Empresa no respeta el derecho de supresión ejercido por un excliente y es sancionada por la AEPD

En este procedimiento la AEPD decide sancionar a una empresa por seguir mandando mails comerciales a un excliente que había solicitado que todos sus datos fuesen eliminados de la base de datos de la empresa sancionada :

Procedimiento Nº: PS/00304/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES

PRIMERO: A.A.A. (en adelante, el reclamante) con fecha 2 de julio de 2020 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra DOUGLAS SPAIN, S.A.U. con NIF A28848836 (en adelante, el
reclamado).
Los motivos en que basa la reclamación son que pese a solicitar el 8 de mayo de 2020
al reclamado que suprimieran sus datos personales, sigue recibiendo publicidad,
recibiendo los dos últimos correos el 2 de julio de 2020.
Aporta captura de pantalla del SMS recibido, el 8 de mayo de 2020, donde le
contestan a su solicitud de baja con el siguiente mensaje: “Te has dado de baja
correctamente”.
Adjunta además las cabeceras de dos correos publicitarios recibidos el 2 de julio de
2020 y de un tercero de fecha 21 de agosto de 2020.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), con número de referencia E/06063/2020, se dio traslado de
dicha reclamación al reclamado, el día 17 de julio de 2020, para que procediese a su
análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a
cabo para adecuarse a los requisitos previstos en la normativa de protección de datos,
sin que a la fecha conste contestación al respecto.

TERCERO: Con fecha 5 de octubre de 2020, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la
presunta infracción del Artículo 21 de la LSSI, tipificada en el Artículo 38.4.d) de la
LSSI.

CUARTO: Notificado el citado Acuerdo de inicio el 16 de octubre de 2020, el
reclamado presentó alegaciones en las que señala que mantiene desde el mes de
mayo de 2020, una relación contractual con el reclamante, con motivo de la compra
realizada por el mismo en sus establecimientos, dándose de alta en el CLUB
DOUGLAS, para beneficiarse de los descuentos existentes en los precios de los
productos y recibir información de productos y servicios conforme a las condiciones de
pertenencia al CLUB DOUGLAS al que se hallaba acogido el reclamante como
cliente.

En su defensa la reclamada manifiesta que la mera aportación de un pantallazo de un
sms, por parte del reclamante, no es prueba suficiente para acreditar la solicitud de
baja cursada por el mismo, por lo que la imputación de dicha responsabilidad
constituye un acto arbitrario e injusto.

QUINTO: Con fecha 7 de noviembre de 2020, el instructor del procedimiento acordó la
apertura de un período de práctica de pruebas, teniéndose por incorporadas las
actuaciones previas de investigación, E/06063/2020, así como los documentos
aportados por el reclamado.

SEXTO: Con fecha 16 de noviembre de 2020 se formuló propuesta de resolución,
proponiendo que se sancione a DOUGLAS SPAIN, S.A.U. con NIF A28848836, con
multa de 2.700 euros (dos mil setecientos euros) por la infracción del artículo 21 de la
LSSI, tipificada en el artículo 38.4.d) de la LSSI.

HECHOS

PRIMERO: El reclamado solicitó el 8 de mayo de 2020 que sus datos personales
fuesen dados de baja de la base de datos de la entidad reclamada, y pese a recibir
sms acreditando que se había atendido su solicitud, ha seguido recibiendo publicidad
de dicha entidad, recibiendo los dos últimos correos el 2 de julio de 2020.

SEGUNDO: La entidad reclamada manifiesta que en mayo de 2020 el reclamante se
dio de alta en el CLUB DOUGLAS, para beneficiarse de los descuentos existentes en
los precios de los productos, no reconociendo la solicitud de baja cursada por este y
alegando que la mera aportación de un pantallazo de un sms, por parte del
reclamante, no es prueba suficiente para acreditar su solicitud de baja.

