1/18

 Expediente N.º: EXP202204881

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes:

ANTECEDENTES

PRIMERO: D. A.A.A. (en adelante, la parte reclamante) con fecha 3 de abril de 2022
interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra DIGI SPAIN TELECOM, S.L. con NIF B84919760 (en
adelante, la parte reclamada o DIGI). Los motivos en que basa la reclamación son los
siguientes:

La parte reclamante manifiesta que el día 1 de abril de 2021, su teléfono móvil se

quedó sin línea, no dándole importancia y, horas más tarde, recibió varios correos
electrónicos de dos entidades bancarias avisándole de intentos de acceso a su cuenta
y de la realización de varias transferencias a través de bizum.

Al contactar con la entidad reclamada, le indicaron que se había realizado un

duplicado de su tarjeta SIM.

Fecha en la que tuvieron lugar los hechos reclamados: 1 de abril de 2021.

Documentación relevante aportada por la parte reclamante:

- Copia de la denuncia presentada ante la Guardia Civil el día 1 de abril de 2021.

- Impresión de pantalla del Servicio de Atención al Cliente de la entidad reclamada (de

fecha 12 de abril de 2021) en el que facilitan al reclamante los datos del punto de
venta en el que se activó el duplicado de la tarjeta SIM, el día 01/04/2021 a las 14:52h,
añadiendo lo siguiente: "Te informamos que los distribuidores tienen la obligación de
solicitar el documento de identidad del titular para hacer un duplicado de la tarjeta
SIM".

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 30 de mayo de 2022 como
consta en el acuse de recibo que obra en el expediente.

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 2/18

Con fecha 28 de junio de 2022 se recibe en esta Agencia escrito de respuesta

indicando:

“En relación con la situación expuesta por el reclamante, DIGI ha podido comprobar
que, en fecha 01/04/2021, el reclamante se puso en contacto con esta compañía
informando no disponer de servicio en su línea de móvil, así como indicando que se
había realizado un duplicado de su tarjeta SIM que no había solicitado. Tan pronto se
informa de estos hechos por el reclamante, DIGI procede a la suspensión inmediata y
cautelar de su numeración de móvil, quedando en tal momento la línea de móvil del
reclamante bloqueada a efectos de impedir cualquier uso no autorizado sobre la
misma.

Posteriormente, el día 02/04/2021, el reclamante solicitó a esta compañía información

sobre el duplicado de tarjeta SIM realizado sobre su numeración.

El mismo día, a las 17:51hrs., el reclamante, tras acudir a un Punto de Venta,

recuperó la línea suspendida adquiriendo un nuevo duplicado de su tarjeta.

Así mismo, como puede ser observado, en relación con la supuesta emisión irregular
del duplicado de tarjeta SIM, DIGI ha podido comprobar que el mismo fue realizado el
día 01/04/2021 a las 14:52hrs. en un Punto de Venta de Distribución de productos y
servicios de DIGI. En este sentido, DIGI ha podido confirmar que una vez el
reclamante recuperó su línea de móvil la situación quedó debidamente regularizada.

Por tanto, expuestos los hechos acaecidos, se ha podido determinar que la causa que
ha motivado la presente reclamación es la presunta emisión irregular de un duplicado
de tarjeta SIM bajo suplantación de la identidad del reclamante”.

TERCERO: De conformidad con el artículo 65 de la LOPDGDD, cuando se presentase

ante la Agencia Española de Protección de Datos (en adelante, AEPD) una
reclamación, ésta deberá evaluar su admisibilidad a trámite, debiendo notificar a la
parte reclamante la decisión sobre la admisión o inadmisión a trámite, en el plazo de
tres meses desde que la reclamación tuvo entrada en esta Agencia. Si, transcurrido
este plazo, no se produjera dicha notificación, se entenderá que prosigue la
tramitación de la reclamación con arreglo a lo dispuesto en el Título VIII de la Ley.
Dicha disposición también resulta de aplicación a los procedimientos que la AEPD
hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras
leyes.

En este caso, teniendo en cuenta lo anteriormente expuesto y que la reclamación se

presentó en esta Agencia, en fecha 3 de abril de 2022, se comunica que su
reclamación ha sido admitida a trámite, el 3 de julio de 2022, al haber transcurrido tres
meses desde que la misma tuvo entrada en la AEPD.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 3/18

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN

(…)

QUINTO: Con fecha 13 de enero de 2023, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
con arreglo a lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta
infracción del Artículo 6.1 del RGPD, tipificada en el Artículo 83.5 del RGPD.
SEXTO: Con fecha 23 de enero de 2023, DIGI solicita copia del expediente y la
ampliación del plazo legal conferido para contestar el requerimiento.

