recordamos que según la parte reclamante 2, los hechos acaecieron el 05/10/2022.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
13 / 20
En ese sentido, en el hecho probado quinto se describe la segunda captura de pantalla
que la parte reclamante 1 ha aportado de su terminal móvil. Muestra la conversación
mantenida con el número ***TELÉFONO.7 (el mismo desde el que la reclamada
creará el grupo de WhatsApp “Medicina estética 2”) en la que figura un mensaje
enviado a la parte reclamante 1 varios meses antes, el 10/08/2022 , con este texto:
“Buenos días, A.A.A. , soy D.D.D. del departamento de promociones de clínica
DORSIA (...), veo que tenemos una solicitud pendiente de información en medicina
estética […]”.
Consta también acreditado a la luz de la documentación que obra en el expediente
que el dato de los números de teléfono móvil de los componentes del grupo Medicina
Estética 2 creado por la parte reclamada mediante el número ***TELÉFONO.7 eran
visibles para el resto de sus miembros.
A este respecto hemos de remitirnos una vez más a la primera captura de pantalla de
su terminal móvil aportada por la parte reclamante 1 en la que pueden visualizarse
seis números de móvil que han sido agregado al grupo Medicina Estética 2, además
del móvil de la reclamante.
Se añade a lo anterior que, en la conversación del grupo Medicina Estética 2 que nos
muestra la primera captura de pantalla (hecho probado cuarto) son visibles los
mensajes que escriben otros clientes desde su número de móvil que había sido
agregado al grupo. La captura de pantalla refleja tres mensajes enviados a las 3.21
horas, pm, el día de los hechos, desde el número ***TELÉFONO.4 , identificado con el
nombre de C.C.C. :
“Quién eres?” “De qué me conoces?” “Qué es esto?”.
También figura un mensaje enviado a las 3.21 horas, pm, desde el número
“ ***TELÉFONO.8 , identificado con el nombre (...) ”.
Así pues, consta acreditado que la parte reclamada creó un grupo de WhatsApp en el
que incluyó el número de móvil de sus clientes con el fin de promocionar un servicio,
que cada uno de los miembros del grupo tenía acceso a los datos de los demás (en
todo caso al número de teléfono móvil y eventualmente otros datos adicionales como
el nombre) y que los números de móvil de la parte reclamante 1 y de la parte
reclamante 2 fueron incluidos en el citado grupo “Medicina Estética 2”.
Como se ha indicado, la reclamada podía lícitamente tratar los datos de sus clientes al
amparo del artículo 6.1.b) del RGPD. E incluso podía tratarlos con fines de promoción
comercial sobre la base de su interés legítimo (artículo 6.1.f del RGPD) cuando -como
es el caso- pretendía promocionar un producto o servicio similar a los contratados por
sus clientes. Pero, al mismo tiempo estaba obligada a garantizar la confidencialidad de
los datos de los clientes que trataba en calidad de responsable.
La circunstancia de que el grupo de mensajería instantánea creado por la parte
reclamada para promocionar comercialmente entre sus clientes uno de sus servicios
permitiera a cada uno de sus integrantes ver el dato del número de móvil (como
mínimo) del resto de los miembros del grupo pone de manifiesto la parte reclamada no
realizado un mínimo examen previo de las características que revestía ese medio y de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
14 / 20
sus evidentes riesgos para los derechos y libertades de los afectados y no adoptó
ninguna medida técnica u organizativa apropiada para garantizar la confidencialidad
de los datos que trataba.
A mayor abundamiento, obra en el expediente una conversación de WhatsApp
mantenida entre la reclamada y la parte reclamante 1 (fuera del grupo Medicina
Estética 2) que revela el desconocimiento e improvisación de la reclamada en el
tratamiento de datos efectuado, hasta el punto de que no es capaz de comprobar por
sus propios medios si ha conseguido o no eliminar el grupo que ella ha creado.