FUNDAMENTOS DE DERECHO
I
La competencia para sancionar la comisión de las infracciones tipificadas en los
artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, corresponde a la Agencia
Española de Protección de Datos, según dispone el artículo 43.1 de dicha Ley.
II
Los hechos expuestos, consistentes en el envío de comunicaciones comerciales tras
haber solicitado la baja de sus datos personales en la base de datos de la entidad
reclamada, son constitutivos de una infracción, por parte del reclamado a lo dispuesto
en el artículo 21 de la vigente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad
de la Información y Comercio Electrónico (en lo sucesivo LSSI), que dispone lo
siguiente:
“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por
correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita

los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al
tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo
y gratuito, tanto en el momento de recogida de los datos como en cada una de las
comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho
medio deberá consistir necesariamente en la inclusión de una dirección de correo
electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho,
quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”
La citada infracción se encuentra tipificada como leve en el artículo 38.4.d) de la LSSI,
que califica como tal “El envío de comunicaciones comerciales por correo electrónico u
otro medio de comunicación electrónica equivalente cuando en dichos envíos no se
cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”.

III
En el presente caso, el reclamante manifiesta que está recibiendo mensajes
publicitarios de la entidad reclamada, pese a haber solicitado el 8 de mayo de 2020 la
supresión de sus datos personales.
En su defensa, la entidad reclamada manifiesta que no hay pruebas fehacientes de la
solicitud de baja del reclamante.
En este sentido esta Agencia debe señalar que el reclamante ha acreditado los hechos
indicados con una captura de pantalla de fecha 8 de mayo de 2020, donde se puede
leer la respuesta de la entidad reclamada a su solicitud de baja: “Te has dado de baja
correctamente”.
Además, el reclamante acredita la recepción de tres correos publicitarios de fecha
posterior a la fecha de baja, aportando las cabeceras de dos correos publicitarios
recibidos el 2 de julio de 2020 y de un tercero de fecha 21 de agosto de 2020.

IV
Así las cosas, se imputa al reclamado una infracción del artículo 21 de la LSSI que ha
de calificarse como infracción leve, considerando el número de mensajes comerciales
remitidos a la reclamante.
A tenor de lo establecido en el artículo 39.1.c) de la LSSI, las infracciones leves podrán
sancionarse con multa de hasta 30.000 €, estableciéndose los criterios para su
graduación en el artículo 40 de la misma norma, cuyo tenor literal es el siguiente:
“Artículo 40. Graduación de la cuantía de las sanciones.
La cuantía de las multas que se impongan se graduará atendiendo a los siguientes
criterios:

a) La existencia de intencionalidad.

b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.

c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así
haya sido declarado por resolución firme.

d) La naturaleza y cuantía de los perjuicios causados.

e) Los beneficios obtenidos por la infracción.

f) Volumen de facturación a que afecte la infracción cometida.

g) La adhesión a un código de conducta o a un sistema de autorregulación publicitaria
aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo
18 o en la disposición final octava y que haya sido informado favorablemente por el
órgano u órganos competentes.”

En relación con los criterios de graduación de las sanciones recogidos en el transcrito
artículo 40 de la LSSI, se considera que en este supuesto actúa como agravante el
criterio a) del mencionado artículo, por cuanto se ha producido una falta de diligencia
por parte de la reclamada al utilizar la dirección de correo electrónico del reclamante
para remitirle una comunicación comercial después de confirmarle que se gestionaría
su solicitud de eliminación de datos personales, toda vez que le resulta exigible un
especial conocimiento de las exigencias contenidas en el artículo 21 de la LSSI al ser
una entidad habituada al envío de este tipo de mensajes en el desarrollo de su
actividad.

Con arreglo a lo cual, se estima adecuado a la gravedad de los hechos analizados
imponer a la entidad DOUGLAS SPAIN, S.A.U., con NIF A28848836, una sanción de
2.700 euros.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a DOUGLAS SPAIN, S.A.U., con NIF A28848836, por una
infracción del artículo 21 de la LSSI, tipificada en el artículo 38.4.d) de la LSSI, una
multa de 2.700 euros ( dos mil setecientos euros).

SEGUNDO: NOTIFICAR la presente resolución a DOUGLAS SPAIN, S.A.U.

TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.

Fuente : AEPD

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *