Vodafone Spain €200k GDPR Fine Appeal Dismissed

1/10

 Expediente nº.: EXP202308705

RESOLUCIÓN DE RECURSO DE REPOSICIÓN Examinado el recurso de reposición interpuesto por VODAFONE ESPAÑA, S.A.U. (en lo sucesivo, la parte recurrente) contra la resolución dictada por la Presidencia de la Agencia Española de Protección de Datos de fecha 10 de enero de 2026, y en base a los siguientes: HECHOS PRIMERO: Con fecha 10 de enero de 2026, se dictó resolución por la Presidencia de la Agencia Española de Protección de Datos en el expediente EXP202308705, en virtud de la cual se imponía a VODAFONE ESPAÑA, S.A.U., por una infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa por un importe de 200.000 euros (doscientos mil euros). Dicha resolución, que fue notificada a la parte recurrente en fecha 20 de enero de 2026, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y supletoriamente en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP), en materia de tramitación de procedimientos sancionadores. SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00551/2024, quedó constancia de los siguientes: "PRIMERO. - Queda acreditado que el día 9 de febrero de 2023, se tramitó por parte de Vodafone un duplicado de la tarjeta SIM sobre la línea***TELÉFONO.1 perteneciente a la parte reclamante. Dicho hecho ha sido puesto de manifiesto por la parte reclamante y afirmado por Vodafone durante el traslado y actuaciones de investigación efectuadas por la presente autoridad. SEGUNDO. - De las capturas de pantalla que adjunta Vodafone junto a sus alegaciones de fecha 4 de marzo de 2025, ha quedado acreditado que el mencionado duplicado de tarjeta fue realizado en los siguientes términos:

1. Se solicita una modificación del correo electrónico de la parte reclamante a
   través del Servicio de Atención al Cliente de Vodafone por el tercero con fecha 8 de febrero de 2023, previo paso de la Política de Seguridad de Vodafone a las 14:57, 15:16 y 15:39 horas.

2. El tercero solicita un duplicado SIM a través de la app Mi Lowi App el mismo
   día 8 de febrero de 2023 a las 15:54 horas, después de que el tercero hubiera realizado una modificación del correo electrónico

2/10

1. El duplicado SIM se entrega por los servicios de Correos Express el día 9 de
   febrero de 2023 a las 11:51 horas. Dicha entrega se produjo previo suministro, por parte del tercero, de los datos personales identificativos correspondientes al reclamante TERCERO. - Ha quedado acreditado que la política de seguridad de Vodafone respecto a la solicitud de modificación del correo electrónico a distancia (a través de llamada), es la siguiente: En el apartado "Modificación de Email" de la Política de Seguridad aportada por Vodafone como documento número 3 a las alegaciones presentadas el 31 de julio de 2023, se establece la siguiente advertencia: "Verificar que llama desde un teléfono que tenga contratado, activo, e incluido en su ficha de cliente. Si llama desde otro teléfono, aunque sea el de contacto, realizaremos una llamada saliente, y sólo realizaremos la gestión, si en esa llamada somos atendidos por el titular y es conocedor de que vamos a realizar la modificación". CUARTO. - De las actuaciones de investigación efectuadas, consta acreditado que la política de seguridad de Vodafone vigente desde el año 2022, establecía que las solicitudes deben realizarse desde una línea vinculada al contrato del cliente o, en su defecto, se debe realizar una llamada de verificación al número registrado, siendo en el presente caso el número llamante de otra compañía, no contratado con Vodafone ni tampoco incluido en la ficha del reclamante, y tampoco se realizó la llamada de verificación por parte de Vodafone." TERCERO: La parte recurrente ha presentado en fecha 20 de febrero de 2026, en esta Agencia Española de Protección de Datos, recurso de reposición, en el que muestra su disconformidad con la resolución, reiterando los argumentos expuestos en sus alegaciones vertidas durante la tramitación del procedimiento sancionador, fundamentándolo básicamente en los siguientes motivos:

2. Vodafone ha actuado de forma diligente en la medida en la que tiene
   implementados los procesos necesarios para identificar correctamente a sus clientes, siendo la adopción de medidas técnicas y organizativas una obligación que no es absoluta.