SEPTIMO: Con fecha 7 de febrero de 2023, se recibe en esta Agencia, en tiempo y

forma, escrito del representante de DIGI en el que en síntesis, se aduce que se
reiteran en las alegaciones previamente presentadas, señalando primeramente de
manera cronológica como ocurrieron los hechos, indicando el protocolo de seguridad y
las medidas adoptadas por estos hechos, manifestando que DIGI no ha puesto a
disposición de los presuntos delincuentes información personal del reclamante distinta
de la que ya tenían aquellos con anterioridad, porque los hechos acreditados
evidencian que el suplantador de identidad conocía con anterioridad a tener contacto
alguno con DIGI los datos personales del reclamante: nombre y apellidos, DNI y
número de teléfono.

Por lo tanto, señalan que no hay una relación entre los hechos que la AEPD identifica
como probados y la calificación jurídica que se hace de los mismos. El hecho de que la
persona que realiza los trámites no se corresponda, supuestamente, con el reclamante
titular del contrato no supone per se que exista ninguna falta de legitimación en su
tratamiento, y, mucho menos, no supone per se que exista una falta de diligencia en la
actuación de la mercantil de forma automática.

En consecuencia, indican que no resulta posible asociar a DIGI la realización de un

tratamiento no legitimado de datos personales, dado que su actuación se reduce al
cumplimiento de sus procesos y obligaciones.

Es decir, manifiestan que durante el proceso de solicitud y entrega del duplicado se

produce un tratamiento de los datos personales que se facilitan a DIGI con el objeto de
que este verifique la identidad del interlocutor, primero por medios telefónicos y
posteriormente de forma presencial.

Además. DIGI manifiesta que queda acreditado que la suplantación de identidad y el

acceso a los datos del reclamante de forma ilegitima se produce de forma previa a
tener contacto con DIGI, el supuesto suplantador tenía en su poder los datos

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 4/18

personales del reclamante, incluyendo su cuenta bancaria (lo que le permitió, así
mismo, acceder a ella).

Por otra parte, señala que la AEPD impone inequívocamente a DIGI una
responsabilidad objetiva, en la cual, independientemente de la diligencia y medidas
desplegadas, se declara la culpabilidad de la entidad. La AEPD parece confundir el
concepto de responsabilidad proactiva con la obligación de resultado que impone la
responsabilidad objetiva. En el presente supuesto, se evidencia la existencia de un
estricto control, previo y posterior a la solicitud del duplicado, el establecimiento de
medidas previas y a posteriori, así como la existencia de medidas encaminadas a
evitar de forma previa estas prácticas.

Es por ello que la parte reclamada considera que el presente Acuerdo de inicio no es
ajustado a derecho, pues impone a DIGI una obligación de resultado, basándose
únicamente en el resultado lesivo que se produce por la actividad fraudulenta de un
tercero, sin atender a la diligencia utilizada y sin considerar el despliegue de medidas
técnicamente adecuadas e implantadas.

Además, señala que concurren en el presente las siguientes circunstancias atenuantes

que no han sido consideradas en la adecuada graduación de la sanción:
La inexistencia de infracciones previas cometidas por DIGI (art. 83.2 e) RGPD).
En ningún momento se han tratado categorías especiales de datos (Art. 83.2 g)
RGPD)
El grado de cooperación de DIGI con la AEPD con el fin de poner remedio a una
supuesta infracción y mitigar sus posibles efectos adversos (art. 83.2 f) RGPD).
El inexistente beneficio obtenido (Art. 83.2 k).

Solicita que se dicte resolución por medio de la cual señale el archivo del
procedimiento.

Subsidiariamente apercibimiento y, en última instancia, se modere o module la

propuesta recogida en el Acuerdo de Inicio.

OCTAVO: Con fecha 8 de febrero de 2023, el instructor del procedimiento acordó

practicar las siguientes pruebas: <<1.Se dan por reproducidos a efectos probatorios la
reclamación interpuesta por D. A.A.A. y su documentación, los documentos obtenidos
y generados durante la fase de admisión a trámite de la reclamación, y el informe de
actuaciones previas de investigación que forman parte del procedimiento. 2.
Asimismo, se da por reproducido a efectos probatorios, las alegaciones al
acuerdo de inicio del procedimiento sancionador referenciado, presentadas por DIGI
SPAIN TELECOM, S.L., y la documentación que a ellas acompaña>>.

NOVENO: Con fecha 13 de marzo de 2023 se formuló propuesta de resolución,

proponiendo que por la Directora de la Agencia Española de Protección de Datos se
sancione a DIGI SPAIN TELECOM, S.L., con NIF B84919760, por una infracción del
Artículo 6.1 del RGPD, tipificada en el Artículo 83.5 a) del RGPD, la sanción que
correspondería sería una multa por un importe de 70.000 euros (setenta mil euros).

