ANTECEDENTES
PRIMERO: Dª A.A.A. (en adelante, la parte reclamante) con fecha 27 de octubre de 2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra MARKETING ACCOMMODATION SOLUTIONS FZ, L.L.C. con identificador fiscal 45000501 (en adelante, la parte reclamada). Los motivos en que basa la reclamación son los siguientes:
A través de la plataforma en línea Airbnb, la parte reclamante contactó con la entidad propietaria de un apartamento en Barcelona, MARKETING ACCOMMODATION SOLUTIONS FZ, L.L.C. (***URL.1), con el propósito de alojarse en él unos días con sus acompañantes. Dicha entidad había habilitado una página web/app para hacer el check-in online, trámite obligatorio para formalizar la entrega de llaves del apartamento. Para la realización del check-in online, las siete personas que iban a alojarse en el apartamento tuvieron que cumplimentar un formulario con correos, números de teléfono y direcciones, así como enviar fotos de su D.N.I. por las dos caras y selfies de cada uno de ellos.
Con posterioridad a la estancia, en concreto el 23 de octubre de 2021, la reclamante se puso en contacto con el responsable del tratamiento para indicar que los datos que se solicitan para realizar la reserva son excesivos, protesta porque no se da opción a que se deniegue el consentimiento para el envío de ofertas y productos, y pregunta qué datos suyos tienen, cuáles han obtenido siguiendo la autorización y cuáles han cedido y a quién.
La respuesta que la dieron, el 25 de octubre de 2021, fue que los únicos datos que tienen de la reclamante son los que facilitó a Airbnb: nombre, apellidos, número de teléfono y correo electrónico. Asimismo, se la indica que el propósito del check-in que hizo es para cumplir con la norma autonómica que obliga a comunicar tales datos al Registro de Viajeros que mantiene la policía catalana (los Mossos d’Esquadra), pues una vez que se suben los datos a la plataforma, se hace un volcado de los mismos en la web de los Mossos d’Esquadra, de tal modo que cuando se transfieren a éstos, desaparecen de su plataforma. Asimismo la indican que "no hemos cedido sus datos porque no los hemos tenido nunca ni los queremos, ni los necesitamos. puede quedarse tranquila no enviamos ningún tipo de publicidad a los clientes ni hacemos campañas."
La reclamante considera muy genérica la respuesta. Adjunta la parte reclamante:
a) Correo electrónico que se la envió desde ***EMAIL.1 para realizar el check-in online, en el que figura la siguiente información sobre el tratamiento de datos:
"Su información acaba de ser introducida en la base de datos. Le informamos que los datos proporcionados solo se utilizarán para cumplir con las reservas, así como para mantenerlo actualizado de nuestras noticias, promociones y ofertas.
Asimismo, nos gustaría informarle que la empresa guarda la información personal que usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas con la mejor comodidad para usted y su familia. Todos los datos que nos ha proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los casos en los que realicemos una reserva o tengamos que cumplir con una obligación legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no dude en contactarnos por correo electrónico:***EMAIL.1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico: ***EMAIL.1"
b) Intercambio de correos electrónicos entre la parte reclamante y la parte reclamada entre los días 23 de octubre de 2021 y el 25 de octubre de 2021. .
SEGUNDO: La Subdirección General de Inspección de Datos de la Agencia remitió a la parte reclamada escrito de fecha 1 de diciembre de 2021 en el que:
- Se la solicita que en el plazo de un mes, informe del nombre o de la entidad que ha designado como su representante y su domicilio en la Unión o, indicar los motivos por los que tal designación no resulta necesaria, toda vez que la parte reclamada no se encuentra establecida en la Unión y no consta a la Agencia quien es su representante en la Unión de conformidad con el artículo 27 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (Reglamento General de Protección de Datos, en adelante RGPD).
- Se la da traslado de la reclamación para que proceda a su análisis e informe a esta Agencia, en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, de conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en adelante LOPDGDD (LA LEY 19303/2018)).
- Se la requiere para que en el plazo de un mes remita a la Agencia la siguiente información:
1. Justificación de la base de legitimación supuestamente escogida para recoger y tratar las imágenes "selfies" de los usuarios, así como copia de sus documentos de identificación, teniendo en cuenta que la orden que establece la obligación (la Orden IRP/418/2010, de 5 de agosto (LA LEY 17193/2010), sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña) no incluye dicha información entre los datos a proporcionar a la policía catalana.
2. Confirmación de que la información recogida no se está tratando tras su supuesta comunicación a la policía catalana.
3. Confirmación de que no se están utilizando los datos personales de los clientes con fines publicitarios u otros fines.
4. Informe sobre las medidas adoptadas para adecuar su "Política de Privacidad" al artículo 13 del RGPD (LA LEY 6637/2016), de forma que refleje los anteriores puntos. Indicar fechas de implantación y controles efectuados para comprobar su eficacia.
5. La decisión adoptada a propósito de esta reclamación.
6. La dirección postal del representante del responsable del tratamiento en la Unión Europea.
7. Cualquier otra que considere relevante.
El mencionado escrito, cuya notificación se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (en adelante, LPACAP (LA LEY 15010/2015)) mediante correo postal internacional, fue devuelto por ausente de reparto.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del RGPD (LA LEY 6637/2016), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD (LA LEY 19303/2018), teniendo conocimiento de los siguientes extremos:
Con fecha 29 de julio de 2022 se comprueba en registros whois que el dominio ***URL.1 está registrado por el registrador 10DENCEHISPAHARD S.L.
Con fecha 29 de julio de 2022 se comprueba en la política de privacidad de ***URL.1 los datos de identificación del responsable de la página correspondiendo estos a MARKETING ACCOMMODATION SOLUTIONS FZ-LLC y consta:
"MARKETING ACCOMMODATION SOLUTIONS FZ-LLC, con identificador fiscal 45000501 y dirección en: Business Park, PO Box 10055, Ras Al Khaimah
UAE[...]"
Con fecha 29 de julio de 2022 se envía requerimiento de información a 10DENCEHISPAHARD S.L., relativo a datos de identificación y contacto, incluyendo nombre, apellidos o denominación social, DNI/CIF y dirección postal, del titular del dominio siguiente, así como de quien haya contratado su alojamiento: ***URL.1.
El 2 de agosto de 2022, 10DENCEHISPAHARD S.L. remite a esta Agencia los datos de identificación y contacto del titular de la web ***URL.1 siendo estos los siguientes:
Empresa: MARKETING ACCOMMODATION SOLUTIONS FZ-LLC NIF: 784119887490316
Nombre: B.B.B.
Cargo: Manager
Dirección: Business Park, PO 10055
Código postal: I
Localidad: Ras Al Khaimah País: Emiratos Arabes Unidos Correo: ***EMAIL.2
Teléfono: +***TELÉFONO.1
Con fecha 29 de julio de 2022 se envía requerimiento de información a MARKETING ACCOMMODATION SOLUTIONS FZ-LLC relativo a:
1. Justificación de la base de legitimación supuestamente escogida para recoger y tratar las imágenes "selfies" de los usuarios, así como copia de sus documentos de identificación, teniendo en cuenta que la orden que establece la obligación (la Orden IRP/418/2010, de 5 de agosto (LA LEY 17193/2010), sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña, la cual se adjunta al presente requerimiento) no incluye dicha información entre los datos a proporcionar a la policía catalana.
2. Capturas de pantalla de la app que usa su entidad con el proceso completo que siguen sus clientes para proporcionar datos como la copia de documentos de identificación y un "selfie" como requisito previo a la entrada en el apartamento.
3. Capturas de pantalla de sus sistemas donde consten todos los datos de que disponen acerca de 100 usuarios incluyendo la reclamante.
4. Documentación que acredite la ubicación geográfica donde tratan los datos de sus clientes.
5. Capturas de pantalla de sus sistemas donde consten todas las transmisiones o comunicaciones de datos efectuadas de 100 usuarios, incluyendo la reclamante, con el detalle de a qué destinatarios se han enviado.
6. Capturas de pantalla de sus sistemas donde conste que los datos de la reclamante se han eliminado tras su envío a la policía catalana y donde conste asimismo la fecha de eliminación.
7. Descripción detallada del sistema que utilizan para el envío de los datos de sus clientes a la policía catalana con indicación de los tipos de datos enviados, instante preciso en que se envían desde que son recibidos desde sus clientes y si los datos pasan en algún momento por sistemas bajo su responsabilidad o no. En caso de que los datos no pasen en ningún momento por sistemas bajo su responsabilidad indique los datos de identificación y contacto, incluyendo dirección postal, de quien sea el responsable de esos sistemas y aporte copia de contratos firmados entre su entidad y dicho responsable, y que incluyan el ámbito de la protección de datos.
8. Informe sobre las medidas adoptadas para adecuar su "Política de Privacidad" al artículo 13 del RGPD (LA LEY 6637/2016). Indicar fechas de implantación y controles efectuados para comprobar su eficacia.
9. La dirección postal del representante del responsable del tratamiento en la Unión Europea.
10. Cualquier otra que considere relevante.
El mencionado escrito, cuya notificación se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (en adelante, LPACAP (LA LEY 15010/2015)) mediante correo postal internacional, fue devuelto por ausente de reparto.
Con fecha 13 de septiembre de 2022 se comprueba que en la Orden IRP/418/2010, de 5 de agosto (LA LEY 17193/2010), sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña, consta:
"[...] Artículo 2
Registro documental
Toda persona que se aloje en los establecimientos comprendidos en el ámbito de aplicación de esta Orden, debe registrarse. A este efecto se tiene que cumplimentar, como mínimo, la información especificada como obligatoria en el modelo del anexo 1 de esta Orden.
[...]
Artículo 3
Comunicación de datos por medios telemáticos a la Dirección General de la
Policía.
Los establecimientos comprendidos en el ámbito de aplicación de esta Orden deben comunicar a la Dirección General de la Policía del departamento competente en materia de seguridad pública la información contenida en el anexo 2 de esta Orden. [...]
Artículo 4
Comunicación de datos por otros medios
Cuando por razones especiales debidamente motivadas, los establecimientos no puedan efectuar a través de medios telemáticos la comunicación mencionada, debe enviarse la información del anexo 2 a las dependencias policiales del cuerpo de mozos de escuadra a través de cualquiera de los siguientes sistemas:
[...]
ANEXO 2
Datos de la información que se debe comunicar a la Dirección General de la
Policía
Datos del establecimiento
CIF/NIF
Nombre del establecimiento
Dirección Municipio Provincia
Datos de la persona alojada
Número del documento Tipo de documento Fecha de expedición Nombre
Apellidos
Sexo (F=femenino / M=masculino)
Fecha de nacimiento (formato fecha: AAAAMMDD) Nacionalidad (nombre de país)
Fecha de entrada en el establecimiento (formato fecha: AAAAMMDD) [...]"
Con fecha 13 de septiembre de 2022 se comprueba que en la Orden IRP/418/2010, de 5 de agosto (LA LEY 17193/2010), sobre la obligación de registro y comunicación a la Dirección General de la Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña, consta en su Anexo 1 un formulario con los datos de "Núm. documento de identidad", "Tipo de documento", "Fecha de expedición (si consta)", nombre y apellidos, sexo, fecha de nacimiento, nacionalidad, fecha de entrada, domicilio, teléfono, días previstos de estancia y firma, todos ellos relativos a las personas alojadas.
SEXTO: El citado acuerdo de inicio, cuya notificación se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (en adelante, LPACAP (LA LEY 15010/2015)) mediante correo postal internacional, fue devuelto por ausente de reparto. Por lo que se procedió a la notificación, de conformidad con el artículo 44 de la LPACAP (LA LEY 15010/2015), por medio de anuncio publicado en el Boletín Oficial del Estado de fecha 27 de diciembre de 2022. Se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
El artículo 64.2.f) de la LPACAP (LA LEY 15010/2015) -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución.
En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la parte reclamada y la sanción que podría imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP (LA LEY 15010/2015), el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO: Con fecha 6 de octubre de 2021, desde el correo electrónico ***EMAIL.1, se envió un correo electrónico a la parte reclamante con el siguiente contenido:
"Con el Check-in Online de Apartments2be disfrutarás antes de tu estancia! Rellena los datos necesarios para alojarte y evita esperas. Es un proceso sencillo que te llevará pocos minutos.
REALIZA TU CHECK-IN
Te recordamos que debes realizar el Check-in Online antes de tu llegada. Para ello, te recomendamos que tengas a mano los datos y documentos de identidad de todos los ocupantes del alojamiento. Es obligatorio para formalizar la entrega de llaves de tu alojamiento.
(...) Apartments2be
(...)
SBAM0460 Service Block Al Jazirah Al Hamra, Al Hamra Industrial Zone- FZ, Emiratos Árabes Unidos
Su información acaba de ser introducida en la base de datos. Le informamos que los datos proporcionados solo se utilizarán para cumplir con las reservas, así como para mantenerlo actualizado de nuestras noticias, promociones y ofertas.
Asimismo, nos gustaría informarle que la empresa guarda la información personal que usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas con la mejor comodidad para usted y su familia. Todos los datos que nos ha proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los casos en los que realicemos una reserva o tengamos que cumplir con una obligación legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no dude en contactarnos por correo electrónico:***EMAIL.1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico:***EMAIL.1"
SEGUNDO: El 23 de octubre de 2021, la parte reclamante envió un correo electrónico ***EMAIL.1 en el que consta:
"Recientemente se me ha solicitado autorización para tratar y ceder mis datos personales así como el de las 6 personas que me acompañaban en relación con una reserva que hice de un apartamento en Barcelona. Además de ser excesivos (tuvimos que enviar copias de nuestros DNI, rellenar un largo formulario y hacernos selfies), no daban opción a que denegara el consentimiento para que me enviasen sus ofertas y otros productos.
Siguiendo con lo establecido en dicha autorización y con la normativa de protección de datos quisiera saber qué datos tienen sobre mí, cuáles han obtenido siguiendo esta autorización y cuáles han cedido y a quién.[...]"
El 25 de octubre de 2021, el departamento de reservas de apartments2be, desde la dirección ***EMAIL.1, envió un correo electrónico a la parte reclamante en el que se respondía el correo electrónico anteriormente citado, indicando:
"Gracias por su email, los únicos datos que tenemos sobre usted son los que usted facilitó a Airbnb: su nombre, sus apellidos, un número de teléfono y el email que le hizo Airbnb cuando creó su cuenta y que los mensajes le llegan a la bandeja de mensajes de airbnb.
El registro de viajeros que realizaron, es obligatorio en Cataluña, no se puede acceder a un alojamiento en Cataluña sea del tipo que sea sin antes realizar un registro de viajeros, hay particulares que lo hacen a mano rellenando un papel y haciendo una foto del dni del cliente que luego imprimen y envían en formato pdf a los mossos, pero este modo, a nuestro entender sí que hace que los datos de los clientes estén en nuestras manos y sufran trazabilidades, es por esto que usamos el modo telemático, ustedes subieron sus datos a una plataforma que hace un volcado en la web de los mossos de esquadra, prácticamente los envían ustedes directamente, nosotros solo validamos una imagen que vemos (no podemos imprimir, ni descargar, ni copiar) para verificar que esté correcta, porque es nuestra responsabilidad recoger todos estos datos, una vez les transfiere los datos ustedes directamente, estos desaparecen y solo ellos los tienen.