3. Estamos ante un tercero cuyo propósito es, mediante una actividad delictiva,
   superar dichas medidas de seguridad.

4. La realización de un duplicado SIM no conlleva el acceso a información bancaria,
   contraseñas, dirección de correo electrónico, etc., de los clientes de Vodafone, sino a los servicios de móvil e internet que pudieran tener contratados.

5. No puede apreciarse la existencia de culpabilidad en las infracciones imputadas a
   Vodafone y, en consecuencia, no puede imponerse a la misma sanción alguna.

3/10

1. Subsidiariamente, y para el caso de que la Agencia entienda que ha existido infracción y deba imponerse una sanción a Vodafone, esta parte no está de acuerdo con las circunstancias agravantes mencionadas por la Agencia y deberían valorarse las circunstancias atenuantes mencionadas por Vodafone. FUNDAMENTOS DE DERECHO I Competencia Es competente para resolver el presente recurso la Presidencia de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP) y el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). II Contestación a las alegaciones presentadas En relación con las manifestaciones efectuadas por la parte recurrente, reiterándose básicamente en las alegaciones ya presentadas a lo largo del procedimiento sancionador, debe señalarse que todas ellas ya fueron analizadas y desestimadas en los Fundamentos de Derecho III, IV, V y VI de la Resolución recurrida, a los que nos remitimos y de las que destacamos los siguientes apartados: En primer lugar, y sobre que la adopción de medidas técnicas y organizativas no es una obligación absoluta, debe indicarse que es cierto que no se exige una obligación de resultado, sino de medios, pero para evaluar la aplicación de dichos medios e implementación de medidas y su consideración como "adecuadas" es inevitable analizar los métodos utilizados por el tercero para acceder ilícitamente al proceso de duplicado, las salvaguardas implementadas por Vodafone e inevitablemente, el resultado. Esos tres elementos son los que van a determinar la adecuación al riesgo y no como pretende centrar el debate, Vodafone sobre si es infalible o no su sistema. El enfoque de riesgos y el modelo flexible al riesgo impuesto por el RGPD -partiendo de la doble configuración de la seguridad como un principio relativo al tratamiento y una obligación para el responsable o el encargado del tratamiento- no impone en ningún caso la infalibilidad de las medidas, sino su adecuación constante a un riesgo, que, como en el supuesto examinado es cierto, probable y no desdeñable, alto y con un impacto muy significativo en los derechos y libertades de los ciudadanos. En resumen, esta alegación no puede prosperar, porque ha quedado constatado que la actuación susceptible de ser considerada fraudulenta deviene de la no adopción de medidas adecuadas para garantizar que la persona que solicita modifica los datos correspondientes a un cliente sea, efectivamente, dicho cliente. En segundo lugar, Vodafone señala que estamos ante un tercero cuyo propósito es, mediante una actividad delictiva, superar dichas medidas de seguridad.

4/10

Para ello, hace referencia Vodafone, para su descargo, al conjunto de medidas de seguridad que ha adoptado, las cuales son las mínimas exigibles a cualquier organización con las características y en el contexto en el que actúa una operadora de telecomunicaciones. No obstante, ha quedado en evidencia que dichas medidas de seguridad no han sido las adecuadas para garantizar que un tercero ajeno tuviera acceso a datos personales de la parte reclamante. Máxime como, en este caso concreto, y antes de la modificación de datos a través de la app MiLowi, un tercero ajeno al reclamante ha modificado hasta en tres ocasiones el correo electrónico asociado a la cuenta del reclamante. Y que en esas tres ocasiones proporcionó, en cada una de ellas, una dirección de correo electrónico diferente. En este sentido, Vodafone hace mención en su descargo a la actuación de los delincuentes. La falta de medidas de seguridad es un hecho objetivo; tal incumplimiento resulta ajeno, además, a la actuación de los terceros a quienes Vodafone ha cedido los datos, en el sentido de que la actividad delictiva llevada a cabo por estos últimos no influye en la comisión de la infracción. Más bien al contrario, la falta de medidas de seguridad adecuadas es lo que posibilita la actividad delictiva. La intervención fraudulenta de un tercero, lo que ha revelado es el deficiente análisis de los riesgos, así como la insuficiente implantación, revisión y control de las medidas de seguridad por parte de la operadora. Tercero ajeno al titular de los datos ha superado las medidas de seguridad establecidas por Vodafone. Esto nos muestra que la identificación del titular de los datos no se producía con las suficientes garantías. En suma, una falta de medidas de seguridad apropiadas y un incumplimiento de las obligaciones derivadas de la responsabilidad proactiva, máxime cuando los "errores" persisten en el tiempo y ponen de manifiesto reiterados cambios en los datos asociados al reclamante, en cortos periodos de tiempo, y aportando en cada uno de estos cambios, un dato diferente. Al respecto hay que señalar que precisamente evitar que nos encontremos ante el fraude de un tercero hace que sea necesario asegurarse que la persona a la que se expide el duplicado de la tarjeta SIM es quien realmente dice ser y deben adoptarse las medidas necesarias de prevención adecuadas para verificar la identidad de una persona cuyos datos van a ser objeto de tratamiento tal y como se reconoce en el Fundamento Jurídico Séptimo de la SAN, SCA, de 5 de mayo de 2021 ("Por otro lado, en cuanto al hecho de que nos encontramos ante el fraude de un tercero, como dijimos en la SAN de 3 de octubre de 2013 (Rec. 54/2012) -: " Precisamente por eso, es necesario asegurarse que la persona que contrata es quien realmente dice ser y deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento..."). (…) Sin embargo, ha quedado probado que la política de seguridad de Vodafone ha resultado insuficiente para la adecuada protección de los derechos fundamentales de la parte reclamante cuya tarjeta SIM ha sido fraudulentamente duplicada.

5/10

Vodafone señala que la realización de un duplicado SIM no conlleva el acceso a información bancaria, contraseñas, dirección de correo electrónico, etc., de los clientes de la parte reclamada, sino a los servicios de móvil e internet que pudieran tener contratados. La parte reclamada manifiesta que la emisión de los duplicados de la tarjeta SIM no es suficiente para realizar operaciones bancarias en nombre de los titulares, ciertamente, para completar la estafa, es necesario que un tercero "suplante la identidad" del titular de los datos ante la entidad financiera. Obvia la reclamada que dichas actuaciones serían posteriores a un tratamiento de datos personales atribuible en este caso a la reclamada sin base de legitimación. Por dicha razón, este es un proceso en donde la diligencia prestada por las operadoras es fundamental para garantizar que el tratamiento de datos personales se realiza en cumplimiento de lo establecido en la normativa de protección de datos y, más en concreto, contando con una base de licitud del tratamiento, tal y como propugna el art. 6 del RGPD. Diligencia que se traduce en el establecimiento de medidas adecuadas para garantizar que el tratamiento de datos sea conforme al RGPD. (…) En suma, tanto los datos que se tratan para emitir un duplicado de tarjeta SIM como la tarjeta SIM (Subscriber Identity Module) que identifica de forma inequívoca y unívoca al abonado en la red, son datos de carácter personal, debiendo su tratamiento estar sujeto a la normativa de protección de datos. Es cierto que el sistema de verificación de las entidades bancarias responde a la voluntad de estas y no de Vodafone. No obstante, también es cierto, que si Vodafone asegurase el procedimiento de identificación y entrega, ni siquiera podría activarse el sistema de verificación de las entidades bancarias. La persona estafadora tras conseguir la activación de la nueva SIM, toma el control de la línea telefónica, pudiendo así, a continuación, realizar operaciones bancarias fraudulentas accediendo a los SMS que las entidades bancarias envían a sus clientes como confirmación de las operaciones que ejecutan. En definitiva, desde el momento que se entrega un duplicado a una persona distinta al titular de la línea o persona autorizada, el cliente pierde el control de la línea y los riesgos, daños y perjuicios, se multiplican. Además, los hechos acontecen con una inmediatez abrumadora. Vodafone insiste respecto del grado de responsabilidad que, en su caso, pueda achacárseles, no puede hacerse depender de una actuación de un tercero que escapa su control, esto es: las medidas de seguridad implementadas por una u otra entidad bancaria o incluso el hecho de que el afectado disponga o no de banca electrónica. En relación con esta alegación, amén de lo ya indicado anteriormente, el grado de responsabilidad cae dentro de su ámbito y no de terceros, debiendo señalar que la SAN -Sala Contencioso Administrativo- de 5 de mayo de 2021, establece que: "Por otro lado, en cuanto al hecho de que nos encontramos ante el fraude de un tercero, como dijimos en la SAN de 3 de octubre de 2013 (Rec. 54/2012)-: " Precisamente por eso, es necesario asegurarse que la persona que contrata es quien realmente dice ser

6/10

y deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento". SEGUNDA. - No puede apreciarse la existencia de culpabilidad en las infracciones imputadas a la parte reclamada y, en consecuencia, no puede imponerse a la misma sanción alguna. (…) En el supuesto que nos atañe Vodafone no ha cumplido con sus propias medidas, dado que la parte reclamada facilitó y modificó los datos personales de la parte reclamante sin su consentimiento ni amparo en otra base jurídica válida. Tanto el cambio del correo electrónico asociado a la cuenta del reclamante efectuado en las llamadas efectuadas por el tercero ajeno al reclamante , habrían llevado a cabo sin una verificación adecuada de su identidad, sin garantizar que la llamada se efectuaba con a través de la línea del cliente que solicitaba el cambio, permitiendo cambios sucesivos en la dirección de correo electrónico asociado al reclamante y advirtiendo de la situación sólo tras comunicación expresa del cliente afectado, hoy reclamante ante la AEPD; y por lo tanto resulta notoria la existencia de antijuridicidad y culpabilidad en la conducta infractora de la entidad responsable del tratamiento de los datos personales, Vodafone, quien como responsable del tratamiento de datos de emisión de duplicados de tarjetas SIM, decide sobre la finalidad, contenido y uso de los datos personales incluidos en el tratamiento, tiene la obligación de obrar con mayor diligencia a la hora de tramitar la emisión de duplicados, asegurándose de contar con el consentimiento de su verdadero titular, a fin de no incurrir en el tratamiento no consentido de sus datos personales. Dicha condición impone un deber especial de diligencia a la hora de llevar a cabo el tratamiento de los datos personales, en lo que atañe al cumplimiento de los deberes que la legislación sobre protección de datos establece para garantizar los derechos fundamentales y las libertades públicas de las personas físicas, y especialmente su honor e intimidad personal y familiar, cuya intensidad se encuentra potenciada por la relevancia de los bienes jurídicos protegidos por aquellas normas y la profesionalidad de los responsables o encargados, máxime cuando operan con ánimo de lucro en el mercado de datos; en este sentido se ha pronunciado también la SAN 392/2015, de 17 de noviembre (Ver su Fundamento de Derecho Tercero). Al respecto, resulta significativo que la operadora responsable del tratamiento no justifique debidamente la concurrencia en su conducta de la diligencia que le era exigible ni acredite la adopción de las cautelas exigibles para evitar el tratamiento no consentido del dato de carácter personal que nos ocupa (la emisión de duplicado de tarjeta SIM de forma fraudulenta), que debe atribuirse a la conducta negligente de Vodafone, utilizándose por un tercero los datos personales del reclamante pasando las medidas de seguridad para realizar el duplicado de la tarjeta SIM. En cuanto a la responsabilidad de Vodafone, debe indicarse que, con carácter general Vodafone trata los datos de sus clientes al amparo de lo previsto en el artículo 6.1 b) del RGPD, por considerarse un tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. En otros casos, fundamenta la licitud del tratamiento en las bases previstas en el artículo 6.1.a), c), e) y f) del RGPD.

7/10

Por dicha razón, este es un proceso en donde la diligencia prestada por la operadora es fundamental para garantizar que el tratamiento de datos que realiza se efectúe con pleno cumplimiento de la normativa de protección de datos y, más en concreto, con el principio de licitud del tratamiento establecido en el art. 6 RGPD. (…) TERCERA. - Subsidiariamente, y para el caso de que la Agencia entendiera que la parte reclamada ha infringido el artículo 6.1 del RGPD, no puede apreciarse la existencia de culpabilidad en las infracciones imputadas a la parte reclamada y, en consecuencia, no puede imponerse a la misma sanción alguna. Asimismo, solicita Vodafone con carácter subsidiario que esta Agencia acuerde el archivo del procedimiento por inexistencia de culpabilidad. Por consiguiente, se desestima la falta de culpabilidad. La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. En consecuencia, atendiendo a las circunstancias del presente caso, en el que la infracción objeto del procedimiento sancionador cuya resolución se recurre afecta a un principio básico del derecho a la protección de datos personales, por cuanto sustenta la legalidad del tratamiento de datos, y que su violación entraña un riesgo importante para los derechos de los interesados, así como al resto de circunstancias del artículo 83.2 del RGPD mencionadas en la resolución, no se aprecia que la imposición de una multa de 200.000 euros pueda ser considerada como carente de proporcionalidad. Por último, en cuanto a la posibilidad de utilizar otras figuras, como el apercibimiento, se señala que el considerando 148 del RGPD establece: "148. A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante (…)". Asimismo, la STJUE de 24 de septiembre de 2024, en el asunto C-768/2021, determina que: "37 A este respecto, ha de señalarse que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada, puesto que el artículo 58, apartado 2, del mismo confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el Tribunal de Justicia ya ha declarado que la elección del medio adecuado y necesario corresponde

8/10

a la autoridad de control, que debe realizar tal elección tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 112) 38 Sin embargo, este margen de apreciación está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas, como se desprende de los considerandos 7 y 10 del RGPD". En definitiva, la elección del poder correctivo a utilizar por una autoridad de control, de entre los previstos en el artículo 58 del RGPD es una potestad atribuida a esta, a quien corresponde la elección del medio más adecuado tomando en consideración las circunstancias del caso concreto. Asimismo, sin perjuicio de lo anterior, el considerando 148 del RGPD establece algunos supuestos en los que estima que, a decisión de la autoridad de control, podría caber la figura del apercibimiento. Las circunstancias del presente caso, ampliamente desarrolladas en la presente resolución del recurso de reposición interpuesto por Vodafone, hacen que, por parte de esta AEPD no se haya estimado pertinente la imposición de un apercibimiento. Por tanto, analizadas las alegaciones efectuadas en el presente recurso potestativo de reposición, se comprueba que no se han aportado en ellas nuevos argumentos jurídicos siendo prácticamente a las indicadas durante el trascurso del procedimiento, y por tanto no permiten reconsiderar el sentido de la resolución sancionadora dictada en fecha 10 de enero de 2026. III Conclusión En consecuencia, en el presente recurso de reposición, la parte recurrente no ha aportado hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada. IV Obligación de dictar resolución expresa De acuerdo con lo establecido en el artículo 24 de la LPACAP, el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio. No obstante, a pesar de que haya transcurrido el plazo legalmente establecido para resolver, la Administración mantiene la obligación de dictar resolución expresa y de notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, incluidos los recursos administrativos que se hayan podido interponer, según dispone el artículo 21.1 de la citada LPACAP.

9/10

En los casos de desestimación por silencio administrativo, la resolución expresa posterior al vencimiento del plazo se adoptará por la Administración sin vinculación alguna al sentido del silencio, según dispone el artículo 24.3 de la misma ley. Por tanto, aunque no se resuelva el recurso en plazo, procede emitir la resolución expresa que lo finalice. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR el recurso de reposición interpuesto por VODAFONE ESPAÑA, S.A.U. contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 10 de enero de 2026, en el expediente EXP202308705. SEGUNDO: NOTIFICAR la presente resolución a VODAFONE ESPAÑA, S.A.U.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea notificada la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si la fecha de la notificación se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito

10/10

dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos