A Ventura fined €20M for GDPR infringement

1/7  Expediente N.º: EXP202501418 RESOLUCIÓN DE PROCEDIMIENT O SANCIONADOR Del procedimiento instruido por la Ag encia Española de Protección de Datos y en base a los siguientes ANTECEDENTES PRIMERO: Con fecha 8 de julio de 2024, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimi ento sa ncionador del expediente número EXP202212569, seguido contra A VENTURA EN TRAMPOLINES S.L. (en adelante, A VENTURA). En dicha resolución, además de sancionar con la imposición de multa, se requería la adopción de las siguientes medidas: “SEGUNDO: ORDENAR a A VENTURA EN TRAMPOLINES, S.L., con NIF B93528966, que en el plazo de un mes acredite ante esta Agencia que ha adecuado el formulario “Acuerdo de usuario. Consentimiento informado y asunción de riesgo” a la normativa de protección de datos de carácter personal a fin de que el consentimiento otorgado por los usuarios cumpla con los presupuestos establecidos en la misma.” SEGUNDO: La notificación de la resolución del procedimiento sancionador, en la que se concedía a A VENTURA el plazo de un mes para la adopción de las medidas ordenadas, se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Admini straciones Públicas (en adelante, LP ACAP) a través de medio s electrónicos, no siendo recogi da por el responsable dentro del plazo de puesta a disposición, como consta en el acuse de recibo que obra en el expediente, y ent endiéndose por tanto rechazada y efectuado el trámite conforme a lo previsto en los art. 43.2 y 41.5 de la LP ACAP en fecha19 de julio de 2024. TERCERO: T ras el transcurso del plazo indicado sin que en esta Agencia se hubiera recibido esc rito al guno sobre las medidas implementadas, se procedió a requerir nuevamente a A VENTURA en dos ocasiones para que, en el plazo de diez días hábiles, acreditara ante esta Agencia haber adoptado las medidas correctoras oportunas, en atención a lo acordado en la citada Resolución. Las not ificaciones correspondientes a ambos requerimientos f ueron recogidas por A VENTURA con fechas 8 de octubre y 19 de noviembre de 2024, com o consta en los acuses de recibo que obran en el expediente. CUAR T O: A VENTURA no ha remitido respuesta alguna a esta Ag encia que acredite el cumplimiento de las medidas impuestas. QUINT O: Contra la citada resolución no cabe ningún recurso ordinario en vía administrativa por el transcurso de los plazos establecidos para ello. Asimismo, el C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

2/7 interesado no ha manifest ado su intención de interponer recurso contencioso- administrativo, ni esta Agencia tiene constancia de que el mismo se haya interpuesto y se haya solicitado suspensión cautelar de la resolución. SEXT O: Con fecha 6 de marzo de 2025, la Presidencia de la Agencia Española de Protección de Datos acordó iniciar p rocedimiento sancionador a A V ENTURA, por la presunta infracción del Artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), tipificada en el Artículo 83.6 del RGPD. SÉPTIMO: El acuerdo de inicio del presente procedimiento sancionador fue notificado a A VENTURA con fecha 14 de marzo de 2025, como consta en el acuse de recibo que obra en el expediente. OCT A VO: Notificado el citado acuerdo de inicio conforme a las normas est ablecidas en la LP ACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por parte de A VENTURA. El artículo 64.2.f) de la LP ACAP -disposición de la que se informó a A VENTURA en el acuerdo de apertura del procedimiento- establece que si no se ef ectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciami ento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a A VENTURA y la sanción que podría imponerse. Por ello, t omando en consideración que A VENTURA no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LP ACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución. NOVENO: De acuerdo con el informe recogido de la herramienta AXESOR, la ent idad A VENTURA es una microempresa constituida en el año 2017 de la que no se dispone de información de su cuenta de resultados. A la vista de todo lo act uado, por parte de la Agencia Española de Protección de Datos, en el presente procedimiento, se consideran hechos probados los siguientes, HECHOS PROBADOS PRIMERO: La resolución del procedimiento sancionador y los requerimientos para su cumplimiento indicados en los ant ecedentes primero, segundo y t ercero fueron notificados con arreglo a lo dispuesto en la LP ACAP. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos en ella indicados. SEGUNDO: A VENTURA no ha remitido respuesta alguna a esta A gencia que acredite el cumplimiento de las medidas impuestas. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