DÉCIMO: Notificada la propuesta de resolución, la parte reclamada solicitó ampliación

de plazo para formular alegaciones que le fue concedido, y presentó escrito de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 5/18

alegaciones el 4 de abril de 2023 en el que, en síntesis, se aduce que se reitera en las

alegaciones previamente presentadas, y que en el informe emitido por la Agencia de
Ciberseguridad de la Unión Europea ratifica que, para realizar un duplicado
fraudulento de SIM, el estafador necesita tener acceso a algunos de los datos
personales de la víctima, cliente del operador. Es decir, que los ciberdelincuentes,
cuentan con datos personales de sus víctimas con carácter previo a acudir ante el
Operador de Red Móvil.

Señala, que esto es lo que ocurrió en el presente supuesto, la víctima perdió el control
sobre sus datos personales en favor del suplantador de forma previa a que éste
contactase con DIGI.

“Además, para más énfasis, en el presente caso y como se ha tenido oportunidad de

exponer anteriormente en los escritos de esta parte, el empleado de la tienda
manifiesta expresamente que sí realizó dicha comprobación, sin que quepa poner en
duda su declaración sin mayor argumento que el resultado de la suplantación de
identidad. Así, existe la posibilidad de que aun siguiendo el protocolo y habiéndose
pedido copia del DNI esta fuera falsa. A mayor abundamiento, el hecho de que se
hubiese realizado una fotocopia de ese documento no habría añadido mayor
seguridad a la operativa.

Es por ello que la parte reclamada considera que la Propuesta no es ajustada a

derecho, pues impone a DIGI una obligación de resultado, consistente en el
establecimiento de medidas infalibles, al imputar una infracción del artículo 6.1 del
RGPD basándose únicamente en el resultado lesivo que se produce por la
intervención fraudulenta de un tercero, sin atender a la diligencia utilizada y sin
considerar el despliegue de medidas técnicamente adecuadas e implantadas.

DIGI no puede prever ni saber cuál es el deber de diligencia aplicable.

Sobre la falta de proporcionalidad de la sanción propuesta y que previos los trámites

oportunos se dicte resolución por medio de la cuál señale el archivo del procedimiento
nº PS/4881/2022”.

De las actuaciones practicadas en el presente procedimiento y de la documentación

obrante en el expediente, han quedado acreditados los siguientes:

HECHOS PROBADOS

PRIMERO. - La parte reclamante formuló reclamación ante esta Agencia el día 3 de

abril de 2022, en la que se hace constar que el día 1 de abril de 2021, su teléfono
móvil se quedó sin línea, recibiendo varios correos electrónicos de dos entidades
bancarías avisándole de intentos de acceso a su cuenta y de la realización de varias
transferencias a través de bizum.

SEGUNDO. - DIGI acredita, que el duplicado se produjo con fecha 1 de abril de 2021 a
las 14:52 hrs. en un punto de venta de distribución de productos y servicios de DIGI, y
que el duplicado solo se podía realizar por parte del titular de la línea y solo
presencialmente en un distribuidor. El cliente debe mostrar el documento de identidad
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 6/18

original no siendo válidas fotocopias, y el distribuidor comprobar los datos de número

de línea y documento de identidad que deben coincidir con los que constan del cliente
en los sistemas de la parte reclamada.

TERCERO. - Consta que DIGI en fecha 12 de abril de 2021, procedió al

establecimiento de medidas en relación con el punto de venta de distribución de
productos y servicios de DIGI implicado, así como a recordarle sus obligaciones
contractuales en relación con la identificación de los clientes de DIGI. Así mismo,
procedieron a limitar el acceso a la aplicación a efectos de evitar posibles accesos no
autorizados.

CUARTO. – La línea móvil del reclamante estuvo activa presuntamente con actividad
fraudulenta desde las 14:52hrs. hasta las 19:22 hrs. del día 1 de abril de 2022.

FUNDAMENTOS DE DERECHO

Competencia

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: “Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.”

II

Obligación Incumplida

Se imputa a la parte reclamada la comisión de una infracción por vulneración del

artículo 6 del RGPD, “Licitud del tratamiento”, que señala en su apartado 1 los
supuestos en los que el tratamiento de datos de terceros es considerado lícito:

“1. El tratamiento sólo será lícito si se cumple al menos una de las siguientes
condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 7/18

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al

responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de
aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus
funciones”.

III

Tipificación y calificación de la infracción

La infracción se tipifica en el artículo 83.5 del RGPD, que considera como tal:

“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20.000.000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5,6,7 y 9.”