Reproducimos parcialmente la conversación entre la reclamada (desde su número
***TELÉFONO.9 ) y la parte reclamante 1 a la que se hace mención en el hecho
probado séptimo. En ella la empleada D.D.D. se dirige a la parte reclamante 1 - A.A.A. -
para hacerle una consulta sobre el grupo de WhatsApp “Medicina Estética 2” que en
esos momentos estaba activo. La reclamada se dirige a la reclamante 1 a las 5.18 pm:
“ A.A.A. por favor podrías enviarme una foto de lo del grupo? q la chica de recepción
m dice q lo ha eliminado para poder verlo y estamos buscando una forma de
solucionarlo.”.
Finalmente es preciso subrayar que, como consta acreditado en el expediente, se dio
traslado a la parte reclamada de las reclamaciones recibidas para que informara a esta
Agencia de acuerdo con lo prevenido en el artículo 65.5 de la LOPDGDD, sin que la
SOCIEDAD haya dado respuesta. En idéntico sentido, la parte reclamada, pese a
haber accedido a la notificación del acuerdo de inicio del procedimiento, no presentó
alegaciones, siendo así que le incumbe a ella la carga de acreditar que el tratamiento
efectuado cumple los principios que presiden el tratamiento de datos personales (ex
artículo 5.2. RGPD) .
Cabe recordar, por último, que la vulneración del principio de confidencialidad reviste
especial gravedad en el supuesto de hecho aquí examinado, en el que -como se ha
indicado en el Fundamento precedente- los datos tratados tienen la naturaleza de
datos de salud, incluidos en la categoría de datos especiales del artículo 9 del RGPD.
El tratamiento de estos datos, con carácter general, se encuentra prohibido (ex artículo
9.2) siendo necesario para levantar la prohibición de tratamiento que concurra alguna
de las circunstancias previstas en el artículo 9.2 RGPD. Entre ellas, la letra a) del
artículo citado menciona el consentimiento explícito del interesado para el tratamiento
de dichos datos personales con uno o más de los fines especificados, excepto cuando
el Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado. A tenor de la
exposición precedente, esta resolución considera acreditado que la SOCIEDAD,
actuando con una grave falta de diligencia, incluyó el número de móvil de la parte
reclamante 1 y de la parte reclamante 2, junto con el número de otros clientes, en un
grupo de WhatsApp en el que cada uno de los integrantes podía acceder al dato del
número de teléfono (como mínimo) del resto, por lo que incumplió la obligación que le
impone el RGPD de garantizar su confidencialidad (ex artículo 5.1.f)
IV
Tipificación y calificación a efectos de prescripción de la infracción del artículo 5.1.f) del
RGPD
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
15 / 20
La vulneración del principio de confidencialidad establecido en el artículo 5.1.f) del
RGPD se encuentra tipificada en su artículo 83.5, precepto que establece:
“ Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9; b) los derechos; […]”
Con la exclusiva finalidad de determinar el plazo de prescripción de las infracciones, el
artículo 72 de la LOPDGDD califica de “muy grave ” la infracción tipificada en el artículo
83.5.a) del RGPD y fija para ella un plazo de prescripción de tres años. Así, el artículo
72.1 de la LOPDGDD dispone lo siguiente:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679”.
V
Sanción de la infracción del artículo 5.1.f) RGPD
El artículo 58.2 del RGPD, apartados a) a j), relaciona los poderes correctivos
atribuidos a la Autoridad Supervisora.
El precepto menciona, entre ellos, la potestad de imponer una multa administrativa con
arreglo al artículo 83 del RGPD (artículo 58.2. i). También, la potestad de ordenar al
responsable o encargado del tratamiento que las operaciones de tratamiento se
ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y
dentro de un plazo especificado (artículo 58.2. d). Además, el artículo 83.2 del RGPD
advierte que las multas administrativas se impondrán “a título adicional o sustitutivo de
las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j).”
La presente resolución acuerda imponer a la parte reclamada, como responsable de
una infracción del artículo 5.1.f) del RGPD una sanción de multa administrativa
conforme al artículo 58.2.i) del RGPD.