3/7 FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autor idad de control y según lo establecido en los artículos 47, 48. 1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competent e para iniciar y resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LO PDGDD det ermina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos". II Obligación incumplida A tenor de los hechos expuestos, se considera que A VENTURA ha incumplido la resolución de la Agencia Española de Protección de Datos. Por tanto, los hechos descritos en el apartado de “Hechos probados” se estiman constitutivos de una infracción, imputable a A VENTURA, por vulne ración del artículo 58.2.d) del RGPD, que dispone lo siguiente: “2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivo s indicados a continuación: (…) d) ordenar al r esponsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;” III T ipificación y calificación de la infracción Esta infracción se tipifica en el artículo 83.6 del RGPD, que estipula lo siguiente: “El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apart ado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantí a.” A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta: C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

4/7 “m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679.” IV Sanción A fin de determinar la multa administrativa a imponer se han de observar las previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan: “1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las m ultas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposici ón de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el núme ro de interesados afectados y el nivel de los daños y perjui cios que hayan sufrido; b) la intencionalidad o negligencia en la infracción; c) cualquier medida t omada por el responsa ble o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32; e) toda infracción anterior cometida por el responsable o el encargado del tratamiento; f) el grado de cooperación con la autoridad de control con el f in de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado not ificó la infracción y, en tal caso, en qué medida; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se t rate en relación con el mismo asunto, el cumplimiento de dichas medidas; C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

5/7 j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obt enidos o l as pérdidas evitadas, d irecta o indirectamente, a través de la infracción”. Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD dispone: “1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuent a los criterios de graduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción. b) La vinculación de la actividad del infr actor con la realización de tratamientos de datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado”. Asimismo, para garantizar una aplicación coherente del RGPD, se han de tomar en consideración las Directrices 04/2022 formuladas por el Comité Europeo de Protección de Datos sobre el cálculo de multas bajo el RGPD. En este caso, considerando la gravedad de la infracción, atendiendo especialmente a las consecuencias que su comisión provoca en los afectados, corr esponde la imposición de multa, además de la adopción de medidas. La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

6/7 En at ención a las circunstancias expuestas, por la vulneración del artículo 58.2 del RGPD tipificada en el artículo 83.6 del RGPD corresponde imponer a A VENTURA una sanción de multa administrativa por un importe de 900,00 euros. V Medidas correctivas Esta Agencia acuerda imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá “ ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…”. Se advierte que no at ender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador. Por lo tanto, de acuerdo con la legislaci ón aplicable, la Presidencia de la Agencia Española de Protección de Datos RESUEL V E: PRIMERO: IMPONER a A V ENTURA EN TRAMPOLINES S.L., con NIF B93528966, por una infracción del artículo 58.2 del RGPD, tipificada en el artículo 83.6 del RGPD, una multa de 900,00 euros (NOVECIENTOS euros). SEGUNDO: ORDENAR a A VENTURA EN TRAMPOLINES S. L., con NIF B93528966, que en virtud del artículo 58.2.d) del RGPD, en el plazo de un mes desde que la presente r esolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las medidas impuestas en el marco del expediente número EXP202212569. TERCERO: NOTIFICAR la presente resolución a A VENTURA E N TRAMPOLINES S.L. CUAR T O: Esta resolución será eje cutiva una vez f inalice el plazo para interponer el recurso potestativo de reposición (un mes a contar desde el día siguiente a la notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad. Se advierte al sancionado que deberá hacer ef ectiva la sanción impuesta una vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la LP ACAP, en el plazo de pago voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, med iante su ingreso, indicando el NIF del sancionado y el número de procedimiento que figura en el encabezamiento de este documento, en la cuenta r estringida n.º IBAN: ES00-0000- 0000-0000-0000-0000 (BIC/Código SWIFT: CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S. A.. En caso contrario, se procederá a su recaudación en período ejecutivo. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es

7/7 Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuen tra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el d ía 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el artí culo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra est a resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establ ecido en el artículo 123 de la LP A CAP, los interesados podrán interponer, potestativamente, recurso de reposici ón ant e la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenci oso-administrativa, en el plazo de dos meses a cont ar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LP ACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Ag encia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica- web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de oct ubre. T ambié n deberá trasladar a la Agencia la documentación q ue acredite la interposi ción efectiva del recurso contencioso- administrativo. Si la Agencia no tuviese conocimi ento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el dí a siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. 938-100325 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeagpd.gob.es