La policía no está obligada a decirle a usted la finalidad con la que recaba datos de los viajeros.
Nosotros no hemos cedido sus datos porque no los hemos tenido nunca ni los queremos, ni los necesitamos. puede quedarse tranquila no enviamos ningún tipo de publicidad a los clientes ni hacemos campañas"
TERCERO: Con fecha 27 de octubre de 2021, la parte reclamante interpuso reclamación ante la Agencia Española de Protección de Datos por entender que los datos que se exigen en el chek-in online son excesivos y por considerar que la respuesta que se la ha dado en fecha 25 de octubre de 2021 es muy genérica.
CUARTO: Consta acreditado que el responsable de la página web ***URL.1 es la parte reclamada.
QUINTO: La Agencia Española de Protección de Datos ha notificado en legal forma a la parte reclamada el acuerdo de apertura del presente procedimiento sancionador, pero ésta no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados.
FUNDAMENTOS DE DERECHO
I En virtud de los poderes que el artículo 58.2 del RGPD (LA LEY 6637/2016) reconoce a cada autoridad de control y según lo establecido en los artículos 47 (LA LEY 19303/2018), 48.1 (LA LEY 19303/2018), 64.2 (LA LEY 19303/2018) y 68.1 de la LOPDGDD (LA LEY 19303/2018), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD (LA LEY 19303/2018) determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679 (LA LEY 6637/2016), en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
El artículo 3.2 del RGPD (LA LEY 6637/2016) señala que "El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión"
En el presente caso, la parte reclamada, si bien no está establecida en la Unión, ofrece un servicio de alquiler de apartamentos vacacionales dentro de la misma, por lo que la Agencia es competente para tramitar el presente expediente.
II Todo responsable del tratamiento ha de respetar los principios recogidos en el artículo 5 del RGPD (LA LEY 6637/2016). Destacaremos el artículo 5.1.c) del RGPD (LA LEY 6637/2016) que establece que:
"1. Los datos personales serán
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);"
Hay que aclarar que este artículo no limita el exceso de datos, sino la necesidad. Es decir, los datos personales serán, "adecuados, pertinentes y limitados a la necesidad" para la que fueron recabados, de tal manera que si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo de datos, así debe hacerse en todo caso.
Igualmente, el considerando 39 del RGPD indica que: "Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios." Por tanto, únicamente se tratarán los datos que sean, "adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan".
Las categorías de datos seleccionados para su tratamiento deben ser los estrictamente necesarios para lograr el objetivo declarado y el responsable del tratamiento debe limitar estrictamente la recogida de datos a aquella información que esté directamente relacionada con el fin específico que se intenta alcanzar.
En el presente caso la parte reclamada realiza un tratamiento de diversos datos personales como el nombre, apellidos, número de teléfono, dirección de correo electrónico, dirección postal, imagen del D.N.I. por los dos lados. Y no todos ellos son necesarios ni para prestar el servicio de alquiler de apartamentos vacacionales ni para dar cumplimiento a la obligación de registrar a las personas que se alojan en los establecimientos de hospedaje de Cataluña que exige el artículo 2 de la Orden IRP/418/2010, de 5 de agosto (LA LEY 17193/2010), sobre la obligación de registro y comunicación a la Dirección General de Policía de las personas que se alojan en los establecimientos de hospedaje ubicados en Cataluña.
Es en el anexo I de la citada Orden donde se indican qué datos son necesarios para tal registro: número del documento de identidad, tipo de documento, fecha de expedición del mismo (si consta), apellidos, nombre, sexo, nacionalidad, fecha de entrada, domicilio, número de teléfono y días previstos de estancia.