El artículo 83 del RGPD, “ Condiciones generales para la imposición de multas
administrativas”, dice en su apartado 1 que la autoridad de control garantizará que la
imposición de multas por las infracciones del presente Reglamento indicadas en los
apartados 4,5 y 6, cumpla en cada caso individual los principios de efectividad,
proporcionalidad y carácter disuasorio.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
16 / 20
Para lograr la adecuación entre la sanción y la infracción cometida el artículo 83.2 del
RGPD recoge una relación de criterios para graduar el importe de la sanción. El
precepto establece:
“ Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.”
La LOPDGDD, artículo 76, “ Sanciones y medidas correctivas ”, dispone en relación con
el artículo 83.2.k) que podrán tenerse en cuenta:
“a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
17 / 20
Por otra parte, el artículo 83.4 del RGPD dispone que el importe máximo de la sanción
que se imponga será la mayor de estas dos cantidades: 10.000.000 de euros o,
tratándose de una empresa, una “ cuantía equivalente al 2% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior ”.
Se aprecian en este caso, en relación con la infracción del artículo 5.1.f) del RGPD de
la que se responsabiliza a la parte reclamada, la concurrencia de las siguientes
circunstancias que se valoran a efectos de determinar el nivel de gravedad de la
infracción:
i.- Artículo 83.2 g) del RGPD " la categoría de los datos personales afectados por la
infracción" .
Como se expone en los Fundamentos II y III de esta resolución, la vulneración del
principio de confidencialidad afectó en el supuesto de hecho examinado a datos de
salud; categoría de datos especialmente protegidos, sometidos al régimen jurídico
particular del artículo 9 del RGPD. La vulneración de la confidencialidad de datos de la
parte reclamante de esa naturaleza incrementa la gravedad de la conducta infractora
lo cual justifica la concurrencia de la presente circunstancia.
Por otra parte, se valoran como circunstancias agravantes las siguientes:
ii.- Artículo 83.2.k) RGPD en relación con el artículo 76.b) de la LOPDGDD: “La
evidente vinculación entre la actividad empresarial de la parte reclamada y el
tratamiento de datos personales.”
La reclamada, por el carácter de los servicios que presta -es una clínica estética- se ve
obligada de manera habitual a tratar numerosos datos de carácter personal. Este
hecho incide en la diligencia que le es exigible en lo que respecta al cumplimiento de
los principios que presiden el tratamiento de datos de carácter personal para
garantizar el respeto de este derecho fundamental.
Es ilustrativa en ese sentido la SAN de 17/10/2007 (Rec. 63/2006) en la que se dice:
“[...].el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso
ahora examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado
por ajustarse a las prevenciones legales al respecto ”.
Por lo expuesto y de conformidad con los criterios de los artículos 83.1. y 83.2 del
RGPD, se acuerda imponer a la parte reclamada por la infracción del artículo 5.1.f) del
RGPD de la que se le responsabiliza, una sanción de multa administrativa por un
importe de 30.000€ (treinta mil euros).
VI
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
18 / 20
Sobre la infracción del artículo 32 del RGPD que se atribuyó a la reclamada en el
acuerdo de inicio
En el acuerdo de inicio de este procedimiento sancionador se imputaron a la parte
reclamada dos presuntas infracciones del RGPD: los artículos 5.1.f) y 32.
Los hechos que constan acreditados en el procedimiento, sin embargo, no ofrecen
elementos de juicio para considerar que la parte reclamada hubiera omitido alguna
medida de seguridad, adicional y distinta a la que se subsume en la infracción del
artículo 5.1.f) del RGPD, que permita integrar la infracción del artículo 32 del RGPD.
En consecuencia, se acuerda el archivo de la infracción del artículo 32 del RGPD
inicialmente atribuida a la entidad reclamada.
VII
Adopción de medidas
El artículo 58.2 del RGPD relaciona las medidas correctivas que la autoridad de control
puede adoptar, entre ellas (apartado d) “ ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado”. El artículo 83.2 del RGPD precisa que la imposición de tal medida
es compatible con la imposición de una multa administrativa prevista en el artículo
58.2.i) del RGPD.