La LOPDGD, a efectos de la prescripción de la infracción, califica en su artículo 72.1

de infracción muy grave, siendo en este caso el plazo de prescripción de tres años, “b)
El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidos en el artículo 6 del Reglamento (UE) 2016/679”.

En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar

lo siguiente:

En cuanto a que DIGI no ha puesto a disposición de los presuntos delincuentes

información personal de la parte reclamante distinta de la que ya tenían aquellos con
anterioridad. En consecuencia, no se ha producido un tratamiento no legitimado de
datos personales.

Efectivamente, la emisión de duplicado no es suficiente para realizar operaciones

bancarias en nombre de los titulares, ciertamente, para completar la estafa, es
necesario que un tercero “suplante la identidad” del titular de los datos ante la entidad
financiera.

Lo que conlleva a priori, un tratamiento al margen del principio de licitud pues un

tercero está tratando datos, ya que tiene acceso a ellos, sin base legal alguna, además
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 8/18

de la vulneración de otros principios como el de confidencialidad.

Por dicha razón, este es un proceso en donde la diligencia prestada por las
operadoras es fundamental para evitar este tipo de estafas y vulneraciones del RGPD.
Diligencia que se traduce en el establecimiento de medidas adecuadas para garantizar
que el tratamiento de datos sea conforme al RGPD.

Idénticas consideraciones merece la actuación de las entidades bancarias que

proporcionan servicios de pago, en cuyo ámbito se inicia este tipo de estafas, ya que
el tercero tiene acceso a las credenciales del usuario afectado y se hace pasar por
este.

En tanto que estas entidades son responsables del tratamiento de los datos de sus
clientes, les competen idénticas obligaciones que las señaladas hasta ahora para las
operadoras referidas al cumplimiento del RGPD y la LOPDGDD, y además las
derivadas del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y
otras medidas urgentes en materia financiera.

De los Hechos Probados, se deduce que DIGI ha facilitado un duplicado de tarjeta SIM
a un tercero distinto del legitimo titular de la línea móvil, tras la superación por tercera
persona de la política de seguridad existente, lo que evidencia un incumplimiento del
deber de proteger la información de los clientes.

Además, sostiene DIGI que, “el empleado de la tienda manifiesta expresamente que sí
realizó dicha comprobación, sin que quepa poner en duda su declaración sin mayor
argumento que el resultado de la suplantación de identidad. Así, existe la posibilidad
de que aun siguiendo el protocolo y habiéndose pedido copia del DNI esta fuera falsa.
A mayor abundamiento, el hecho de que se hubiese realizado una fotocopia de ese
documento no habría añadido mayor seguridad a la operativa”.

Pues bien, indicar que no basta con decir que el empleado comprobó el DNI sin poder
acreditar esta afirmación de ningún modo, no siendo admisible indicar que la Agencia
no permite fotocopiar/escanear los DNI, pues el artículo 5.2 del RGPD señala que “El
responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el
apartado 1 y capaz de demostrarlo (responsabilidad proactiva)” , toda vez que es el
responsable, en cumplimiento de sus obligaciones de responsabilidad proactiva, quien
debe implantar las medidas técnicas y organizativas necesarias, tal y como expresan
los artículos 24 y 25 del RGPD.

El principio de proactividad transfiere al responsable del tratamiento la obligación no

solo de observar los principios que presiden el tratamiento, también la de poder
demostrar dicho cumplimiento.

El artículo 5.2 del RGPD se desarrolla en el artículo 24 del RGPD que obliga al
responsable a adoptar las medidas técnicas y organizativas que sean apropiadas
“para garantizar y poder demostrar” que el tratamiento ha sido conforme con el RGPD.
El precepto establece:

“Responsabilidad del responsable del tratamiento”

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 9/18

“1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del

tratamiento, así como los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder
demostrar que el tratamiento es conforme con el presente Reglamento. Dichas
medidas se revisarán y actualizarán cuando sea necesario.

2.Cuando sean proporcionadas en relación con las actividades de tratamiento,

entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por
parte del responsable del tratamiento, de las oportunas políticas de protección
de datos.

3.La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un

mecanismo de certificación aprobado a tenor del artículo 42 podrán ser
utilizados como elementos para demostrar el cumplimiento de las obligaciones
por parte del responsable del tratamiento.”

Asimismo, el artículo 25.1 del RGPD establece que “Teniendo en cuenta el estado de
la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del
tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el
tratamiento para los derechos y libertades de las personas físicas, el responsable del
tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento
como en el momento del propio tratamiento, medidas técnicas y organizativas
apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los
principios de protección de datos, como la minimización de datos, e integrar las
garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente
Reglamento y proteger los derechos de los interesados.”

La licitud del tratamiento implica que los datos personales solamente pueden ser
tratados por el responsable del tratamiento cuando concurra alguna de las bases
legitimadoras enumeradas en el artículo 6 del RGPD.

Negar la concurrencia de una actuación negligente por parte de DIGI equivaldría a

reconocer que su conducta -por acción u omisión- ha sido diligente. Obviamente, no
compartimos esta perspectiva de los hechos, puesto que ha quedado acreditada la
falta de diligencia debida. Resulta muy ilustrativa, la SAN de 17 de octubre de 2007
(rec. 63/2006), partiendo de que se trata de entidades cuya actividad lleva aparejado
en continuo tratamiento de datos de clientes, indica que “…el Tribunal Supremo viene
entendiendo que existe imprudencia siempre que se desatiende un deber legal de
cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la
valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad
o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la
actividad de la recurrente es de constante y abundante manejo de datos de carácter
personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las
prevenciones legales al respecto".

Resulta acreditado en el expediente que no se ha garantizado una seguridad

adecuada en el tratamiento de los datos personales, habida cuenta del resultado que
ha producido la suplantación de identidad. Es decir, un tercero ha conseguido acceder
a los datos personales del titular de la línea.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 10/18

En cuanto a que los delincuentes no han conseguido obtener datos personales de

DIGI, por lo que no puede hablarse de incumplimiento de medidas de protección,
señalar que el acceso al duplicado de una tarjeta SIM que hace identificable a su
titular, responde a la definición de dato personal del artículo 4.1) del RGPD.

En cuanto a la responsabilidad de DIGI, debe indicarse que, con carácter general DIGI
trata los datos de sus clientes al amparo de lo previsto en el artículo 6.1 b) del RGPD,
por considerarse un tratamiento necesario para la ejecución de un contrato en el que
el interesado es parte o para la aplicación a petición de este de medidas
precontractuales. En otros casos, fundamenta la licitud del tratamiento en las bases
previstas en el artículo 6.1.a), c), e) y f) del RGPD.

Por otra parte, para completar la estafa, es necesario que un tercero “suplante la
identidad” del titular de los datos, para recibir el duplicado de la tarjeta SIM. Lo que
conlleva a priori, un tratamiento al margen del principio de licitud pues un tercero está
tratando datos, ya que tiene acceso a ellos, sin base legal alguna, además de la
vulneración de otros principios como el de confidencialidad.

Ciertamente, el principio de responsabilidad previsto en el artículo 28 de la LRJSP,

dispone que: “Sólo podrán ser sancionadas por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas, así como, cuando una Ley les
reconozca capacidad de obrar, los grupos de afectados, las uniones y entidades sin
personalidad jurídica y los patrimonios independientes o autónomos, que resulten
responsables de los mismos a título de dolo o culpa.”

No obstante, el modo de atribución de responsabilidad a las personas jurídicas no se

corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables
a la conducta humana. De modo que, en el caso de infracciones cometidas por
personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se
aplica necesariamente de forma distinta a como se hace respecto de las personas
físicas.

Según la STC 246/1991 " (...) esta construcción distinta de la imputabilidad de la auto-

ría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica
a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estric-
to, pero no la capacidad de infringir las normas a las que están sometidos.

Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien
jurídico protegido por la norma que se infringe y la necesidad de que dicha protección
sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona
jurídica que está sujeta al cumplimiento de dicha norma" (en este sentido STS de 24
de noviembre de 2011, Rec 258/2009).

A lo expuesto debe añadirse, siguiendo la sentencia de 23 de enero de 1998,

parcialmente trascrita en las SSTS de 9 de octubre de 2009, Rec 5285/2005, y de 23
de octubre de 2010, Rec 1067/2006, que "aunque la culpabilidad de la conducta debe
también ser objeto de prueba, debe considerarse en orden a la asunción de la
correspondiente carga, que ordinariamente los elementos volitivos y cognoscitivos
necesarios para apreciar aquélla forman parte de la conducta típica probada, y que su
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 11/18

exclusión requiere que se acredite la ausencia de tales elementos, o en su vertiente

normativa, que se ha empleado la diligencia que era exigible por quien aduce su
inexistencia; no basta, en suma, para la exculpación frente a un comportamiento
típicamente antijurídico la invocación de la ausencia de culpa".