De la documentación obrante en el expediente hay evidencias de que la parte reclamada ha vulnerado el artículo 5.1.c) del RGPD (LA LEY 6637/2016), al haber exigido la imagen del D.N.I. por los dos lados, a efectos de poder obtener éstas las llaves del alojamiento que han reservado, pues tales datos no son necesarios para el tratamiento que realiza la parte reclamada.
Por otro lado, hay que indicar que, si bien la parte reclamante indicó que la parte reclamada también la exigió un selfie de las personas que se iban a alojar en el apartamento, este extremo no ha sido debidamente probado.
III En el presente caso, la parte reclamada no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados en el plazo dado para ello.
De conformidad con las evidencias de las que se dispone y que no han sido desvirtuadas durante el procedimiento sancionador, se considera que la parte reclamada ha tratado datos que eran excesivos al no ser necesarios para la finalidad para la que se trataban.
Atendiendo a lo expuesto, los hechos suponen una vulneración de lo establecido en el artículo 5.1.c) del RGPD (LA LEY 6637/2016), lo que supone la comisión de una infracción tipificada en el artículo 83.5, apartado a) del RGPD (LA LEY 6637/2016), que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone que:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"
A este respecto, la LOPDGDD, en su artículo 71 (LA LEY 19303/2018) establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD (LA LEY 19303/2018) indica:
Artículo 72. Infracciones consideradas muy graves.
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)."
IV A fin de determinar la multa administrativa a imponer se han de observar las previsiones de los artículos 83.1 (LA LEY 6637/2016) y 83.2 del RGPD (LA LEY 6637/2016), preceptos que señalan:
"1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturale- za, alcance o propósito de la operación de tratamiento de que se trate así como el nú- mero de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para pa- liar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habi- da cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción."
Respecto al apartado k) del artículo 83.2 del RGPD (LA LEY 6637/2016), la LOPDGDD, artículo 76 (LA LEY 19303/2018), "Sanciones y medidas correctivas", dispone:
"2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado."
Atendiendo a los preceptos transcritos, a efectos de fijar el importe de la sanción de multa a imponer en el presente caso por la infracción tipificada en el artículo 83.5.a) del RGPD (LA LEY 6637/2016), procede graduarla de acuerdo con las siguientes circunstancias:
Como agravantes:
- - En la actividad de la parte reclamada es imprescindible el tratamiento de datos de carácter personal de las personas que se alojan en sus apartamentos vacacionales (artículo 76.2.b) de la LOPDGDD (LA LEY 19303/2018) en relación con el artículo 83.2.k) del RGPD (LA LEY 6637/2016)).
- - La intencionalidad o negligencia en la infracción, puesto que la parte reclamada era plenamente consciente del procedimiento implantado (artículo 83.2.b) del RGPD (LA LEY 6637/2016)). Conectada con el grado de diligencia que el responsable del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos puede citarse la Sentencia de la Audiencia Nacional de 17 de 10 de 2007 (rec. 63/2006), la cual, después de aludir a que las entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros han de observar un adecuado nivel de diligencia, precisaba que "(...) el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto" (artículo 83.2.b) del RGPD (LA LEY 6637/2016)).
El acuerdo de inicio del presente procedimiento sancionador indicó que "La cuantía de la multa que correspondería, sin perjuicio de lo que resulte de la instrucción del procedimiento, es de 50.000 € (cincuenta mil euros)."
No obstante, a la vista de no haberse acreditado que la parte reclamada exija un selfie de las personas que se van a alojar en sus apartamentos a la hora de hacer el chek-in online, así como por el balance de las circunstancias contempladas, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 5.1.c) del RGPD (LA LEY 6637/2016), se fija una multa de 25.000 € (veinticinco mil euros).
V El artículo 13 del RGPD (LA LEY 6637/2016) regula la información que se debe facilitar al interesado cuando los datos son recogidos directamente de él, estableciéndose lo siguiente:
"1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado."
La información que remite la parte reclamada a las personas que han realizado la reserva de uno de sus apartamentos vacacionales es la siguiente:
"Su información acaba de ser introducida en la base de datos. Le informamos que los datos proporcionados solo se utilizarán para cumplir con las reservas, así como para mantenerlo actualizado de nuestras noticias, promociones y ofertas.
Asimismo, nos gustaría informarle que la empresa guarda la información personal que usted proporcionó con su última reserva, con el fin de gestionar sus futuras reservas con la mejor comodidad para usted y su familia. Todos los datos que nos ha proporcionado se mantienen seguros y no se transferirán a terceros, excepto en los casos en los que realicemos una reserva o tengamos que cumplir con una obligación legal.
En cualquier caso, si no desea recibir nuestras novedades, ofertas y promociones, no dude en contactarnos por correo electrónico: hello@***URL.1
Finalmente, le informamos que de acuerdo con la nueva regulación, puede ejercer sus derechos de acceso, rectificación, oposición, cancelación o eliminación y limitación de datos; así como solicitar no ser sujeto de decisiones individualizadas o la entrega de sus datos a través del derecho de portabilidad, siguiendo los siguientes pasos:
- En persona en las oficinas de la compañía.
- A través del correo electrónico con una copia escaneada de su pasaporte o DNI
enviada al correo electrónico:***EMAIL.1"
Por tanto, la parte reclamada no envía a los interesados toda la información que exige el artículo 13 del RGPD (LA LEY 6637/2016), en concreto faltaría remitirles:
- - La identidad y los datos de contacto del responsable y, en su caso, de su representante.
- - Los datos de contacto del delegado de protección de datos, en su caso.
- - La base jurídica del tratamiento de datos.
- - Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
- - El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- - El derecho a presentar una reclamación ante una autoridad de control.
- - Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
A mayor abundamiento, la "Política de Privacidad" de la parte reclamada señala lo siguiente:
"MARKETING ACCOMMODATION SOLUTIONS FZ-LLC, con identificador fiscal 45000501 y dirección en: Business Park, PO Box 10055, Ras Al Khaimah UAE, no puede asumir ninguna responsabilidad derivada del uso incorrecto, inapropiado o ilícito de la información aparecida en las páginas web de:***URL.1
Que MARKETING ACCOMMODATION SOLUTIONS FZ-LLC consta inscrita en el
Registro Mercantil de EAU
Con los límites establecidos en la ley, MARKETING ACCOMMODATION SOLUTIONS FZ-LLC no asume ninguna responsabilidad derivada de la falta de veracidad, integridad, actualización y precisión de los datos o informaciones que contienen sus páginas web.
Los contenidos e información no vinculan a MARKETING ACCOMMODATION SOLUTIONS FZ-LLC ni constituyen opiniones, consejos o asesoramiento legal de ningún tipo pues se trata meramente de un servicio ofrecido con carácter informativo y divulgativo.
Las páginas de Internet de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC pueden contener enlaces (links) a otras páginas de terceras partes que MARKETING ACCOMMODATION SOLUTIONS FZ-LLC. no puede controlar. Por lo tanto, MARKETING ACCOMMODATION SOLUTIONS FZ-LLC no puede asumir responsabilidades por el contenido que pueda aparecer en páginas de terceros.
Los textos, imágenes, sonidos, animaciones, software y el resto de contenidos incluidos en este website son propiedad exclusiva de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC o sus licenciantes. Cualquier acto de transmisión, distribución, cesión, reproducción, almacenamiento o comunicación pública total o parcial, deberá contar con el consentimiento expreso de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC Asimismo, para acceder a algunos de los servicios que MARKETING ACCOMMODATION SOLUTIONS FZ-LLC ofrece a través del sitio web, deberá proporcionar algunos datos de carácter personal. En cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos le informamos que, mediante la cumplimentación de los presentes formularios, sus datos personales quedarán incorporados y serán tratados en los ficheros de MARKETING ACCOMMODATION SOLUTIONS FZ-LLC con el fin de poderle prestar y ofrecer nuestros servicios así como para informarle de las mejoras del sitio Web.