En el acuerdo de inicio de este procedimiento se hizo constar que, en caso de dictarse
una resolución sancionadora, se podría ordenar al responsable la adopción de las
medidas correctivas que se detallaban en dicho acuerdo, con indicación de los plazos
en los que debía acreditar su cumplimiento.
Esta resolución considera acreditado que la parte reclamada es responsable de una
infracción del artículo 5.1.f) del RGPD, en los términos que han quedado expuestos,
por lo que, de conformidad con el artículo 58.2.d) del RGPD, acuerda ordenar a la
parte reclamada que adopte las siguientes medidas:
- En el plazo de un mes desde que la resolución sancionadora fuera ejecutiva, la
eliminación del grupo de WhatsApp sobre el que versan las reclamaciones que
han dado origen al presente procedimiento.
- En el plazo de tres meses desde que la resolución sancionadora fuera
ejecutiva, la implementación en el centro estético del que es titular de sistemas
de comunicación en los que la inclusión de participantes en grupos no permita
la visibilidad del resto de los integrantes, salvo el del administrador,
garantizándose que solo éste último tenga conocimiento de la composición del
grupo de participantes.
Se advierte que no atender la orden de adopción de medidas impuestas por este
organismo podrá ser considerado una infracción administrativa conforme a lo
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
19 / 20
dispuesto en el RGPD, tipificada en sus artículos 83.5 y 83.6, pudiendo motivar tal
conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de
la Agencia Española de Protección de Datos RESUELVE :
PRIMERO : IMPONER a THE RED KIWI, S.L . , con NIF B53769881 , por una infracción
del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5.a) del RGPD, una multa
administrativa (artículo 58.2.i LOPDGDD) por un importe de 30.000 € (treinta mil
euros)
SEGUNDO : ACORDAR EL ARCHIVO de la infracción del artículo 32 del RGPD,
tipificada en el artículo 83.4.a) del RGPD, imputada en el acuerdo de inicio del
procedimiento a THE RED KIWI, S.L, con NIF B53769881, habida cuenta de que no
consta acreditado que concurran los elementos integrantes de esa infracción.
TERCERO : ORDENAR a THE RED KIWI, S.L., con NIF B53769881, que, en virtud del
artículo 58.2.d) del RGPD, acredite en los plazos que se indican haber procedido al
cumplimiento de las siguientes medidas:
-En el plazo de un mes, la eliminación del grupo de WhatsApp sobre el que versan las
reclamaciones que han dado origen al presente procedimiento.
-En el plazo de tres meses, la implementación en el centro estético del que es titular la
parte reclamada de sistemas de comunicación en los que la inclusión de participantes
en grupos no permita la visibilidad del resto de los integrantes, salvo el del
administrador, garantizándose que solo éste último tenga conocimiento de la
composición del grupo de participantes.
CUARTO : NOTIFICAR la presente resolución a THE RED KIWI, S.L., con NIF
B53769881.
Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso
potestativo de reposición (un mes a contar desde el día siguiente a la notificación de
esta resolución) sin que el interesado haya hecho uso de esta facultad. Se advierte al
sancionado que deberá hacer efectiva la sanción impuesta una vez que la presente
resolución sea ejecutiva de conformidad con lo dispuesto en el artículo 98.1.b) de la
LPACAP, en el plazo de pago voluntario establecido en el artículo 68 del Reglamento
General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en
relación con el artículo 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso,
indicando el NIF del sancionado y el número de procedimiento que figura en el
encabezamiento de este documento, en la cuenta restringida nº IBAN: ES00-0000-
0000-0000-0000-0000 (BIC/Código SWIFT: CAIXESBBXXX) , abierta a nombre de la
Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.
En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
20 / 20
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública. La publicación se realizará una vez la resolución sea firme
en vía administrativa.
Contra esta resolución, que pone fin a la vía administrativa conforme al artículo 48.6
de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el artículo 90.3 a) de la LPACAP ,
se podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el artículo 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-100325
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es
Link: https://www.aepd.es/documento/ps-00158-2023.pdf
Testo del 2025-11-16 Fonte: aepd.es
Demo Altre chiavi solo per gli iscritti
Commenta
i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.