Por consiguiente, se desestima la falta de culpabilidad. La responsabilidad última

sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la
existencia del tratamiento y su finalidad. Recordemos que, con carácter general las
operadoras tratan los datos de sus clientes al amparo de lo previsto en el artículo 6.1
b) del RGPD, por considerarse un tratamiento necesario para la ejecución de un
contrato en el que el interesado es parte (…). En este sentido, DIGI cuenta con una
red de comerciales, puntos de venta y distribuidores homologados a través de un
contrato de distribución para ofrecer los servicios de DIGI. Entre estos servicios
ofrecidos desde sus puntos de venta, está la realización de duplicados de tarjetas SIM
correspondientes a una línea de telefonía móvil.

En cuanto al incumplimiento del principio de proporcionalidad, el RGPD prevé

expresamente la posibilidad de graduación, mediante la previsión de multas
susceptibles de modulación, en atención a una serie de circunstancias de cada caso
individual.

En cuanto a la imposición de una advertencia, apercibimiento, o la adopción de

medidas correctivas conforme al artículo 58 del RGPD, una multa disuasoria es
aquella que tiene un efecto disuasorio genuino. A este respecto, la Sentencia del
TJUE, de 13 de junio de 2013, Versalis Spa/Comisión, C-511/11,
ECLI:EU:C:2013:386, dice:

“ 94.Respecto, en primer lugar, a la referencia a la sentencia Showa Denko/Comisión,

antes citada, es preciso señalar que Versalis la interpreta incorrectamente. En efecto,
el Tribunal de Justicia, al señalar en el apartado 23 de dicha sentencia que el factor
disuasorio se valora tomando en consideración una multitud de elementos y no sólo la
situación particular de la empresa de que se trata, se refería a los puntos 53 a 55 de
las conclusiones presentadas en aquel asunto por el Abogado General Geelhoed, que
había señalado, en esencia, que el coeficiente multiplicador de carácter disuasorio
puede tener por objeto no sólo una «disuasión general», definida como una acción
para desincentivar a todas las empresas, en general, de que cometan la infracción de
que se trate, sino también una «disuasión específica», consistente en disuadir al
demandado concreto para que no vuelva a infringir las normas en el futuro. Por lo
tanto, el Tribunal de Justicia sólo confirmó, en esa sentencia, que la Comisión no
estaba obligada a limitar su valoración a los factores relacionados únicamente con la
situación particular de la empresa en cuestión.”

“102. Según reiterada jurisprudencia, el objetivo del factor multiplicador disuasorio y de

la consideración, en este contexto, del tamaño y de los recursos globales de la
empresa en cuestión reside en el impacto deseado sobre la citada empresa, ya que la
sanción no debe ser insignificante, especialmente en relación con la capacidad
financiera de la empresa (en este sentido, véanse, en particular, la sentencia de 17 de
junio de 2010, Lafarge/Comisión, C-413/08 P, Rec. p. I-5361, apartado 104, y el auto
de 7 de febrero de 2012, Total y Elf Aquitaine/Comisión, C-421/11 P, apartado 82).”
Hemos de atender a las circunstancia singular de la reclamación presentada, a través
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 12/18

de la cual puede constatarse que, desde el momento en el que la persona

suplantadora realiza la sustitución de la SIM, el teléfono de la víctima se queda sin
servicio pasando el control de la línea a las personas suplantadoras. En consecuencia,
ven afectados sus poderes de disposición y control sobre sus datos personales, que
constituyen parte del contenido del derecho fundamental a la protección de datos
según ha señalado el Tribunal Constitucional en la Sentencia 292/2000, de 30 de
noviembre de 2000 (FJ 7). De manera que, al conseguir un duplicado de la tarjeta SIM,
se posibilita bajo determinadas circunstancias, el acceso a los contactos o a las
aplicaciones y servicios que tengan como procedimiento de recuperación de clave el
envío de un SMS con un código para poder modificar las contraseñas. En definitiva,
podrán suplantar la identidad de los afectados, pudiendo acceder y controlar, por
ejemplo: las cuentas de correo electrónico; cuentas bancarias; aplicaciones como
WhatsApp; redes sociales, como Facebook o Twitter, y un largo etc. En resumidas
cuentas, una vez modificada la clave de acceso por parte de los suplantadores pierden
el control de sus cuentas, aplicaciones y servicios, lo que supone una gran amenaza.
En definitiva, es el responsable del tratamiento el que tiene la obligación de integrar las
garantías necesarias en el tratamiento, con la finalidad de, en virtud del principio de
responsabilidad proactiva, cumplir y ser capaz de demostrar el cumplimiento, al mismo
tiempo que respeta el derecho fundamental a la protección de datos.

En el presente caso, resulta acreditado que con fecha 1 de abril de 2021 Digi tramitó la
emisión de duplicados de la tarjeta SIM de la línea ***TELEFONO.1, perteneciente a la
parte reclamante.

Ahora bien, debe señalarse que el Sim Swapping es un fraude que permite suplantar
la identidad mediante el secuestro del número de teléfono al obtener un duplicado de
la tarjeta SIM.

En todo caso, la operadora deberá ser capaz de acreditar que para este caso concreto
haya seguido los protocolos de verificación implementados a la hora de solicitar un
duplicado de la tarjeta SIM.

Pues bien, el resultado fue que la reclamada expidió la tarjeta SIM a un tercero que no
era el titular de la línea.

A la vista de lo anterior, DIGI no logra acreditar que se haya seguido ese

procedimiento.

De hecho, conforme al procedimiento de identificación descrito por la parte reclamada,

debió haberse comprobado el original del documento identificativo, siendo así que, de
haberse efectuado correctamente esta operación, el duplicado debió haber sido
denegado.

La parte reclamada no ha sido capaz de acreditar que para este supuesto se siguiera
el procedimiento implantado por ella misma, ya que, de haberlo hecho, se debió haber
producido la denegación del duplicado de la tarjeta SIM.

En base a lo anteriormente expuesto, en el caso analizado, queda en entredicho la

diligencia empleada por parte de la reclamada para identificar a la persona que solicitó
un duplicado de la tarjeta SIM.

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 13/18

De conformidad con las evidencias de las que se dispone, se estima que la conducta
de la parte reclamada vulnera el artículo 6.1 del RGPD siendo constitutiva de la
infracción tipificada en el artículo 83.5.a) del citado Reglamento 2016/679.

En ese sentido el Considerando 40 del RGPD señala:

“(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el
consentimiento del interesado o sobre alguna otra base legítima establecida conforme
a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión
o de los Estados miembros a que se refiera el presente Reglamento, incluida la
necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la
necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de
tomar medidas a instancia del interesado con anterioridad a la conclusión de un
contrato.”

IV

Sanción de multa. Determinación del importe.

La determinación de la sanción que procede imponer en el presente caso exige

observar las previsiones de los artículos 83.1 y 2 del RGPD, preceptos que,
respectivamente, disponen lo siguiente:
“1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.”
“2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para pa-
liar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habi-

da cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los
artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es
 14/18

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certi-

ficación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirecta-
mente, a través de la infracción.”

Dentro de este apartado, la LOPDGDD contempla en su artículo 76, titulado “Sancio-

nes y medidas correctivas”:

“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión

de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la

infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a

mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de

las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento
(UE) 2016/679.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 15/18

Digi solicita que se aprecien las siguientes circunstancias atenuantes:

(I) “la inexistencia de infracciones previas” (art. 83.2 e) RGPD).

(II) “En ningún momento se han tratado categorías especiales de datos” (art. 83.2 g).
(III) “la cooperación con la autoridad de control al haber contestado al traslado de la
reclamación y haber facilitado la información solicitada”, artículo 83.2 f) del RGPD.
(IV) “La inexistencia de beneficios obtenidos a través de la infracción”, artículo 83.2 k)
del RGPD y 76.2 c) de la LOPDGDD.

No se admite ninguna de las atenuantes invocadas.

Respecto a la (I) y (II), cabe señalar que tales circunstancias solo pueden operar como
agravantes y en ningún caso como atenuantes.

El pronunciamiento que hace la Audiencia Nacional en su SAN de 5 de mayo de 2021

(Rec. 1437/2020) sobre el apartado e) del artículo 83.2. del RGPD, la comisión de
infracciones anteriores:

“Considera, por otro lado, que debe apreciarse como atenuante la no comisión
de una infracción anterior. Pues bien, el artículo 83.2 del RGPD establece que
debe tenerse en cuenta para la imposición de la multa administrativa, entre
otras, la circunstancia "e) toda infracción anterior cometida por el responsable o
el encargado del tratamiento". Se trata de una circunstancia agravante, el hecho
de que no concurra el presupuesto para su aplicación conlleva que no pueda ser
tomada en consideración, pero no implica ni permite, como pretende la actora,
su aplicación como atenuante”;

(III)El artículo 83.2.f) del RGPD se refiere al “grado de cooperación con la autoridad de
control con el fin de poner remedio a la infracción y mitigar los posibles efectos
adversos de la infracción;”. La respuesta de la reclamada al requerimiento informativo
de la Subdirección de Inspección no cumplía esas finalidades, por lo que no es
encuadrable en esa atenuante.

(IV) Sobre la aplicación del artículo 76.2.c) de la LOPDGDD, en conexión con el

artículo 83.2.k), inexistencia de beneficios obtenidos, cabe señalar que tal
circunstancia solo puede operar como agravante y en ningún caso como atenuante.