Le informamos también de que tendrá la posibilidad en todo momento de ejercer los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad de sus datos de carácter personal, de manera gratuita mediante email a:***EMAIL.3"
Esto es, la política de privacidad de la parte reclamada tampoco está adaptada a lo establecido en el artículo 13 del RGPD (LA LEY 6637/2016), pues faltaría incluir la siguiente información:
- - La identidad y los datos de contacto del responsable y, en su caso, de su representante.
- - Los datos de contacto del delegado de protección de datos, en su caso.
- - La base jurídica del tratamiento de datos.
- - Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
- - El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- - El derecho a presentar una reclamación ante una autoridad de control.
- - Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
De la documentación obrante en el expediente hay evidencias de que la parte reclamada ha vulnerado el artículo 13 del RGPD (LA LEY 6637/2016), al no haber remitido a las personas que han realizado la reserva de uno de sus apartamentos vacacionales toda la información que exige el mencionado precepto, ni tiene adaptada su política de privacidad a lo establecido en el precitado artículo.
VI En el presente caso, la parte reclamada no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados en el plazo dado para ello.
De conformidad con las evidencias de las que se dispone y que no han sido desvirtuadas durante el procedimiento sancionador, se considera que la parte reclamada no ha cumplido con la obligación de remitir al interesado toda la información que recoge el artículo 13 del RGPD (LA LEY 6637/2016).
Atendiendo a lo expuesto, los hechos suponen una vulneración de lo establecido en el artículo 13 del RGPD (LA LEY 6637/2016), lo que supone la comisión de una infracción tipificada en el artículo 83.5, apartado b) del RGPD (LA LEY 6637/2016), que bajo la rúbrica "Condiciones generales para la imposición de multas administrativas" dispone que:
"Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22;"
A este respecto, la LOPDGDD, en su artículo 71 (LA LEY 19303/2018) establece que "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), así como las que resulten contrarias a la presente ley orgánica".
A efectos del plazo de prescripción, el artículo 72 de la LOPDGDD (LA LEY 19303/2018) indica:
Artículo 72. Infracciones consideradas muy graves.
"1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(...) h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)
2016/679 y 12 de esta ley orgánica."
VII A efectos de fijar el importe de la sanción de multa a imponer en el presente caso por la infracción tipificada en el artículo 83.5.b) del RGPD (LA LEY 6637/2016), procede graduarla de acuerdo con las siguientes circunstancias:
Como agravantes:
- - En la actividad de la parte reclamada es imprescindible el tratamiento de datos de carácter personal de las personas que se alojan en sus apartamentos vacacionales (artículo 76.2.b) de la LOPDGDD (LA LEY 19303/2018) en relación con el artículo 83.2.k) del RGPD (LA LEY 6637/2016)).
- - La intencionalidad o negligencia en la infracción, puesto que la parte reclamada es plenamente consciente de su política de privacidad. Conectada con el grado de diligencia que el responsable del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos puede citarse la Sentencia de la Audiencia Nacional de 17 de 10 de 2007 (rec.
63/2006), la cual, después de aludir a que las entidades en las que el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y terceros han de observar un adecuado nivel de diligencia, precisaba que "(...) el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto" (artículo 83.2.b) del RGPD (LA LEY 6637/2016)).
El balance de las circunstancias contempladas, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 13 del RGPD (LA LEY 6637/2016), permite fijar una multa 50.000 € (cincuenta mil euros).
VIII
En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y los hechos que han dado lugar a la vulneración de la normativa de protección de datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos concretos para implementarlas corresponda a la parte sancionada, pues es el responsable del tratamiento quien conoce plenamente su organización y ha de decidir, en base a la responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD (LA LEY 19303/2018).