El artículo 83.2.k) del RGPD se refiere a “cualquier otro factor agravante o atenuante
aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las
pérdidas evitadas, directa o indirectamente, a través de la infracción.” Y el artículo
76.2c) de la LOPDGDD dice que “2. De acuerdo a lo previsto en el artículo 83.2.k) del
Reglamento (UE) 2016/679 también podrán tenerse en cuenta: [..] c) Los beneficios
obtenidos como consecuencia de la comisión de la infracción.” Ambas disposiciones
mencionan como factor que puede tenerse en cuenta en la graduación de la sanción
los “beneficios” obtenidos, pero no la “ausencia” de éstos, que es lo que DIGI alega.

Además, conforme al artículo 83.1 del RGPD la imposición de las sanciones de multa
está presidida por los siguientes principios: deberán estar individualizadas para cada
caso particular, ser efectivas, proporcionadas y disuasorias. La admisión de que opere
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 16/18

como una atenuante la ausencia de beneficios es contraria al espíritu del artículo 83.1
del RGPD y a los principios por los que se rige la determinación del importe de la
sanción de multa. Si a raíz de la comisión de una infracción del RGPD se califica como
atenuante que no han existido beneficios, se anula en parte la finalidad disuasoria que
se cumple a través de la sanción. Aceptar la tesis de DIGI en un supuesto como el que
nos ocupa supondría introducir una rebaja artificial en la sanción que verdaderamente
procede imponerse; la que resulta de considerar las circunstancias del artículo 83.2
RGPD que sí deben de ser valoradas.

La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha advertido que, el

hecho de que en un supuesto concreto no estén presentes todos los elementos que
integran una circunstancia modificativa de la responsabilidad que, por su naturaleza,
tiene carácter agravante, no puede llevar a concluir que tal circunstancia es aplicable
en calidad de atenuante. El pronunciamiento que hace la Audiencia Nacional en su
SAN de 5 de mayo de 2021 (Rec. 1437/2020) -por más que esa resolución verse
sobre la circunstancia del apartado e) del artículo 83.2. del RGPD, la comisión de
infracciones anteriores- es extrapolable a la cuestión planteada, la pretensión de la
reclamada de que se acepte como atenuante la “ausencia” de beneficios siendo así
que tanto el RGPD como la LOPDGDD se refieren solo a “los beneficios obtenidos”:

“Considera, por otro lado, que debe apreciarse como atenuante la no comisión
de una infracción anterior. Pues bien, el artículo 83.2 del RGPD establece que
debe tenerse en cuenta para la imposición de la multa administrativa, entre
otras, la circunstancia "e) toda infracción anterior cometida por el responsable o
el encargado del tratamiento". Se trata de una circunstancia agravante, el hecho
de que no concurra el presupuesto para su aplicación conlleva que no pueda ser
tomada en consideración, pero no implica ni permite, como pretende la actora,
su aplicación como atenuante”;
De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a
imponer a la entidad reclamada como responsable de una infracción tipificada en el
artículo 83.5.a) del RGPD y 72.1 b) de la LOPDGDD, se estiman concurrentes en el
presente caso los siguientes factores:

En calidad de agravantes:

- La evidente vinculación entre la actividad empresarial de la reclamada y el

tratamiento de datos personales de clientes o de terceros (artículo 83.2.k, del
RGPD en relación con el artículo 76.2.b, de la LOPDGDD).
La Sentencia de la Audiencia Nacional de 17/10/2007 (rec. 63/2006), en la que,
respecto de entidades cuya actividad lleva aparejado en continuo tratamiento de
datos de clientes, indica que “…el Tribunal Supremo viene entendiendo que
existe imprudencia siempre que se desatiende un deber legal de cuidado, es
decir, cuando el infractor no se comporta con la diligencia exigible. Y en la
valoración del grado de diligencia ha de ponderarse especialmente la
profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora
examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito
cuidado por ajustarse a las prevenciones legales al respecto.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 17/18

En calidad de atenuantes:

Procedió la parte reclamada a solventar la incidencia objeto de reclamación de forma

efectiva (art. 83.2 c).

El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con

respecto a la infracción cometida al vulnerar lo establecido en su artículo 6.1 del
RGPD permite fijar una sanción de 70.000 euros (setenta mil euros).

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a DIGI SPAIN TELECOM, S.L., con NIF B84919760, por una
infracción del Artículo 6.1 del RGPD, tipificada en el Artículo 83.5 del RGPD, una multa
de 70.000 euros (setenta mil euros).

SEGUNDO: NOTIFICAR la presente resolución a DIGI SPAIN TELECOM, S.L.

TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000, abierta a nombre de la
Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A..
En caso contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es
 18/18

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 – Madrid sedeagpd.gob.es