Spanish DPA Resolution on Voluntary Payment

1/44  Expediente Nº: EXP202407023 RESOLUCIÓN DE TER MINACIÓN DEL PROCEDIMIENT O POR P AGO VOLUNT ARIO Del procedimiento instruido por la A gencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES PRIMERO: Con fecha 14 de marzo de 2025, la Presidencia de la Agenci a Española de Protección de Datos acordó iniciar procedimiento sancionador a **EMPRESA.1 (en adelante, *EMPRESA.1). Notificado el acuerdo de inicio y tras analizar las alegaciones presentadas, con fecha 12 de enero de 2026 se emitió la propuesta de resolución que a continuación se transcribe: << Expediente N.º: EXP202407023 PROPUEST A DE RESOLUCIÓN DE PROCEDIMIENT O SANCIONADOR Del procedimiento instruido por la A gencia Española de Protección de Datos y en base a los siguientes: ANTECEDENTES PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 28 de juni o de 2023 interpuso reclamaci ón ante la Agencia Española de Protección de Datos. La reclamación se dirige contra *EMPRESA.1 con NIF *NIF.1 (en adelante, *EMPRESA.1). Los motivos en que basa la reclamación son los siguientes: La parte recl amante manifiesta que ha r ecibido en su teléfono un contrato de la empresa * *EMPRESA.1 que opera en el sector eléctrico, para realizar un cambio de comercializador de electricidad. Afirma que dicho contrato contiene, además de sus datos personales los datos de su suministro elé ctrico. Sostiene asimismo que no ha formalizado ninguna r elación contractual con dicha compañía y exige conocer como obtuvieron dichos datos. Como documentación relevante aportada por la parte reclamante destaca: - Contrato de suministro (sin f irmar) con fecha 27 de junio de 2023, enviado por **EMPRESA.1 al reclamante, en el que constan los siguientes datos: - Datos de la empresa de suministro *EMPRESA.1. - Sello del agente autorizado **EMPRESA.3. - Datos del reclamante que figura como cliente (nombre, DNI, domicilio, teléfono, correo electrónico). - Datos del punto de suministro. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/44 - Código universal del punto de suministro (CUPS) de electricidad. - Firma de **EMPRESA.1 de fecha 27 de junio de 2023. - Orden de domiciliación a cargo del reclamante y a favor de *EMPRESA.1. - Datos bancarios del reclamante, incluido el número de cuenta. - Servicios de mantenimiento y asesoría comercial. - Solicitud de cambio de titularidad. - Formulario de desistimiento. SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a *EMPRESA.1, para que procediese a su análisis e informase a esta Agenci a en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedi miento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP), f ue recogido en fecha 31 de agosto de 2023 como consta en el acuse de recibo que obra en el expediente. Con fecha 29 de sept iembre de 2023 se recibe en esta Agencia escrito de respuesta de *EMPRESA.1, manifestando lo siguiente: 1.- Que el contrato aportado por la parte reclamante tiene el sello identificativo de *EMPRESA.3 (nomb re comercial de *EMPRESA.2.), agente de ventas de la parte reclamada, contrato que no fue remitido a *EMPRESA.1 para su validación y posterior activación, por lo que no se llegaron a tratar sus datos personales, comprobándose que en su base de datos no hay ningún cont rato ni servicio asociado a los datos personales de la parte reclamante. 2. Que realizó una revisión de sus registros telefónicos utilizando el número de teléfono proporcionado por el reclamante (TELÉFONO.1) y no en contraron llamadas realizadas por **EMPRESA.1. T ras anal izar la documentación aportada por el reclamante, se identificó que el contrato presentado contiene en la esquina superior derecha el sello de *EMPRESA.3, una empresa que actuaba como agente comercial para *EMPRESA.1 en la fecha de los hechos denunciados. 2.- Que **EMPRE SA.3 (EMPRESA.2) operaba como canal de ventas para *EMPRESA.1 bajo una relación mercantil de agencia, no como prestadora de servicios. Aclaran que esta empresa agente no remitió el contrato a *EMPRESA.1 para su validación y activación, lo que pudo deberse a que la contrat ación no se confirmó o no cumplió con los requisitos de calidad exigidos para su activación. 3. Informan además que el contrato de agencia con *EMPRESA.2. (empresa que opera bajo el nombr e comercial *EMPRESA.3) ya no está vigente. Rescindió el contrato de agenci a que mantenía con * *EMPRESA.3 (***EMPRESA.2) el 31 de julio de 2023 por, según señala, su incapacidad para poder cumplir con las m edidas y mejoras implementadas tras la aprobación de un protocolo para prevenir el fraude y mala praxis en la contratación efectuada por canales externos de televenta. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/44 4. Aclaran que **EMPRESA.3 realizaba su actividad comercial con sus propios medios y base de datos, siendo la empresa agente la responsable del trata miento de datos personales en el momento de efectuar la llamada. Para validar y activar una contratación, *EMPRESA.1 requiere que las empresas agentes remitan el contrato de suministro, el archivo de audio de la llamada de contratación y un certificado emitido por un tercero de confianza que confirme que la contratación fue validada por medios electrónicos (SMS). En el caso del reclamante, no se llegó a realizar este tratamiento ya que la empresa agente no remitió la contratación para su activación. 5. Finalmente, *EMPRESA.1 subraya que las empresas agentes solo deben remitir para validación y activación aquellas contrataciones correctamente realizadas y confirmadas, cumpliendo estr ictamente con la norm ativa de protección de datos. Si no se completa el proceso de contratación o no se cumplen los requisitos, la empresa agente no envía el contrato a *EMPRESA.1. TERCERO: Con fecha 28 de septiembre de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante. CUAR TO: La Subd irección General de Inspección de Datos procedió a la reali zación de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el ar tículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos: Con fecha 29 de enero de 2024, *EMPRESA.2, al requerimiento de esta Agenci a realiza las siguientes manifestaciones: - Con relación a la documentación que permita acreditar el origen de los dat os que figuran en el contrato aportado por el reclamante manifiestan lo siguiente: o Los datos obtenidos del reclamante han sido recogidos a través de un colaborador subcontratado por *EMPRE SA.2, empresa poseedora de la marca “*EMPRESA.3”. - Las relaciones entre las partes son las siguientes: o *EMPRESA.2, sociedad ajena a *EMPRESA.1, especializada en comercialización de servicios promociona los suministros comercializados por *EMPRESA.1, conforme figura en el contrato entre ambas partes. o *EMPRESA.2 subcontrató un colaborador externo B.B.B. para la televenta de los servicios relacionados con *EMPRESA.1. o Este Agente externo fue contratado para dar cobertura comercial a **EMPRESA.2. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/44 - El proceso de ejecución de la cont ratación del servicio de suministro que los clientes firman y de la obtención y tratamiento de datos personales de estos, es el siguiente: o El contrato de suministro anexado por el reclamante es cumplimentado en llamada telefónica por el Agente Externo; B.B.B., este incorpora directamente los datos del cliente, facilitados por él, en los sistemas de **EMPRESA.1, para que el Responsable mande el contrato del suministro al cliente y este proceda a su firma. - En el caso presente, el contrato no está firmado porque no se llegó a formalizar y el servicio no se activó. - La llamada al reclamante no obra en poder en *EMPRESA.2, tanto las llamadas como los contratos de su ministro se introducen en el sistem a de *EMPRESA.1 para tu tramitación. Al mes dejan de ser accesibles por *EMPRESA.2. - En relación con la grabación de la llamada, los representantes de *EMPRESA.2 manifiestan que al ser los datos recogidos por el agente externo, se le ha soli citado al mismo a través de correo electrónico la grabación de la llamada y se ha solicitado por Burofax a día 24 del que todavía no han obtenido respuesta. En la respuesta al requerimiento de esta autoridad, *EMPRESA.2 an exa el documento (Contrato de Agencia (T eleventa) entre *EMPRESA.2 y *EMPRESA.1) firmado 10 de agosto de 2021, aunque en la cabecera pone 14 julio de 2021. En el m encionado contrato se identifica a ** EMPRESA.2 como EL AGENTE y a ***EMPRESA.1 como LA EMPRESA. En el mismo se señala, entre otros aspectos: “ (…) la actividad principal de LA EMPRESA consiste en la comercialización de energía eléctrica y gas natural en el ámbito del libre mercado (…), así como la prestación de servicios energéticos o de mejora de la eficiencia energética, que desea establecer unos acuerdos con empresas para la comercialización de los productos y servicios ofrecidos por LA EMPRESA. (…) EL AGENTE es una compañía totalmente ajena a LA EMPRESA e independiente de esta última, que se dedica a la actividad de promoción de la comercialización de productos diversos y como consecuencia de ello ha adquirido una experiencia profesional en este sector a través de la modalidad de televenta. (…) EL AGENTE colaborará con la empresa para llevar a cabo su estrategia comercial, dar cobert ura comercial y realizar determinadas campañas. Con est os objetivos, EL AGENTE ha sido seleccionado para prestar los servicio s ant es indicados. (…) LA EMPRESA Y EL AGENTE desean formalizar su compromiso de colaboración, y lo hacen suscribiendo el presente CONTRA T O DE AGENCIA, que se sujeta a los términos y condiciones establecidos en las siguientes cláusulas”. En la clá usula primera se indica: “(…) EL AGENTE se obliga ante LA EMPRESA, a cambio de una remuneración, como intermediario independiente por cuenta de LA EMPRESA, a realizar y prestar los siguientes trabajos y servicios necesarios para la realización de campañas de venta t elefónica para la contratación de suministros C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/44 energéticos y servicios de valor añadido a potenciales clientes de LA EMPRESA: prospección comercial (…), presentación de ofertas a través de emisión de llamadas (…), capt ura de información (conseguir del cliente los dat os y document ación y/o archivos necesarios, según instrucciones de LA EMPRESA para la reali zación de la oferta por parte de LA EMPRESA y el posterior contrato (…), grabación de voz del proceso de contratación de conformidad con los argumentario proporcionados por LA EMPRESA (…), cierre de venta (…), validación telefónica y validación del consentimiento con medios electrónicos (S MS) (…), registro del contrato en la plataforma informática de LA EMPRESA (…)”. En la cláusula vigesimosegunda, Protección de datos de carácter personal, se anuncia: “Dado que la prestación del servicio objeto del present e contrato por parte de EL AGENTE implicará la recogida, el acceso y/o t ratamiento a los datos de carácter personal de los clientes de LA EMPRESA, EL AGENTE se compromete a asumir las responsabilidades que puedan corresponderle y actuar de conformidad con lo pr evisto en el RGPD y la LOPDGDD, especi almente en relación con los párrafos siguientes y en el ANEXO 7(…). (…) EL AGENTE debe cumpli r con las medidas de seguridad establecidas en el artículo 32. (…) para cumplir con la actividad de agencia objeto del presente Contrato, el AGENTE declara que es titular de un f ichero con datos de contacto de potenciales clientes en el mercado que ha sido obtenido de f orma lícita, estando legitimado par realizar el tratamiento de los datos en los términos de la prestación de servicios de captación de cliente que le ha sido encomendada por la empresa. Para ello, EL AGENTE deberá especificar en el Anexo 7 relativo a la protección de datos el orige n del cual ha obtenido dichos datos. El AGENTE actuará como encargado del tratamiento para le recogida y registro de los datos personales del interesado en suscribir un contrato de suministro de energía, siendo LA EMPRESA la responsable del tratamiento, quien manifiesta y garantiza que todo t ratamiento de datos de carácter personal se realizará cumpli endo con lo previsto en el RGPD y la LOPDGDD. Respecto a los datos de car ácter personal obtenidos como resultado de la ejecución de este contrato, EL AGENTE se obliga a utilizar o aplicar los datos de carácter personal obtenidos en ejecución del contr ato de acuerdo con las instrucciones impartid as por LA E MPRESA y únicamente con la finalidad de cumplimiento del objeto del presente contrato, asegurándose de que los datos objeto de tratamiento sean manejados únicamente por aquellos empleados cuya intervención sea precisa para la finalidad contractual. EL AGENTE dejará indemne a LA EMPRESA ante cualquier responsabilidad de carácter económico que para és t a pudiera derivarse de reclamación de t ercero por incumplimiento de al guna de sus obli gaciones referidas en la presente cláusul a, en el anexo 7 o en general (…) legislación aplicable (…). LA EMPRESA podrá efectuar, en cualquier momento y siempre que ello no suponga distorsiones graves en el desarrollo de la act ividad de EL AGENTE las auditorias de seguridad que considere oport unas, a fin de comprobar el cumplimiento, por part e de EL AGEN TE de las obligaciones y compromisos asumidos en el presente C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/44 documento (…)”. En este Anexo 7 se incluye: “ Objeto del encargo del tratamiento: (…) los datos de carácter personal necesarios para realizar la actividad de agencia en modalidad de t eleventa que se especifica en el presente contrato (promoción y distribuci ón comercial de las distintas modalidades de suministro de energía eléctrica y/o gas y otros productos accesorios ofertados por **EMPRESA.1, conforme a las instrucciones y programas de actuación (…). Identificación de la información afectada: (…) EL AGENTE realizará captación de clientes para *EMPRESA.1 y en ningún caso EL AGENTE los usará para f ines propios ni distintas a los especificados por *EMPRESA.1 o establecidos en los fines del cumpli miento de las obligaciones del presente contrat o. El tipo de datos del tratamiento son los consignados en l contrato de suministro o de que se trate de los ofertados por **EMPRESA.1, aunque el AGENTE únicamente t ratará los datos que sean estrictamente necesarios para cumpli r con las obligaciones del presente CONTRA T O. Duración: El present e acuerdo tiene la duración especificada en el presente contrato. Una vez finalice el presente contrato, el encargado debe devolver al r esponsable los datos personales y suprimir cualquier copia que mantenga en su poder. No obst ante, podrá mantener bloqueados los datos para atender posi bles responsabil idades administrativas o jurisdiccionales. (…) Obligaciones del encargado del tratamiento: El encargado del tratamiento se obliga a: - con carácter general, cu m plir con la normativa vigente en materia de protección de datos, concretamente el RGPD y normativa nacional vigente. - Utilizar los datos personales a los que tenga acceso sol o para la finalidad objeto de este encargo. En ningún caso podrá util izar los datos para fines propios. - T ratar las instrucciones de acuerdo con las instrucciones del responsable del tratamiento (…). - No comunicar datos a terceros (…) - Garantizar que las personas autorizadas para trat ar datos personales se comprometan de forma expresa y por escrito, a respetar la confidenciali dad y a cumplir las medidas de seguridad correspondientes (…). - Mantener a disposición del responsable la documentación acreditativa del cumplimiento (…). - Implementar las medidas de seguridad previstas en su propio documento de seguridad en relación a los datos personales que trate asegurándose de que únicamente tengan acceso a dichos datos aquellos empleados cuya finalidad sea precisa para la finalidad contractual. - Garantizar la formación necesaria (…) de las personas autorizadas. - Notificación de violaciones de seguridad de los dat os (…) al r esponsable del tratamiento. - Poner a disposición del responsable del tratamiento toda la documentación necesaria para demostrar el cumplimiento de sus obligaciones. - Auxiliar al responsable del tratamiento a implantar m edidas de seguridad C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/44 necesarias para: o Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. o Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. o V erificar, evaluar, y valorar, de f orma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. - Destino de los d atos: EL AGENTE, encargado de tratamiento, no conservará datos de carácter personal objeto de tratamiento del presente CONTRA T O salvo que sea estrictamente necesario para ejercer su actividad de agente en modalidad t eleventa y solo durante el t iempo estrictamente necesario para ejercer dicha actividad. (…) Obligaciones del responsable del tratamiento: i. V elar (…) por el cumplimiento del RGPD (…) por parte del encargado. ii. Supervisar el tratamiento. (…) Responsabilidad: EL AGENTE dejará indemne a EMPRESA.1 de cualquier responsabilidad de carácter económico que par este pudi era derivarse de la reclamación de un tercero (…). T ambién se comunica que “ A partir del momento en que el potencial clie nte acepte la finalidad comercial de la llamada, en caso de que el mismo otorgue su consentimiento a la contratación del producto de LA EMPRESA median te la suscripción del correspondiente contrato, EL AG ENTE actuará como Encargado del trata m iento para la recogida y registro de los da tos personales del interesado, sie ndo LA EMPRESA el Responsable del T ratamiento” y se prosig ue con la especificación del contr ato de encargo del tratamiento. Revisado el contrato p resentado por la parte reclamante, se evi dencia que la comercializadora entrante es la entidad * EMPRESA.1, siendo **EMPRESA.3 (EMPRESA.2) el agente autorizado de ventas. Este último t ambién actúa como proveedor de servicios de mantenimiento, tal como se especifica en el Anexo III. Servicio De Asesoría Comercial y Energética: “ Adicionalmente a los contratos de servicios de suministro y mantenimiento contratados por EL Cliente a *EMPR ESA.1, El Cliente contrata con * EMPRESA.2. con CIF *NIF.2 en adelan te “**EMPR ESA.3” alguno de los servicios descritos en la tabla anterior.” QUINT O: Con fecha 14 de marzo de 2025, la Agencia Española de Protección de Datos acordó iniciar p rocedimiento sancionad or a la parte reclamada, con arreglo a lo dispuesto en l os artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Admi nistraciones Públicas (en adelante, LP ACAP), por la presunta infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 del RGPD. QUINT O: Notificado el citado acuerdo de inicio conforme a las normas est ablecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

8/44 Administraciones Públicas (en adelante, LP ACAP), el 10 de abril de 2025 la parte reclamada pr esentó escrito de alegaciones en el que, en sí ntesis, manifestaba lo siguiente: 1. Alegación preliminar: **EMPRESA.1 realiza un relato de los hechos insistiendo en el objeto de la reclamación y en que el contrato entre la parte reclamante y *EMPRESA.1 nunca llegó a for malizarse. Además, insiste y acredita que la relación con *EMPRES A.2 llegó a su fin el 31 de julio de 2023. Unido a lo anterior, señala que, a raíz de la reclamación ha tenido conocimiento de que *EMPRESA.2 subcontrató a un tercero sin su autorización. 2. Del contrato de encargo ya revisado con anterioridad y aprobado por la AEPD: Señala *EMPRESA.1 que el objeto del procedimiento sancionador se desvía del contenido de la reclamación, centrada en la licitud de una actuación comercial. Sostiene, no obstante, que la AEPD “ ya tuvo ocasión de examinar anteriormente el contrato de agencia” en el *REFERENCIA.1 sin que por parte de la AEPD se indicara a *EMPRESA.1 la existencia de “ discrepancia, incidencia, omisión ni defecto alguno al respecto, procediendo incluso al archivo del procedimiento” y asegura que “EMPRESA.1 ha actuado en la con f ianza de que la AEPD consideraba suf iciente y válido dicho contrato de encargo”. 3. Del contrato de encargo y de la adopción de medidas correctivas: Asegura ***EMPRESA.1 que “EMPRESA.2 es responsable del tratamiento de los datos en la emisión de las llamadas y respecto a su base de datos propia, que recaba con la correspondien te base de licitud, con sus propios medios y fines; estando legitimado para tratarlos en los términos de activid ad de agente”. Y sostiene que solo pasa a tener la consideración de encargado desde el momento en que el potencial cliente se muestra interesado en aceptar la oferta de suministro de **EMPRESA.1, en los términos previstos en el contrato. Por otra parte, analiza las diferentes deficiencias imputadas en el acuerdo de inicio respecto a los elementos exigibles por el artículo 28.3 del RGPD y argumenta que estos sí se contenían en el contrato y que este debe interpretarse siempre “atendiendo al contexto”: - Sobre la finalidad del tratamiento: asegura que es permitir al encargado que realice la actividad de agencia en modalidad de televenta, pr omocionando y ejerciendo su actividad de distribución comercial de las modalidades de suministro de energía eléctrica y/o gas y así se prevé en la cláusula primera del contrato. - En cuanto a la naturaleza del tratamiento señala que, en “del contexto en que se sitúa el contrat o de encargo y de los anexos que acompañan al Contrato de Agencia, queda claro que la naturaleza de las operaciones de C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

9/44 tratamiento se refiere a la captación de los datos, la grabación de las llamadas, el registro y captación de los datos facilitados por el interesado y su comunicación a **EMPRESA.1 a través de la Plataforma, con los documentos que lo acompañan”. - En cuanto a los datos personales objeto del tratamiento y su tipología asegura que, tal y como se indica, son los “ los consignados en el contrato de suministro o de que se trate de los ofer tados por *EMPRESA.1, aunque el agente únicamente tratará los que sean estrictamente necesarios para cumpli r con las obligaciones del presente Contrato ”. Asimismo, se señala que en el apartado “V erificación de datos del contrato” se incluyen expresamente: nombre, apellidos, DNI, dirección postal, dirección de correo electrónico, dirección del punto de suministro, nº de CUPS… - El objeto del tratamiento es “ tratar por cuenta de *EMPRESA.1 (…) los datos de carácter personal necesarios para realizar la actividad de agencia en modalidad de televenta” - En cuanto a las medidas de seguridad y en relación con lo exigible en el artículo 28.3 del RGPD, sostiene que el propio contrato ya especifica las medidas necesarias para garantizar el artículo 32 del RGPD y que se hace referencia al documento de seguridad de la propia compañía, debiendo asistir al responsable en garantizar la pseudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad… Considera, por tant o, que “aun cuando fuera mejorable”, no supone un incumplimiento de lo previsto en el artículo 28.3 c) del RGPD. - Sostiene que sí existe una previsió n específica sobre la existencia de un subencargado, conf orme a lo previsto en el artículo 28. 3 d) del RGPD puesto que se hacía referencia a que “el AGENTE no podía transmitir, sin previo consentimiento por escrito de **EMPRESA.1 (“la EMPRESA” en dicho contrato) los derechos y obligaciones que para él se derivan del mismo”. - Respecto al artículo 28.3 f) del RGPD, asegura que, en el contrato, además de incluirse la frase relativa a “ pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones ”, también se hace referencia a la obligación de este de ayudar en la seguridad del tratamiento y la comunicación de posibles violaciones de seguridad de los dat os personales. Asegura, no obstan te que, “si bien es cierto que se incluye a modo genérico la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones; ello en ningún caso implica que el encargado del tratamiento no deba atender, ni que quede exento o deba evadirse de asistir al responsable en el cumplimiento del resto de sus obligaciones”. - Por último, respecto a los elementos del artí culo 28.3 h) del RGPD señala que estos se incluían en el contrato. En otro orden de cosas, informa de que, si bien no considera que el contrato en los términos analizados suponga una infracción del artículo 28.3 del RGPD ha procedido a actualizar su modelo de contrato de encargo del trata miento de agentes de televentas incluyéndose aquellas que expresamente la AEPD ha señalado como áreas de mejora. 4. Inexistencia de culpabilidad. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

10/44 Manifiesta **EMPRESA.1 que no se encuentra en este caso el principio de culpabilidad puesto que (i) no fue *EMPRESA.1 la que recabó los datos del reclamante, sino *EMPRESA.2 a través de un tercero no autorizado de cuya existencia *EMPRESA.1 no tenía conocimiento (ii) insiste en que el contrato “ya fue revisado” por esta Agencia y que este no era objeto de la reclamación (iii) asegura haber sido dili gente y haber colaborado con esta Agencia para el esclarecimiento de los hechos y (iv) considera que el contrato cumplía todos los el ementos previsto en el artículo 28.3 del RGPD, teniendo que ser entendido dentro de su “pr opio contexto ”. 5. Inexistencia de infracción. En est e apart ado reitera las alegaciones ef ectuadas en el apartado anterior para concluir que no existe infracción. 6. Desproporcionalidad de la sanción. Considera *EMPRESA.1 que la cuantía inicialmente fijada en el acuerdo de inicio resulta desproporcionada, a cuyos efectos hace referencia a lo previsto en el ar tículo 29 de la Ley 40/2015. Sostiene, en relación con las circunstancias valoradas en el acuerdo de inicio lo siguiente: - Respecto a las circunstancias del artículo 83.2 a) del RGPD, considera que, en la medida en que existen protocolos de act uación, avisos de información y privacidad, las obligaciones de cada una de las partes (responsable/ encargado) resultan claras, sin que pueda imputársele este aspecto. - En cuanto a las circunstancias del artículo 83.2 b) del RGPD, considera que no puede tener la consideración de agravante teniendo en cuenta (i) que era *EMPRESA.2 quien captó los datos del reclamante (ii) la diligencia y colaboración de *EMPRESA.1 con la AEPD para el esclarecimiento de los hechos (iii) desconocimiento de **EMPRESA.1 de que existió un subencargado que no contaba con su autorizaci ón (iv) la existencia de un contrato de encargo que incluía el contenido mínimo obligatorio (v) proactividad en la elaboración de protocolos para cumplir con la normativa vigente. - En cuanto a las circunstancias del 76.2 LOPDGG en relación con el 83.2 k) del RGPD señala que en la medida en que el objeto del procedimiento es el contrato de encargo, no existiría tratamiento alguno y, por ende, no sería de aplicación este artículo. Por otra parte, considera que deberí an serle de aplicación las siguientes circunstancias atenuantes: - Las categorías de dat os de carácter personal afectados por la infracción, esto es, el artículo 83.2 g) del RGPD. - El grado de cooperación con la autoridad de con t rol previsto en el artículo 83.2 f) del RGPD. 7. Solicitud de práctica de prueba. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

1 1/44 Junto a su escrito de alegaciones presenta la siguiente documentación haciendo referencia al artículo 77 de la LP ACAP, indicando que se presenta la documentación en cuestión a efectos de que se lleve a cabo la “práctica de la prueba” en caso de que no se proceda al archivo del procedimiento. - Correo electrónico de 31 de julio de 2023 enviado por **EMPRESA.1 a *EMPRESA.2 por el que le informa de su decisión de resolver el contrato existente y finalizar su colaboración. - Resolución de la AEPD de 10 de abril de 2024 en el expediente *REFERENCIA.1. - Copia de un nuevo modelo de con t rato de encargo elaborado por *EMPRESA.1 en el que se incluyen, entre otros aspectos: Anexo I con una descripción del tratamiento de datos para captación entre los que se incluye, entre otros, la categoría especial de datos, la descripción de los tratamientos u operacione s de tratamiento, así como las categorías de interesados y de datos tra tados, la s finali dades del tratamiento, instrucciones al encargado, y la duración del tratamiento. Anexo II relativo a las medidas técnicas y organizativas para garantizar la seguridad de los datos, entre las que se incluyen: política de seguridad, clasificación de información, controles de acceso, identificación de usuarios, registro de accesos, realización de copias de seguridad, entre otros. Anexo III: relativo al proceso de subencargo, - Apoderamiento notarial a efectos de acreditar la representación. SEXT O: De acuerdo con el informe recogido de la herramienta AXESOR, la entidad *EMPRESA.1 es una gran empresa constituida en el año 1999, y con un volumen de negocios de 395.381.318 euros en el año 2024. SÉPTIMO: Se acompaña como anexo relación de documentos obrantes en el procedimiento. De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes: HECHOS PROBADOS PRIMERO: El 27 de junio de 2023 la parte reclamante recibió un contrato de suministro a nombre de *EMPRESA.1 en el que figuraban: -Datos de la empresa de suministro: *EMPRESA.1. -Sello del agente autorizado: *EMPRESA.3. -Datos del reclamante que figura como cliente (nombre, DNI, domicilio, teléfono, correo electrónico). -Datos del punto de suministro. -Código universal del punto de suministro (CUPS) de electricidad. -Firma de **EMPRESA.1 de fecha 27 de junio de 2023. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

12/44 -Orden de domiciliación a cargo del reclamante y a favor de **EMPRESA.1. -Datos bancarios del reclamante, incluido el número de cuenta. -Servicios de mantenimiento y asesoría comercial. -Solicitud de cambio de titularidad; -Formulario de desistimiento. T ras la recepción, presentó una reclamación ante la AEPD el 28 de junio de 2023. SEGUNDO: El contrato de suministro de 27 de junio de 2023 cuenta en la esquina superior derecha con el sello identificativo de *EMPRESA.3 (nombre comercial de *EMPRESA.2.). TERCERO: *EMPRESA.1 y ** EMPRESA.2 suscribieron un contrato de prestación de servicios por el que el segundo se obli gaba, por cuent a del primero y a cambio de una remuneración, a la real ización de cam pañas de venta telefónica para la “contratación de suministros energéticos y servicios de valor añadido a potenciales clientes”. CUAR TO: En dicho contrato de prestación de servicios se definía a **EMPRESA.1 como LA EMPRESA y a *EMPRESA.2 como EL AG ENTE. QUINT O: E l contrato de prestación de servicios anteriormente mencionado estuvo vigente entr e 14 de sept iembre de 2021 y el 31 de julio de 2023, fecha en la que fue rescindido por parte de *EMPRESA.1. SEXT O: El citado contrato de prestación de servicios entre *EMPRESA.1 y *EMPRESA.2, cont enía en la cláusula vigesi m osegunda destinad a a “Protección de datos de carácter personal”, que remitía en esta materia, además de a lo contenido en la mencionada clausula, al Anexo 7 del contrato en los siguientes términos: “Dado que la prestación del servicio objeto del presente contrato por parte de EL AGENTE implicará la recogida, el acceso y/o tratamiento a los datos de carácter personal de los clientes de LA EMPRESA, EL AGENTE se compromete a asumir las responsabilidades que puedan corresponderle y actuar de conformidad con lo pr evisto en el RGPD y la LOPDGDD, especi almente en relación con los párrafos siguientes y en el ANEXO 7(…). Asimismo, se identificaba a *EMPRESA.1 como responsable del tratamiento y a **EMPRESA.2 co mo encargada del tratamiento t al y como se reproduce a continuación: “(…) El AGENTE actuará como encargado del tratamiento para le recogida y registro de los datos personales del interesado en suscribir un contrato de suministro de energía, siendo LA EMPRESA la responsable del tratamiento, quien manifiesta y garantiza que todo t ratamiento de datos de carácter personal se realizará cumpli endo con lo previsto en el RGPD y la LOPDGDD. SÉPTIMO: La cláusula vigesimosegund a del contrato de prestación de servicios presentaba, entre otro, el siguiente contenido: C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

13/44 (…) EL AG ENTE debe cumplir con las medidas de seguridad establecidas en el artículo 32. OCT A VO: En el Anexo 7 citado en el hecho probado cuarto se incluye: Identificación de la información afectada: (…). El t ipo de datos del tratamiento son los consignados en el contrato de suministro o de que se tr ate de los ofertados por ***EMPRESA.1, aunque el AGENTE únicamente tratará los datos que sean estrictamente necesarios para cumplir con las obligaciones del presente CONTRA T O. (…) Obligaciones del encargado del tratamiento: El encargado del tratamiento se obliga a: - (…)Implementar las medidas de seguridad previstas en su propio documento de seguridad en relación a los datos personales que trate asegurándose de que únicamente t engan acceso a dichos datos aquellos empleados cuya finalidad sea precisa para la finalidad contractual. - Auxiliar al responsable del tratamiento a implantar m edidas de seguridad necesarias para: o Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. o Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. o V erificar, evaluar, y valorar, de f orma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. NOVENO: Ninguno de los documentos hace mención alguna al concepto de subencargo. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48. 1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver es te procedimien to la Presidencia de la Agencia Española de Protección de Datos. II Procedimiento Asimismo, el artículo 63.2 de la LOPDGDD determ ina que: “Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Regl am ento (UE) 2016/679, en la presente ley orgánica, por las disposiciones C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

14/44 reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos”. III Cuestiones previas El artículo 4. 1) del RGPD, define «dato personal» como: “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable t oda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un iden tificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la i dentidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona ”. Por su parte, el artículo 4.2 del RGPD consagra «tratamiento» como: cualquier operación o conjunto de operaciones reali zadas sobre da t os personales o conjuntos de datos personales, ya sea por procedimi entos automatizados o no, como la recogida, registro, organizaci ón, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; La f igura del “ responsable del trat amiento ” se define en el artículo 4.7 del RGPD como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros det ermina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. (El subrayado es nuestro) Por su parte, las Directrices del CEPD 07/2020 del Comité Europeo de Protección de Datos (CEPD), V ersión 2.0, adoptadas el 7 de julio de 2021 (en adelante Directrices 07/2020) destacan que los conceptos de responsable del tratamiento y encargado del tratamiento son conceptos funcionales, siendo necesario establecerlos en virtud de sus actividades concretas en el caso analizado y no en función de la designación formal que pueda figurar en el contrato: “12. Los conceptos de «responsable del trat amiento» y «encargado del tratamiento» son conceptos f uncionales: su objetivo es asignar responsabilidades en función del papel real de cada parte. Esto implica que la condición jurídica de «responsable del tratamiento» o «encargado del tratamiento» de los part icipantes debe establecerse en principio en virtud de sus actividades concretas en una situación determinada y no en función de la designación formal de un participante como «responsable del t ratamiento» o «encargado del t ratamiento» (p. ej., en un cont rato). Esto implica que la asignación de la función de responsable o encargado debe derivar normalmente de un análisis de los hechos o circunstancias del caso y, en consecuencia, no es negociable.” C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

15/44 Asimismo, las referidas Directrices 07/2020 abogan por una interpretación amplia del concepto de responsable del tratamiento con el fin de p r omover una protección eficaz y completa de los interesados. En este sentido, prevén: “14. Puesto que el objetivo último de la atribución de la función de responsable del tratamiento es garantizar la r esponsabilidad proactiva y una prot ección eficaz e integral de los datos personales, el concepto de «responsable» debería interpretarse de un modo suficientemente amplio, de m anera que promueva, en la medida de lo posible, una protección eficaz y completa de los interesados, con el fin de garantizar la plena eficacia del Derecho de la Unión en m ateria de protección de datos, evitar lagunas y prevenir las posibles elusiones de la normativa, sin que todo ello suponga una merma de las atribuciones del encargado del tratamiento.” (subrayado de la AEPD). A lo ya expuesto hasta el m omento, cabe añadir que dichas Directrices 07/2020 destacan: “20. (…) El responsable del tratam iento es quien decide determina dos aspectos esenciales del tratamiento de los datos. La responsabilidad del tratamiento puede establecerse en la norm ativa o deducirse de un análisi s de los hechos o las circunstancias del caso. Es necesario dirig ir la atención a las activi dades de tratamiento concretas de que se trate y comprender quié n las determina. Para ello, primero deben examinarse las siguientes cuestiones: «¿por qué tiene lugar el tratamiento?» y «¿quién ha decidido que debe llevarse a cabo el tratamiento para un fin concreto?».” En el presente caso, **EMPRESA.1 actúa como r esponsable del tratamiento en tanto que es quien define los fines y medios, de acuerdo con el artículo 4.7 del RGPD. Por su parte, el artículo 4.8 del RGPD entiende por “encargado de tratam iento” “la persona física o jurídica, auto ridad pública, se rvicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. (El subrayado es nuestro) En este caso, **EMPRESA.2 actúa como encargada del tratamiento. Las Directrices 07/2020 indican dos condiciones fundamentales para ser considerado encargado del tratamiento: “76. Para ser considerado encargado del tratamiento, es necesario reunir dos condiciones fundamentales: a) ser un ente independiente del responsable del tratamiento; y b) tratar datos personales por cuenta del responsable.” (subrayado de la AEPD) Ambas condiciones concurren en el supuesto analizado. T al y como ha indicado el Comité Europeo de Protección de Datos (CEPD) en sus Directrices 07/2020, actuar por cuenta de alguien significa servir a sus intereses: “80. En segundo lugar, el tratamiento debe llevarse a cabo por cuenta de un responsable del tratamiento, pero no bajo su autoridad ni control directos. Actuar C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

16/44 «por cuenta de» alguien significa servir los intereses de otro y r emite al concepto jurídico de «delegación».” Las referidas Directrices 07/2020 resaltan que nada impide que el encargado del tratamiento (en este caso, **EMPRESA.2) ofrezca un servicio previamente definido: “ 84. T al como se ha indicado previamente, nada impide que el encargado del tratamiento ofrezca un servicio previamente definido, pero el responsable del tratamiento debe adoptar la decisión final de aprobar el modo en que se efectuará el tratamiento, al menos en lo relativo a los medios esenciales.” (subrayado de la AEPD). La relación entre el responsable y el encargado requiere de su formalización en los términos señalados por el artículo 28 del RGPD. En definitiva, en el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la reali zación de un tratamiento de datos personales, toda vez que *EMPRESA.1 realiza, entre otros tratamientos la recogida y conservación de datos personales de personas físicas, clientes o potenciales clientes para el eje rcicio de su actividad. *EMPRESA.1 realiza est a actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad en virtud del artículo 4.7 del RGPD. Por su part e, *EMPRESA.2 tendría la consideración de encargado del tratamiento, de conformidad con el artículo 4.8 del RGPD. IV Contestación a las alegaciones al acuerdo de inicio En respuesta a las alegaciones presentadas por *EMPRESA.1 se debe señalar lo siguiente, siguiendo el orden en las que fueron expuestas en los antecedentes de hecho: 1. En contestación a la alegación preliminar: Debe subrayarse, tras al exhaustiva descripción realizada por *EMPRESA.1 sobre cómo debería haber sido el procedimie nto de contratación de la parte reclamante de acuerdo con el protocolo con el que cont aba *EMPRESA.1, que el objeto del presente procedimiento sancionador no versa sobre la licitud o ilicitud del procedimiento de contratación de la parte reclamante, sino sobre la existencia de un contrato de encargo suscrito entre *EMPRESA.1 y *EMPRESA.2, del que ha tenido conocimiento esta Agencia a raíz de la reclamación presentada por la parte reclamante, que presenta carencias desde la perspectiva de protección de datos y, en particular, en relación con el cont enido mínimo exigible de acuerdo con el artículo 28.3 del RGPD. Dicho cont rato estuvo vige nte, de acuerdo con la información y documentación aportada por *EMPRESA.1 entre el 14 de septiembre de 2021 y el 31 de julio de 2023. Por otra parte, respecto a la alegación relativa al hecho de que *EMPRESA.1 ha tenido conocimiento a raíz de estos hechos de que **EMPRESA.2, su encargado, C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

17/44 habría subcontratado con un tercer sin contar con su preceptiva autorización y sus posibles repercusiones en materia de protección de datos, debe sostenerse la misma afirmación: el presente procedimiento sancionador tiene por objeto un incumplimiento del artículo 28.3 del RGPD en el contrato suscrito entre **EMPRESA.1 y *EMPRESA.2, imputable a la primera, sin que tal infracción se vea m ermada o resulte inexistente por la posible existencia de presuntas y alegadas infracciones supuestamente cometidas por la segunda. 2. En contestación a que se trataba de un contrato ya “revisado” por la AEPD: Sobre las manifestaciones realizadas por *EMPRESA.1 sobre que la actuación de la AEPD al proceder a la apertura de un procedimiento sancionador por carenci as en el contrato de encargo suscrito entre *EMPRESA.1 y **EMPRESA.2, lo que, a su juicio, desbordaría el contenido de la reclamación, que se centraría en la licitud o ilicitud de la actuación realizada para con la part e reclamante, ha de precisarse que la actuación de la AEPD en tanto que autoridad de control, no queda circunscrita de manera literal al contenido preciso de una r eclamación, pudiendo ext enderse su actuación, si así lo estima oportuno, a las cuestiones conexas relacionadas o derivadas de esta. El obje tivo fundamental de la actuación de la AEPD ha de ser garantizar la protección y defensa de los datos personales. En este sentido se ha pronunciado la Gran Sala del TJUE de 29 de enero de 2025, en los asuntos T 70/23, T 84/23 and T 1 1 1/23, determina que: “49 El artículo 57 del Reglamento 2016/679, que se refiere a las funciones de las autoridades de control, dispone: la pr imera tarea, prevista en el apartado 1, letra a), de dicho artículo, es la de supervisar y hacer cumplir la aplicación del Reglamento. Por lo tanto, contrariamente a lo que la demandante señaló, en esencia, en la vista, el análisis de las condiciones en las que se lleva a cabo el tratamiento de datos personales y de su conformidad con la regulació n no t iene por qué limitarse a lo que se destaca en la reclamación formulada”. (El subrayado es de la AEPD). De la misma manera, el T ribunal Supremo, en relación con el alcance de las reclamaciones presentadas an t e la AEPD y la vinculación a su contenido en el ma rco de un procedimiento sancionador ha establecido la siguiente doctrina en interés casacional en la STS de 1 1 de noviembre de 2024, rec. 2960/2023: “Con esas precisiones sobre la manera en que el auto de admisión del recurso formula la cuestión de interés casacional, la cuestión a dilucidar consiste en realidad en si, en la incoación, tramitación y resolución de un procedimiento sancionador, la Agencia Española de Prot ección de Datos queda vinculada, y en qué forma y grado, por el contenido de la reclamación que ante ella se haya presentado. Y, formulada la cuestión en esos términos, para responderla debemos declarar lo que sigue: La Agencia Española de Protección de Datos, en la incoación, t ramitación y resolución de un procedimiento sancionador, puede abordar cuestiones fácticas y jurídicas conexas o relacionadas con los hechos y argumentos recogidos en la reclamación que da origen al procedimiento. Y, más específicamente, en el curso de un procedimiento C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

18/44 sancionador iniciado a raíz de una o varias reclamaciones en materia de protección de datos personales, cuando se aprecie que las infracciones singulares denunciadas tienen sus or igen común en un documento o instrumento de alcance general que define la política de la entidad en materia de protección de datos, la AEPD puede, y aun debe, hacer objeto del procedimiento sancionador a ese mismo documento que alberga la política de privacidad de la ent idad responsable, a fin de examinarlo, detectar sus posibles carencias o deficiencias, y adoptar, en consecuencia, las medidas que resulten necesarias en el seno del propio procedimiento sancionador; en el bien entendido de que de todo ello”. En el presente caso, como se ha indicado, a raíz de una reclamación relativa a una actuación l levada a cabo e n nomb r e de **EMPRESA.1, la AEPD ha tenido conocimiento de que el contrato de encargo que regía la relación entre las partes presentaba carencias desde la perspectiva de p rotección de datos, lo que a f ecta, en consecuencia, a todos los tratamientos de dat os que fueron efectuados por *EMPRESA.2 en nombre de *EMPRESA.1. En consecuencia, en el desempeño de las funciones at ribuidas por el RGPD y valorando el impacto sobre los datos personales de los afectados, la AEPD ha decidido proceder a la apertura de un procedimiento sancionador. Por otra parte, en cuanto a las afirmaciones relativas a que la AEPD “ya tuvo ocasión de examinar anteriormente el contrato de agencia” en el *REFERENCIA.1 sin que por parte de la AEPD se indicara a *EMPRESA.1 la existencia de “ discrepancia, incidencia, omisión ni defecto alguno al respecto, procediendo incl uso al archivo del procedimiento”, han de realizarse las precisiones siguientes: En primer lugar, la resolución a la que se hace referencia respond e a una resolución de archivo de unas actuaciones previas de investigaci ón, esto es, no se t rata de una resolución de un procedimiento sancionador. En segundo lugar, existen diferencias significativas entre los dos supuestos (el objeto del ac t ual procedimiento sancionador y el correspondiente al expediente señalado por *EMPRESA.1), ent re las que se puede subrayar desde la formali zación del contrato que sí se produjo en el caso expuesto a diferencia de est e, hasta la acreditación del consentimiento prestado por la respectiva parte reclamante (cosa que no ha t enido lugar en este supuesto) o el número de entidades intervinientes (al menos tres en el presente supuesto [*EMPRESA.1, *EMPRESA.2 y un tercer agente], frente a los dos del supuesto planteado por *EMPR ES A.1). Este ú ltimo elemento hace particularmente relevante analizar la cadena de par ticipantes en el tratamiento en el presente supuesto y sus aspectos jurídicos. Sin embargo, tal y como se recoge en la r esolución mencionada, la investigación en el supuesto alegado se centró en la evaluación de los mecanismos de comprobación de que el contrato se hubiera formalizado adecuadamente y era correcto. Por tanto, contrariamente a lo señalado por *EMPRESA.1, la r esolución no “valida” el contrato de encargo objeto de procedimiento, sino que sus conclusiones se centran en: “(…) Se concluye que **EMPRESA.1 ha verificado el consentimiento otorgado C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

19/44 por la parte reclamante para la realización del cont rato. Se han eval uado los mecanismos de comprobación de que el contrato se ha formalizado adecuadamente y son correctos. (…) En síntesis, l a empresa de energía entrante demuest ra que remitió SMS con contrato y un tercero certificado que se contestó a ese mail otorgando consentimiento al cambio de compañía” Esto es, no se hace menció n alguna en las conclusiones al contrato de encargo. Sin que pueda ob viarse, además, que el supuesto “aviso” que de acuerdo con **EMPRESA.1 esta Agencia hubie ra tenido que f acilitarle hubi era tenido que manifestarse, en su caso, mediante el despliegue de los poderes correctivos de est a Agencia, esto es, mediante la apertura de un procedimiento sancionador. Pero es que, aun cuando pudiera llegar a apreciarse que se ha realizado un trato desigual respecto a dos situaciones análogas, sin que se considere que sea este el caso, cabe recordar que no procede exigir igualdad en la ilegalidad. La jurisprudencia es clara r especto a esto. Así, la Sentencia de la Audiencia Nacional de 28 de abril de 2023 (Rec. 409/2021) indica que: “Por supuesto la actora trata de comparar esta situación con otr o procedimiento sancionador que se m enciona, pero no estamos ante un trato discriminatorio o que se vulnere el principio de igualdad puesto que es un principio que solo opera en el marco de la legalidad cuando situaciones de hecho igual es tienen un tratamiento diferente sin ju stificación razonable. Como señala la STS de 20 de enero 2004, "la igualdad ha de predicarse dentro de la legalidad, de modo que si la actuación correcta de la Administración es la ahora enjuiciada, según hemos declarado, la invocada como contrar ia a ella no lo fue y, por consiguiente, no cabe esgrimirla para pedir que se le aplique al recurrente un trato igual, ya que, como esta Sala del T ribunal Supremo ha declarado en sus sentencias de 16 de junio de 2003, 14 de julio de 2003 y 20 de octubre de 2003 que «el principio de igualdad carece de tr ascendencia para amparar una situación contraria al ordenamiento jurídico», y ello, co mo indica la propia Sala sentenciadora, al margen de no haberse acreditado la actuación administrativa aducida como contradictoria con la presente". En igual sentido señala la Sentencia del T r ibunal Supremo de 2 de abril de 2014 (Rec. 1916/2010) que indica lo siguiente: "La legalidad prevalece sobre una posible lesión del principio de igualdad". En este caso, estamos ante una infracción administrativa que se pretende comparar con otra situación que tuvo, tras la investigación realizada, diferente solución, pero de lo que se observa en la alegación que se formula por la parte act ora escasamente se puede efectuar una comparación de una situación y otra. 3. Respecto a la alega ción denomin ada “ del contrato de encargo y de la adopción de medidas correctivas”: En cuanto a las manifestaciones efectuadas por **EMPRESA.1 sobre su consideración como responsable del tratamiento a partir del m omento en que un cliente muestra su intención de devenir cliente y no con carácter previo, se hacen las C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

20/44 siguientes matizaciones, sin perjuicio de estas afirmaciones no tengan incidencia en el desarrollo del presente procedimiento sancionador cuya apertura e instrucción se sostienen en la infracción del artículo 28.3 del RGPD respecto al contr ato de encargo que regía la relación entre **EMPRESA.1 y *EMPRESA.2. A sí, se subraya, una vez más, que la posición defendida por esta Agencia sobre el concepto de responsable y encargado del tratamiento es de carácter f uncional, como se determina en las cuestiones previas y como viene interpretando el TJUE así como el CEPD. Por tanto, si *EMPRESA.1 es quien decide contratar los servicio s de ** EMPRESA.2 para que realice act ividades comerciales en su nombre, es **EMPRESA.1 quien determina desde el inicio de la relación los fines y medios como exige el artículo 4.7 del RGPD. Respecto al análisis realizado por *EMPRESA.1 sobre que determinados elementos del artículo 28. 3 del RGPD sobre los que se imputaba en el acuerdo de inicio su ausencia sí estaban incluidos en el contrato, se estima parcialmente la alegación formulada. Así, se estima que, aun sin mucho detalle y pudiendo ser objeto de mejora, el contrato de encargo sí incluía lo relativo a la finalidad y el objeto del tratam iento en el Anexo 7 (“ realizar la ac tividad de agencia en modalidad de televenta que se especi fica en el presente contrato “promoción y distribución comercial de las distintas modali dades de suministro de energía eléctrica o gas ofertados por * *EMPRESA.1”), así como lo previsto en el artículo 28.3 h) del RGPD. No obstante, en ningún caso puede apreciarse que el contrato de encargo contuviera la tipología de los datos objeto de tratamiento (no existe mención alguna al tratamiento de datos de categorí a especial o si se trata de datos identificativos o financieros o sensibles en términos de las Directrices 04/2022, por ejemplo). T ampoco se incluye la naturaleza de los tratamientos, ya que, como la propia ***EMPRESA.1 señala en su escrito de alegaciones, estos deben interpret arse conforme al resto del documento. No obstante, pueden existir operaciones dentro del contrato de servicios que no impliquen el tratamiento de datos personales, sin que pued a obviarse, además, que las Directrices 07/2020 son taxativas a la hora de determinar que la naturaleza de las operaciones de tratamiento debe desarrollarse de manera exhaustiva: “ 1 14. La naturaleza del tr atamiento, es decir, el tipo de operaciones realizadas como parte del tratamiento (por ejemplo, grabación en v ídeo, grabación sonora, archivo de imágenes, etc.); y la finalidad del tratamiento (por ejemplo, detectar una entrada ilegal). Esta descripción debe ser lo más exhaustiva posible, en función de la actividad de tratamiento concreta, para que las partes ajenas al contrato (por ejemplo, las autoridades de cont rol) puedan comprender el contenido y lo s riesgos del tratamiento encomendado al encargado”. T ampoco cabe apreciar que las meras referencias a la necesidad de que el encargado cuente con medidas del artículo 32 del RGPD suponga el cumplimiento de lo previsto en el artículo 28.3 c) del RGPD, pues es una mera reproducción de este y no quedan reflejadas las medidas en relación con los riesgos li gados a la actividad del responsable. en este sentido, las Directrices 07/2020 señalan: “127. El nivel de detalle de las instrucciones dadas por el responsabl e al encargado acerca de las medidas que se aplicarán dependerá de las circunstancias del caso. En C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

21/44 algunos casos, el responsable puede proporcionar una descripción clara y det allada de las medidas de seguridad que deben aplicarse. En otros casos, el responsable puede describir los objetivos mínimos de seguridad que deben alcanzarse y solicitar al encargado que proponga la aplicaci ón de medidas de seguridad concretas. En todo caso, el responsable debe p roporcionar al encargado una descripción de las actividades de tratami ento y los obj etivos de seguridad (en f unción de la evaluación del riesgo del responsabl e), además de aprobar las medidas propuestas por el encargado. Esto podría incluirse en un anexo al contrat o. El r esponsable ejerce su poder de decisión sobre los elementos esencial es de las medidas de seguridad, bien indicando expresamente las medidas, bien aprobando las medid as propuestas por el encargado”. Además, las supuestas referencias al “documento de seguridad de la compañía” tampoco resulta especificación suficiente: primero porque no queda claro de qué compañía se trata (**EMPRESA.1 o *EMPRESA.2) y, segundo, porque dichas instrucciones más detalladas no han sido acreditadas por *EMPRESA.1. Por o tra parte, las alegaciones r eferidas a que se incluyen medidas concretas sobre las que asistir al responsable del tratamiento, parecen obviar que esto es una previsión específica del artículo 28.3 e) del RGPD, separada de la prevista en el artículo 28.3 c) del RGPD. T ampoco cabe apreciar que el hecho de que el contr ato de prest ación de servicios incluyera un apartado en el que determinaba que “ el AGENTE no podía transmitir, sin previo consen timiento por escrito de *EMPRESA.1 (“la EMPRESA” en dicho contrato) los derechos y obligaciones que para él se derivan del mismo” pueda entenderse como especificaciones concretas en materia de subencargo en los términos exigidos por el artículo 28.3 d) del RGPD. En cuanto a las previsiones del artículo 28. 3 f), es la propia *EMPRESA.1 la que reconoce que las obligaciones est ablecidas son genéricas y suponen una mera reproducción del RGPD. Por último, en relación con el nuevo modelo de contrato de encargo del tratamiento de agentes en el que se ha incluido un desarrollo de las medidas de seguridad del artículo 32, así como la determinación de la tipol ogía de los datos objeto de tratamiento y de los propios tratamientos y el respecto de los aspectos contenidos en el fundamento de derecho correspondiente a la infracción, se considera que no procede la imposición de medidas correctivas en la resolución que se dicte. Sin que pueda obviarse, además, que el contr ato objeto del actual procedimiento sancionador ll egó a su f in en julio de 2023. 4 y 5. Sobre la inexistencia de culpabilidad y la inexistencia de infracción: Dado que la argumentación planteada es sustancialmente idéntica para ambas alegaciones, se procede a con testar de manera conjunta las alegaciones 4 y 5 planteadas por **EMPRESA.1. El principio de responsabilidad previsto en el artículo 28.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispone que: " Sól o podrán ser C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

22/44 sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de obrar, los grupos de af ectados, las uniones y entidades sin personalidad jurídica y los patrimonios independientes o autónomos, que resulten responsables de los mismos a título de dolo o culpa. " A tal efecto, la Sentencia del T ribunal de Justicia de la Unión Europea, de 5 de diciembre de 2023, recaída en el asunto C-807/21 (Deutsche Wohnen), indica: “ 76. A este respecto, debe precisarse además, por lo que atañe a la cuestión de si una infracción se ha cometido de forma intencionada o negligente y, por ello, puede sancionarse con una multa administrativa con arreglo al a rt ículo 83 del RGPD, que un responsable del tratamiento puede ser sanci onado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carác ter in fractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD (véanse, por analogía, las sentencias de 18 de junio de 2013, Schenker & Co. y otros, C 681/1 1, EU:C:2013:404, apartado 37 y jurisprudencia citada; de 25 de marzo de 2021, Lundbeck/Comisión, C 591/16 P, EU:C:2021:243, apartado 156, y de 25 de marzo de 2021, Arrow Group y Arrow Generics/Comisión, C 601/16 P, EU:C:2021:244, apartado 97).” En esta misma línea se expresan los órganos jurisdiccionales de nuestro país. De est e modo, el T ribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 5ª) en Sentencia num. 179/2023, de 15 de febrero 2023 establece: Sentencia (STS 354/2023) (…) debemos comenzar por recordar que la culpabilidad constituye, en efecto, una exigencia de las infracciones administrativas, ínsito en el artículo 25 de la Constitución, que ha tenido una elaborada construcción doct rinal en el ámbito del Derecho Penal del que el Administrativo Sancionador es tributario. Dicha exigencia comporta, en apretada síntesis a los efectos del debate suscitado, que el hecho que se tipifica en el tipo de la infracción pueda y debe serle imputable al sujeto que se sanciona, al que se considera culpable del mismo, es decir, responsable, conforme a la t erminología de la Ley de Procedimi ento Administrativo Común d e las Admin istraciones Públicas. Esa imputación comporta un elemento intelectual conforme al cual la acción típica no solo se ejecuta por el propio sujeto, sino que se hace a conciencia y voluntad, es decir, de manera intencional, o bien por una negligencia más o menos intensa, en cuanto se ha omitido la dili gencia que sería exigible en la ejecución del acto para evitar el efecto pernicioso. A su vez, la Sentencia de la Audiencia Nacional, de 21 de enero de 2010, expone: “La recurrente también mantiene que no concurre culpabilidad alguna en su actuación. Es cierto que el principio de culpabilidad impide la admisión en el derecho administrativo sanci onador de la responsabilidad objetiva, también es cierto, que la ausencia de intencionalidad resulta secundaria ya que este tipo C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

23/44 de infracciones nor malmente se cometen por una actuación culposa o negligente, lo que es suficiente para integrar el elemento subjetivo de la culpa. La actuación de XXX es claramente negligente pues… debe conocer … las obligaciones que i mpone la LO PD a todos aquellos que manejan datos personales de terceros. XXX viene obligada a garantizar el derecho fundamental a la pro tección de datos personale s de sus clientes e hipotéticos clientes con la intensidad que requiere el contenido del propio derecho”. Asimismo, hay que tener en cuenta que el T ribunal Supremo (Sentencias de 16 y 22 de abril de 1991) considera que del elemento culpabilista se desprende “... que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en t odo caso, imputable a su autor, por dolo o imprudencia, negligencia o ig norancia inexcusable ”. El mismo T ribunal razona que “ no basta... para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausenci a de culpa ” sino que es preciso “ que se ha empleado la diligencia que era exigible por quien aduce su inexistencia ” (STS 23 de enero de 1998). Sin perjuicio de lo anterior, conviene destacar que el modo de atribución de responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas. Según la STC 246/1991: " (...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringi r las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jur í dico protegido por la norma que se infringe y la necesida d de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma" (en este sen tido STS de 24 de noviembre de 201 1, Rec 258/2009). A lo expuesto debe añadirse, siguiendo la sentencia de 23 de enero de 1998, parcialmente trascrita en las SSTS de 9 de octubre de 2009, Rec 5285/2005, y de 23 de octubre de 2010, Rec 1067/2006, que "aunque la culpabilidad de la conducta debe también se r objeto de prueba, debe considerarse en orden a la asunción de la correspondiente carga, que ordinariamente los elementos volitivos y cognoscitivos necesarios para apreciar aquél la forman parte de la conducta típica probada, y que su exclusión requiere que se acr edite la ausencia de tales elementos, o en su vertiente normativa, que se ha empleado la diligencia que era exigible por quien aduce su inexistencia; no basta, en suma, para la exculpación frente a un comportamiento típicamente antijurídico la C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

24/44 invocación de la ausencia de culpa ". En el presente caso, la conducta imputada, se ha producido, com o poco, de manera negligente, en la medida en que una actuación dil igente por parte de **EMPRESA.1 ENERGÏA hubiese ido encaminada a conocer y asegurar el cumplimiento de la normativa específica de protección de datos en lo que a un contrato de encargo se refiere. Además, en lo que se refiere a la argumentación específica planteada: - Sobre el hecho de que no fuera *EMPRESA.1 la que recabó los dat os del reclamante, sino *EMPRESA.2 a través de un tercero no autorizado sobre el que * *EMPRESA.1 no t enía conocimi ento: se recuerda, por una parte, que el objeto del presente procedimiento transciende la situaci ón concreta de la parte reclamante y versa sobre la existencia de deficiencias en el contrato de encargo que rigió la relación entre **EMPRESA.1 y **EMPRESA.2 durante 2 años desde la perspect iva de protección de datos, de la que esta Agencia tuvo conocimie nto a raíz de la reclamación presentada por la parte reclamante. Asimismo, se reitera que las posibles infracciones supuestamente cometidas por otras entidades no son objeto del presente procedimiento sancionador. - Sobre la supuesta “ revisión” previa del contrato por par te de esta Agencia, se remite a est e respecto a lo señalado en contestación a la alegación segunda. - Sobre la colaboración con la AEPD para el esclareci miento de los hechos, se recuerda que es obligación de los responsables del tratamiento la colaboración con la AEPD, cuyo incumplimiento puede llevar aparejado la imposición de una sanción de acuerdo con el RGPD. - Sobre que el contrato cumplía todos los elementos del artículo 28. 3 del RGPD teniendo que ser “entendido en su propio contexto”, es necesario insistir en varios aspectos: o Un contr ato de encargo no debe confundirse con un contr ato de prestación de servicios. Así, dependiendo del servicio concreto del que se trate es posible que un contrato de servicios no tenga que llevar aparejado un contrato de encargado en la medida en que no existan datos personales que sean objeto de tratamiento. Asi m ismo, puede ocurrir que, en el marco de la prestación de un servicio, reguladas por un mismo contrato, existan determinadas act ividades que sí supongan el tratamiento de datos personales y otras que no. Por tanto, sin perjuicio de que una contrato de encargo se pueda encontrar íntimamente li gado a un contrato de prestación de servicios, hasta el punto de que el CEPD permite incl uir un clausulado específico en mat eria de pro t ección de datos sin necesidad de llevar a cabo un contrato específico, los aspectos relativos a la protección de datos deben quedar debidamente claros y diferenciados, y, como poco, debe asegurarse sin atisbo de duda que todos y cada uno de los requisitos mínimos consagrados por el artículo 28.3 del RGPD se encuentran presentes. Si, como la parte reclamada seña la es necesario hacer m uchas “i nterpretaciones conforme al contexto”, puede presumirse que existen notables lagunas en el documento y que, en consecuenci a, no se cumple lo C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

25/44 previsto en el artículo 28.3 del RGPD. En este sentido, las Directrices 07/2020 señalan: “103. (…) Un contrato por escrito en virt ud del artículo 28, apartado 3, del RGPD puede estar integrado en un contrato más amplio, como un acuerdo de nivel de servicio. A fin de facilitar la prueba de la conformidad con el R GPD, el CEPD recomienda identificar claramente en un mismo lugar (p. ej., en un anexo) los elementos del contrato con los que se pretenda aplicar el artículo 28 del RGPD”. En cualquier caso, en el presente supuesto, tal y como se ha expuesto en cont estación a la anterior alegación, existen deficiencias en el contrato de encargo suscrito (recogido en la cláusula vigesimosegunda del contrato de prestación de servicios entre las partes y en el anexo 7) que no cumplen los requisitos mínimos de contenido exigidos por el artículo 28.3 del RGPD, ya sea porque suponen una mera reproducción literal del RGPD o porque no desarrollan alguno aspecto esencial (como, por ejemplo, las medidas de seguridad que el responsable exige al encargado del tratamiento). Por tanto, las a r gumentaciones planteadas no permi ten concluir, contrariamente a lo señalado por **EMPRESA.1, que se haya incumplido el principio de culpabilidad ni la inexistencia de una infracción. 6. Respecto a la alegada desproporcionalidad de la infracción y solicitud de minoración de la cuantía: Considera *EMPRESA.1 que la multa es excesiva y desproporcionada y que se separa de los principios consagrados en el artículo 29 de la LRJSP. Al respecto, conviene aclarar, en primer término, que el artículo 63.2 de la LOPDGDD prevé lo siguiente: “los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por la s disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos”. E l RGPD establece su propio sistema sancionador y de determinación de la cuantí a de la multa en el artículo 83, sin perjuicio de que prevea la aplicación subsidiaria de los principios básicos del derecho sancionador. Por tanto, de acuerdo con el principio de especialidad normativa (lex specialis derogat legi generali), es de aplicación prefer ente la ley especial (esto es, lo contenido en el RGPD y en la LOPDGDD) sobre la ley general, que tendrá aplicación subsidiaria. Aclarado lo anterior, y antes de entrar a analizar uno por uno los elementos que considera **EMPRESA.1 que son o no son de aplicación en el presente caso, es preciso subrayar que la f ijación de la cuantía de la m ulta de acuerdo con lo previsto en el artículo 83 del RGPD exige que esta se rija conforme a los principios de eficacia, proporcionalidad y efect o disuasorio. Además, tal y como señalan las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, existen tres elementos como punto de partida para la imposición de una multa: el volumen de negocios, la C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

26/44 categorización de l as infracciones según su propia naturaleza (es decir, si son infracciones del 83. 4, 83.5 u 83.6 del RGPD) y el nivel de gravedad de la infracción en cada caso concreto. Este nivel de gravedad no debe confundirse con el término “gravedad” utilizado tradicionalmente en la jurisprudencia española a efectos de calificación de una infracción entre muy grave, grave y leve. El nivel de gravedad al que se refiere el RGPD debe determinarse atendiendo a las circunstancias del artículo 83.2 a) naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, el alcance o propósito de la operación de tratamiento, el número de afectados y el nivel de daños y perjuicios que hayan producido; del artículo 83.2 b) intencionalidad o negligencia de la infracción (que no debe confundirse con el requisito de culpabilidad objetiva y subjetiva propia del derecho español) y del artí culo 83.2 g) las categorías de los datos de carácter personal afectados. Sobre ese punto de partida determina do por esos tres elementos, se podrán aplicar circunstancias agravantes o atenuantes (el resto de los elementos del artículo 83.2 del RGPD en relación con el artículo 76.2 de la LOPDGDD). En el presente caso, se incluían en el acuerdo de inicio como circunstancias para determinar el nivel de gravedad lo previsto en los artículos 83.2 a) y 83.2 b) del RGPD y, por otra parte, en forma de agravante, la circunstancia del artículo 83.2 k) del RGPD en relación con el artículo 76.2 de la LOPDGDD. Llegados a este punto, y en relación con las manifestaciones concretas realizadas por **EMPRESA.1, conviene precisar: - Respecto a que en las circunstancias del artículo 83. 2 a) del RGPD no debería hacerse mención a que el reparto de las obligaciones entr e el responsable y el encargado no quedan claras, lo que afecta, en definitiva, al derecho a la protección de datos de los interesados, no cabe sino aclarar lo siguiente: o Entre los elementos a valorar en las circunstancias del a rtículo 83.2 a) del RGPD se encuentra la naturaleza de la infr acción. De acuerdo con las Directrices 04/ 2022, la valoración de la naturaleza la infracción supone “(…) revisar el interés que la disposición infringida pretende proteger y el lugar de esta disposición en el marco de la protección de dat os (…)”. El artículo 28 del RGPD tiene por objeto asegurar una clara determinación de las obligaciones correspondientes al responsable y al encargado del tratamiento, con el objetivo último de garantizar una eficaz protección de los derechos de los interesados. En este sentido se pronuncian las Directrices 07/2020, así como el considerando 79 del RGPD: (…) la «protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento [...] r equieren una atribución clara de las responsabilidades». - Por otra parte, el acuerdo de inicio recogía también la circunstancia del artículo 83.2 b), intencionalidad o negl igenc ia, frente a la que al ega **EMPRESA.1 que no procede. No obstante, en cuanto a las C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

27/44 argumentaciones esgrimidas por **EMPRESA.1 y en el ánimo de evitar equívocos, se realizan las siguientes precisiones: o No cabe apreciar que, en tanto que *EMPRESA.2 captó los datos del reclamante, se exime de responsabilidad a *EMPRESA.1. Este elemento ya ha sido debidamente explicado: (a) *EMPRESA.2 actuaba en nombre y por cuenta de *EMPRESA.1, por lo que este resulta responsable (b) el objeto del presente procedimiento sancionador versa sobre el contenido del con t rato de encargo suscrito entre *EMPRESA.1 y *EMPRESA.2. o La supuesta diligencia y colaboración de *EMPRESA.1 en el esclarecimiento de los hechos f orman parte de las obligaciones de colaboración con la aut oridad de control que el RGPD impone a los responsables del tratamiento. o La supuesta existencia de un subencargado no autorizado carece de relevancia en la medida en que no es el objeto del presente procedimiento sancionador. o Si bien existía un contrato de encargo, este presentaba carencias en términos del RGPD tal y como se recoge en el presente documento. o Por último, la alegada proactividad en la elaboración de pro t ocolos forma parte, una vez más de las obligaciones que el RGPD impone a todo responsable, en el marco del principio de responsabilidad proactiva previsto en el artí culo 5.2 del RGPD y desarrollado en el artículo 24 de la misma norma. Sin olvidar, además, que el propio artículo 28 del RGPD exige que el r esponsable facili te instrucciones documentadas al encargado del tratamiento. En este sentido, sin perjuicio de no compartir esta instrucción los elementos esgrimidos por **EMPRESA.1, sí se arriba a la misma conclu sión de sobre la no existencia de elementos suficientes como para la inclusión de la circunstancia prevista en el a r tículo 83.2 b) del RGPD. Así, no se aprecia por esta instrucción una especial negligencia o intencionalidad -en los t érminos del RGPD- que sea reseñable y que lleve a considerar esta circunstancia de forma distinta a neutra en la medida en que existía un contrato de encargo, aun cuando presentara determinadas carencias. - En cuanto a las afirmaciones relativas a que no procede la aplicación del agravante previsto en el artículo 76.2 b) de la LOPDGDD en tanto que el procedimiento versa sobre ca rencias en el contrato de encargo y no sobre un tratamiento realizado, estas deben desestimarse. El artículo 76.2 b) expresa de manera literal: “la vinculación de la act ividad del infractor con la realización de tratamientos de datos personales”. Por tanto, no liga la aplicación de este agravant e con el t ratamiento concreto llevado a cabo, sino a una infracción tipificada por el RGPD. Además, no puede olvidarse que el contrato de encargo, que de acuerdo con las Directrices 07/2020 no puede entenderse como una mera obligación formal, establece el marco fundamental sobre cómo habrán de llevarse a cabo los tratamientos que por parte del encargado se lleven a cabo en nombre del responsable. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

28/44 - Respecto a la solicitada aplicación de circunstancias atenuantes, en concreto, las circunstancias del artículo 83.2 g) y las relativas al 83.2 f) del RGPD: o No es posible valorar como atenuante las circunstancias previstas en el artículo 83.2 g) del R GPD, en la medida en que esta circunstancia debe valorarse a los ef ectos de determinar el nivel de gravedad de la infracción, sobre la que, con posterioridad, podrán aplicarse circunstancias agravantes o atenuantes. En cualquier caso, sí se considera que las circunstancia s del artículo 83.2 g) del RGPD deben ser valoradas por parte del instruct or del procedimiento a efectos de determinar el nivel de gravedad. No cabe olvidar que, en este supuesto, el contrato de encargo objeto de este procedimiento sancionador, había de regular la relación ent re **EMPRESA.1 y **EMPRE SA.2, incluyéndose entre los dat os objeto de tratamiento, figuraran o no en el contrato de encargo, entre otros, el DNI de los interesados. o En cuanto a la alegación de que se deberí an haber valorado como atenuantes las circunstancias del artículo 83.2 f) del RGPD se hace notar, que, tal y como señala la sen t encia de la Audi encia Nacional, de 05/05/2021, rec. 143 7/2020, no puede ser valorados como atenuantes, circunstancias que la norma prevé como agravantes. En concreto, señala: “considera, por otro lado, que debe apreciarse como atenuante la no comisión de una infr acción anterior. Pues bien, el artículo 83.2 del RGPD establece que debe tenerse en cuenta para la imposición de la multa administrativa, ent re otras, la circunstancia "e) toda infracción anterior comet ida por el responsable o el encargad o del trat amiento". Se trata de una circunstancia agravante, el hecho de que no concurra el presupuesto para su aplicación conlleva que no pueda ser t omada en consideración, pero no implica ni permite, como pretende la actora, su aplicación como atenuante”; apli cado al supuesto enjuiciado, la falta del presupuesto para su aplicación respecto del art. 76.2.c) de la LO PDGDD, esto es, obtener beneficios consecuencia de la infracción, no permite su aplicación como atenuante.” Lo mismo ocurre en relación con el artículo 83.2 f), sin olvidar, además, que la cooperación con la autoridad de cont rol por parte del responsable es una obliga ción prevista por el RGPD. En este sentido, la misma sentencia señala: “respecto de la propugnada aplicación como at enuante de la circunstancia f) del artículo 83. 2 del RGPD ' el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efect os adversos de la infracción’, basta remitirnos a lo expuesto en el Fundamento de Derecho para rechazar la aplicación de dicha atenuante”. Añadido a lo anterior y en particula r, respecto a lo señalad o sobre las circunstancias del artículo 83.2 b) y g) del RGPD, se considera que, por parte de la instr ucción deben tenerse en cuenta los siguientes aspectos a la hora de determ inar la cuantía de la multa a imponer, lo que puede suponer una minoración respecto a la fijada inicialmente en el acuerdo de inicio: C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

29/44 - El volumen de n egocios actualizado de * *EMPRESA.1 muestra un resultado de 395. 381.318 euros en 2024, frente a los 607. 775.901 en 2022 tomado como referencia en el acuerdo de inicio. - En relación con las circunstancias del artículo 83.2 a) del RGPD: o Debe valorarse que la infracción y los potenciales afectados se enmarcan en el ámbito de un contrato de *EMPR ESA.1 con uno de sus encargados, no con todos. o Asimismo, ha de tenerse en cuenta la duración de la infracción, acotada en el tiempo, y que no pervive en la ac t ualidad, circunscrita a la duración del contrato suscrito entre *EMPRESA.1 y *EMPRESA.2. o En relación con el alcance de la infracción, se significa que el contrato contaba que algunos de los elementos exigidos por el artículo 28.3 del RGPD como, por ejemplo, lo previsto en el artículo 28.3 g) del RGPD. o Además, tal y como se ha expresado durante la contest ación a las alegaciones al acuerdo de in icio, l as carencias observadas se circunscriben, tras la instrucción del procedimiento, a la determinación de la naturaleza de los tratamientos, la tipología de los datos, la determinación de las medidas de seguridad conforme al artículo 28.3 c), lo relativo a los posibles subencargados del tratamiento previsto por el 28.3 d), así como lo correspondiente al artículo 28.3 f) del RGPD. En consecuencia, cabe estimar parcialmente la solicitud efect uada relativa a la minoración de la cuantía de la sanción inicialmente fijada, lo que se valorará t eniendo en cuenta los aspectos anteriores en el fundamento de derecho relativo a la propuesta de sanción. 7. En lo referente a la solicitud de práctica de prueba: Llegados a este punto, si bien no se trata de una alegación, debe realizarse una aclaración en relación con la prueba solicitada por *EMPRESA.1. *EMPRESA.1 solicita, en su escrito de alegaciones, la celebración de la práctica de prueba conforme al artículo 77 de la LP ACAP, lo que obligaría a esta Agencia a un pronunciamiento en los términos previstos por ese mismo artículo y los subsiguientes. No obstante, la realidad es que solicita que esta se celebre respecto a documentación por ella presentada junto a su escrito de alegaciones sobre la que no es necesario la realización de ulterior actuación: la copia del correo electrónico remitido a **EMPRESA.2 por la que le informa del fin de su colaboración, una resolución de la AEPD de 10 de abril de 2024 relativa al archivo de una reclamación, la copia de un nuevo modelo de contrato de encargo que asegura haber puesto en marcha y un poder notarial a efectos de acreditar la representación. Así, no debe olvidarse que el artículo 53 de la LP ACAP consagra entre los derechos de los interesados en el procedimiento en su letra e) el derecho a “formular alegaciones, utilizar los medios de defensa admitidos por el Ordenamiento Jurídico, y a aportar documentos en cualquier fase del procedimiento anterior al trámite de C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

30/44 audiencia, que deberán ser tenidos en cuenta por el órgano compet ente al redactar la propuesta de resolución”. En consecuencia, se entiende que la solicitud efect uada en virtud del artículo 77 LP ACAP no ha lugar puesto que la documentación presentada encuentra su amparo en el propio artículo 53 de la LP ACAP en relación con el artículo 64.2 f) de la misma norma. V Obligación incumplida en relación con el artículo 28.3 del RGPD La relación entre el responsable y el encargado se encuentra regul ada en el artículo 28 del RGPD que señala: “1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para apl icar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado. 2. El encargado del tratami ento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En est e último caso, el encargado inform ará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios. 3. El tratamiento por el encargado se r egirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados m iembros, que vincule al encargado r especto del responsable y establezca el objeto, la duración, la naturaleza y la final idad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado: a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organiza ción internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado inform ará al responsable de esa exigencia legal previa al tratam iento, salvo que tal Derecho lo prohíba por razones importantes de interés público; b) garantizará que las personas aut orizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; c) tomará todas las medidas necesarias de conformidad con el artículo 32; C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

31/44 d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; g) a elecci ón del responsable, su primirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en vi rtud del Derecho de la Unión o de los Estados miembros; h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de o tro auditor autorizado por dicho responsable. En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instr ucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros. 4. Cuando un encargado del tratamiento recurr a a otro encargado para llevar a cabo deter minadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados m iembros, las mismas obligaciones de protección de dat os que las estipuladas en el contrat o u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suf icientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposi ciones del presente Reglamento. Si ese o tro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá si endo plenamente responsable ante el responsabl e del tratamiento por lo que respecta al cum plimiento de las obligaciones del otro encargado. 5. La adhesión del encargado del tratamiento a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las garantías suficientes a que se refieren los apart ados 1 y 4 del presente artículo. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

32/44 6. Sin perjuicio de que el responsable y el encargado del tr atamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, tot al o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al responsable o encargado de conformidad con los artículos 42 y 43. 7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 93, apartado 2. 8. Una autoridad de control podrá adoptar cláusula s contractuales tipo para los asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el mecanismo de coherencia a que se refiere el artículo 63. 9. El cont rato u otro acto jurídico a que se refieren los apart ados 3 y 4 constará por escrito, inclusive en formato electrónico. 10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los f ines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento”. Así, el artículo 28 del RGPD establece en el punto 3 que el tratamiento que efectúe el encargado se regirá por un contrato u otr o acto jurídico con ar reglo al Derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, y que incluya las estipulaciones a las que se refieren las letras a) a g) de la disposición precitada. El mencionado artículo di spone en el apartado 3 que el encargo de tratamiento debe regirse por un contr ato u otro acto jurídico que vincule al encargado r especto del responsable y establezca el objeto, la duración, la naturaleza y la f inalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. En este sentido, el artículo 28.3 se encuentra alineado con la exigencia prevista por el punto 9 del artículo 28 de que el contrato de encargo conste por escrito: “ El contrato u otro acto jurídico a que se r efieren los apartados 3 y 4 constará por escrito, inclusive en formato electrónico.” (El subrayado es nuestro). T anto **EMPRESA.1 como **EMPRESA.2 han aport ado a la AEPD la copia del contrato de Agencia T el eventa suscrito entre las partes. Sin embargo, el contenido del documento aportado presenta carencias desde la perspectiva de protección de datos y, en particular, en relación con el contenido previsto en el artículo 28.3 del RGPD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

33/44 Llegados a este punto parece aconsejable acudir a las Directrices 7/2020, sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD, versión 2.0, adoptada el 07/07/2021 por el Comité Europeo de Protección de Datos (CEPD). Además de indicar que “ todo tratamiento de datos personales por un encargado debe regirse por un contrato u otro acto jurídico con ar reglo al Derecho de la Unión o de los Estados miembros celebrado entre el responsable y el encargado, t al como se estipula en el artículo 28, apartado 3, del RGPD” añaden que “ Este acto jurídico debe constar por escrito, permitiéndose el formato electrónico. Por tanto, los acuerdos no formalizados por escrito (con independencia de su exhaustividad o su eficacia) no pueden considerarse suficientes para el cumplimiento de los requisitos establecidos en el artículo 28 del RGPD. ” Y dice que, “ A fin de evitar cualquier dificultad a la hora de probar la eficacia del contrato u otro acto jurídico, el CEPD recomienda asegurarse de que se hayan incluido las firmas necesarias en el acto jurídico siguiendo lo dispuesto en el Derecho aplicable (p. ej., el Derecho contractual).” (El subrayado es nuestro) Indican tambi én las Di rectrices 7/2020 (epígra fe 103) que “ Un contrato por escrito en virtud del artículo 28, apartado 3, del RGPD puede estar integrado en un contrato más amplio, como un acuerdo de nivel de servicio. A fin de facilitar la prueba de la conformidad con el RGPD, el CEPD recomienda identificar claramente en un mismo lugar (p. ej., en un anexo) los elementos del contrato con los que se pretenda aplicar el artículo 28 del RGPD.” Por lo que respecta al contenido del cont rato o acto jurídico de encargo de tratamiento las Directrices subrayan (epígrafe 1 12) que “el contrato debe servir para que el responsable y el encargado aclaren, mediante instrucciones detalladas, cómo se aplicarán en la práctica dichos elementos fundamentales. Por tanto, el contrato de tratamiento no debe limitarse a reproducir las disposiciones del RGPD, sino que debe incluir una información más especí fica y concreta sobre el modo en que se satisfarán los requisitos y el grado de tratamiento. […] El epígrafe 1 13 dice que “ el contrato debe tener en cuenta «las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado». Por lo general, el contrato entre las partes debe redactarse a la luz de la actividad de tratamiento de datos concreta.” El epígrafe 1 14 aclara (el subrayado es nuestro): “Por lo que respecta al contenido obligatorio del contrato u otro acto jurídico, el CEPD interpreta el ar tículo 28, apartado 3, en el sentido de que prescribe la inclusión de lo siguiente: - El objeto del tratamiento […] Aunque el objeto del tratamiento es un concepto amplio, debe formularse de un modo suficientemente detallado como para que quede claro cuál es el principal objetivo del tratamiento. - La duración del tratamiento: deben especificarse el período de t iempo exacto o los criterios empleados para det erminarlo. Por ejemplo, podría hacerse referencia a la duración del acuerdo de tratamiento. - La naturaleza del tratamiento, es decir, el tipo de operaciones r ealizadas como parte del tratamiento (por ejemplo, grabación en vídeo, gr abación sonora, archivo de imágenes, etc.); y la f inalidad del tratamiento (por C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

34/44 ejemplo, detectar una entrada ilegal). Esta descripción debe ser lo más exhaustiva posible, en función de la actividad de tratamiento concreta, para que las partes ajenas al contrato (por ejemplo, las aut oridades de control) puedan comprender el contenido y los riesgos del tratamiento encomendado al encargado. - El tipo de datos personales: este elemento debe especificarse con el mayor grado de detalle posible (por ejemplo, imágenes de vídeo de personas cuando entran y salen de las instalaciones). - Las categorí as de interesados: esto tambi én debe especificarse con bastante grado de detalle (por ejemplo, visitantes, empleados, servici os de reparto, etc.). - Las obligaciones y derechos del responsable: los derechos del responsable del tratamiento se abordan de un modo más exhaustivo en las secciones siguientes (por ejemplo, el derecho del respon sable a llevar a cabo inspecciones y auditorías). Por lo que respecta a las obligaciones del responsable, al gunos ej em plos son la obligación de proporcionar al encargado los datos mencionados e n el contrato; la obligación de proporcionar al encargado instruccione s relativas al tratamiento de datos y documentarlas; la obligación de garantizar, antes del tratamiento y durante este, el cumplimiento de las obligaciones impuestas al encargado en el RGPD; y la obligación de supervisar el tratamiento, incl uida la reali zación de auditorías e inspecciones del encargado” Además, el RGPD establece que el contrato estipulará, en particular, los siguientes aspectos: “(…) a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organiza ción internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado inform ará al responsable de esa exigencia legal previa al tratam iento, salvo que tal Derecho lo prohíba por razones importantes de interés público; b) garantizará que las personas aut orizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; c) tomará todas las medidas necesarias de conformidad con el artículo 32; d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento; e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III; C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

35/44 f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado; g) a elecci ón del responsable, su primirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en vi rtud del Derecho de la Unión o de los Estados miembros; h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de o tro auditor autorizado por dicho responsable. En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instr ucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros”. Atendiendo a lo anterior, y tal y como se ha adelantado, analizado el contrato suscrito entre **EMPRESA.1 y * *EMPRESA.2 en t anto que responsable y encargado del tratamiento, respectivamente, se observa que est e presenta carencias respecto a algunos de los elementos exigidos por el artículo 28.3 del RGPD. Los elementos contenidos en la cláusula vigesimosegunda y el anexo 7 expuestos en los antecedentes de hecho no especifican el tipo de datos personale s (únicamente se señala de manera genérica que “ son los consignados en el contrato de su m inistro de que se trate de los ofertados por ***EMPRESA.1”), pero sin hacer mención, por ejemplo, a si se tratan de datos de categoría especial o datos considerados sensibles, en términos de las Directrices 04/2022 del CEPD. Asimismo, tampoco se hace referencia a los tratamientos. En cuanto la obligación de contenido estipulada en el artículo 28.3 c), relativa a las medidas de seguridad del artículo 32 del RGPD, no puede entenderse por cumpli da. De acuerdo con las Directrices 07/2020: “el contrato de tratamiento no debe limitarse a reproducir las disposiciones del RGDP: debe incl uir o hacer re ferencia a inform ación sobre las medidas de seguridad que se adoptarán, la obligación del encargado de obtener la aprobación del responsable antes de realizar cualquier cambio y una revisión periódica de las medidas de seguridad a f in de garantizar su adecuación a los riesgos, que pueden variar con el tiempo”. En el p resente caso, únicamente se hace referencia en el contrato a que el encargado “ debe cumplir con las medidas de seguridad est ablecidas en el artículo 32 del RGPD”, mientras que el Anexo 7 se indica “ implementar las medidas de segurida d previstas en su propi o documento de seguridad en relación a los datos personales, asegurándose de que únicamente tengan acceso a dichos datos aquellos empleados cuya intervención sea precisa para la finalidad contr actual”. Por otra parte, más adelante en el mismo documento únicamente se señala: “ Auxiliar al responsable del trat amiento a implantar m edidas de seguridad necesarias para: C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

36/44 o Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. o Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. o V erificar, evaluar, y valorar, de f orma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento”. No se hace referencia, por tanto, a las medidas de aplicación o al tipo de medidas exigibles en atención a l os riesgos existentes, sino que se real iza una mera reproducción, a lo sumo, de lo previsto en el propio RGPD. Por otra parte, no hace mención alguna a lo establecido en el artículo 28.3 d) referente a la posibilidad de recurrir a un subencargado previa autorización por escrito del responsable del tratamiento, que podrá ser genérica o específica. En cuanto a las previsiones establecidas en el a r tículo 28.3 f), no se precisan en el contrato ni en el Anexo 7 el detalle del modo en que el encargado deberá ayudar al responsable a cumplir con sus obligaciones, únicamente se indica que “ pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones”. Lo que supone una mera reproducción del RGPD. De acuerdo con lo anterior, el contr ato suscrito entre **EMPRESA.1 y *EMPRESA.2 vigente entre el 14 de septiembre de 2021 y el 31 de julio de 2023 presenta carencias respecto a algunos de los elementos básicos exigibles desde la perspectiva de protección de datos como la no determ inación de los tratamientos, la tipología de los datos objeto de tratamiento, la ausencia de desarroll o de las medidas de seguridad previstas en el artículo 32 del RGPD, así como la indeterminación de previsiones relativas a la posibilidad de contar o no con un subencargado del tratamiento y la manera de asegurar que el encargado colabore en el cumplimiento de las obligaciones del responsable respecto a lo pr evisto en los artículos 32 a 36 del RGPD, como prevé el artículo 28.3 f) del RGPD. Por todo ello, de conformidad con las evidencias de las que se dispone en est e momento del procedimiento sancionador, se consi dera que los hechos conocidos son constitutivos de una infracción del artículo 28.3 del RGPD atribuible a **EMPRESA.1. VI T ipificación y calificación de la infracción del artículo 28.3 del RGPD El artículo 83. 4 del RGPD tipifica como infracción administrativa la vulneración del artículo si guiente, se sancionará, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una emp r esa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, opt ándose por la de mayor cuantía: "a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 1 1, 25 a 39, 42 y 43;" C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

37/44 Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que: “Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que r esulten contrarias a la presente ley orgánica”. A los solos ef ectos del plazo de prescripción, el artículo 73 de la LO PDGDD establece lo siguiente: "En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en part icular, las siguientes: k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.” VII Propuesta de sanción por la infracción del artículo 28.3 del RGPD A fin de determinar la multa administrativa a imponer se han de observar las previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan: “1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infr acciones del presente Reglamento indica das en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.” “2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artí culo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gr avedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; b) la intencionalidad o negligencia en la infracción; c) cualquier medida tomada por el responsable o encargado del tr atamiento para paliar los daños y perjuicios sufridos por los interesados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medid as técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32; C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

38/44 e) toda infracción anterior cometida por el responsable o el encargado del tratamiento; f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsabl e o el encargado notificó la infracción y, en tal caso, en qué medida; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas; j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y k) cualquier otr o factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.” Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD dispone: “1. Las sanciones previstas en los apart ados 4, 5 y 6 del ar tículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción. b) La vinculación de la actividad del infractor con la realización de tr atamientos de datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de fusión por absorción poste rior a la comisión de la infracción, que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimi ento por parte del re sponsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de confli ctos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado”. Lo anterior implica, de acuerdo con las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD, que la cuantía de la multa para cada una de las infracciones debe tener como punto de part ida, tres elementos: el volumen de negocios, la C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

39/44 categorización de las infracciones según su propia naturaleza (es decir, si se trata de una infracción del 83.4, 83.5 u 83.6 RGPD) y el nivel de gravedad de la infracción en cada caso concreto (de acuerdo con el artículo 83.2 a), b) y g)). En cualquier caso, la multa a imponer debe ser, en cada caso individual, efectiva, proporcionada y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. En este sentido, se considera, con carácter previo, el volumen de negoci o de **EMPRESA.1 de 395.381.318 euros en el año 2024. Asimismo, atendiendo a la categorizaci ón de la infracción, de acuerdo con el artículo 83.4 del RGPD, la sanción que se imponga podrá ser de 10.000.000 de euros como máximo, o tratándose de una empresa, una cuantía equi valente al 2% como máximo del volumen de negocio anual, opt ándose por la de mayor cuantía. El 2% del volumen de negocio de *EMPRESA.1 es de 7.907.686,36 euros. Conforme a lo anterior, la sanción que se imponga para cada una de la s infraccion es habrá de estar forzosamente entre los 0 y los 10.000.000 de euros. Asimismo, en relación con el nivel de gravedad en los t érminos del RGPD, se estima que concurren las circunstancias siguientes: - La naturaleza, gravedad y duración de la infr acción, teniendo en cuenta la naturaleza, alcance o pr opósito de la operación de tratamiento de la que se trate, así como el número de afectados y el nivel de daños y perjuicios que hayan sufrido (artículo 83.2 a) del RGPD): En lo que se refiere a la naturaleza de la infracción, entendida como el análisis del interés que la disposición infringida pretende proteger, se señala que la no formalización de las relaciones entre un responsable y un encargado del tratamiento conforme a las exigencias previstas en el RGPD impide conocer con certeza las obligaciones correspondientes a cada uno de los participantes en la cadena de tratamientos. Esta incertidumbre genera inseguridades desde el punto de vista material como, por eje mplo, respecto a las medidas de seguridad que habrán de ser adoptadas específicamente por el encargado o cómo atender los ejerci cios de derechos por parte de los interesados. Un adecuado cont enido de los contratos de encargo y su pul critud jurídica es un elemento esencial para garantizar el cumplimie nto de las obli gaciones tanto del responsable como del encargado. La omisión de las obligaciones del artículo 28 repercute negativamente en el cumpli miento de las obligaciones que el RGPD prevé para el respon sable, así como en su potes t ad de cont rol sobre sus encargados. Por otra parte, en relación con el alcance del t ratamiento, se subraya que el incumplimiento se ci rcunscribe a la relación del responsa ble con un encargado concreto, **EMPRESA.2. Asimismo, se señala que el contrato de encargo sí cont enía algunas de las previsiones exigidas por el artículo 28.3 del RGPD, como, por ejemplo, lo previsto en el artículo 28.3 g) del RGPD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

40/44 En cuanto al número de afectados, si bien el presente procedimiento sancionador nace de una reclamación, el número de afectados pot enciales por la infracción abarca a todos los clientes o potenciales clientes de **EMPRESA.1 cuyos datos personales hubiesen sido t ratados por *EMPRESA.2 en nombre de la primera entre el 14 de septiembre de 2021 y el 31 de julio de 2023. Asimismo, se subraya a efectos de la duración de la infracción que los hechos se enmarcan en una relación contractual entre el responsable (EMPRESA.1) y el encargado (EMPRESA.2) acotada en el tiempo (entre el 14 de septiembre de 2021 y el 31 de julio de 2023) y que no pervive, por tanto, en la actualidad. - Las categorías de los datos de ca r ácter personal afectados por las infracciones (artículo 83. 2, letra g), del RGPD): las Directrices 04/2022 del Comité Europeo de Protección de Datos, sobre el cálculo de las multas bajo el RGPD, adoptadas el 24 de mayo de 2023, en su apartado 57, señalan lo siguiente en cuanto al requisi to de tener en cuenta las categorías de los datos personales af ectados: “(…) el RGPD destaca claramente los tipos de datos que merecen una protección especial y, por tanto, una respuesta más estricta en lo que respecta a las multas. Esto se refiere, como mínimo, a los tipos de datos a que se refieren los artículos 9 y 10 del RGPD y a los datos fuera del ámbito de aplicación de estos artículos cuya difusión provoque daños y perjui cios inmediatos al interesado (por ej emplo, datos de localización, datos sobre comunicación privada, números de identificación nacionales o datos financie ros, como resúmenes de transacciones o números de tarjetas de crédito”). En el presente caso, entre los datos objeto de tratamiento como consecuencia del contrato de encargo, se encuentran, entre otros, el número del DNI de los interesados. Asimismo, se consideran los siguien tes factores de graduación en calidad de agravantes: - La vinculación de la actividad del infractor con la realización de t ratamientos de datos personale s (artículo 83.2 k) del RGPD en conexión con el ar tículo 76.2, letra b), de la LOPDGDD): *EMPRESA.1, como consecuencia de su actividad empresarial (empresa energética) realiza de forma habitual y continua tratamientos de dat os de carácter personal de un elevado número de interesados, tanto clientes como potenciales clientes. La realización de actividades de suministro y comercialización de energía que es su actividad principal i mplica necesariamente operaciones de tratamiento de datos personales. Así, la infracción se produce en el marco de un tratamiento de datos personales que habitualmente realiza **EMPRESA.1 en su negocio y ligado a este. En consecuencia, se considera que el balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de la LO PDGDD, con respecto a las infracciones cometidas al vulnerar lo establecido en el RGPD, permite f ijar una multa de 25. 000 euros. A la vista de lo expuesto se procede a emitir la siguiente C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

41/44 PROPUEST A DE RESOLUCIÓ N Que por la Presidencia de la A gencia Española de Protección de Datos se sancione a **EMPRESA.1, con NIF **NIF.1, por una infr acción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 del RGPD, con una multa de 25.000 € (VEINTICINCO M IL EUROS). Asimismo, de conformidad con lo establecid o en el artículo 85.2 de la LP ACAP, se le informa de que podrá, en cualquier momento anterior a la resolución del presente procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que supondrá una reducción de un 20% del importe de la misma. Con la aplicación de esta reducción, la sanción quedaría establ ecida en 20.000 euros (VEINTE MIL EUROS) y su pago implicará la terminación del procedimiento. La efectividad de esta reducción estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción. A estos efectos, en caso de acogerse a es ta reducción, deberá remitir a l a Subdirección General de Inspecci ón de datos com unicación expresa del desistimiento o renuncia a cualquier acción o recurso en vía administrativa contra la sanción. En caso de que optara por pr oceder al pago voluntario de la cant idad especificada anteriormente, de acuerdo con lo previsto en el artículo 85.2 citado, deberá hacerla efectiva mediante su ingreso en la cuenta restringida nº IBAN: ES00-0000-0000-0000- 0000-0000 (BIC/Código SWIFT: CAIXESBBXXX) abierta a nombre de la Agencia Española de Prot ección de Datos en la entidad bancaria CAIXABANK, S.A., indicando en el concepto el número de referencia del procedimiento que figu ra en e l encabezamiento de este documento y la causa, por pago volu ntario, de reducción del importe de la sanción. Asimismo, deb erá enviar el justificante del ingreso a la Subdirección General de Inspección para proceder a cerrar el expediente. En su virtud se le notifica cuanto antecede, y se le pone de manifiesto el procedimiento a f in de que en el plazo de DIEZ DÍAS pueda alegar cuanto considere en su defensa y presentar los documentos e informaciones que considere pertinentes, de acuerdo con el artículo 89.2 de la LP ACAP. 926-250625 R.R.R. INSPECT O R/INSTRUCT O R C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

42/44 ANEXO Índice del expediente EXP202407023 (…) >> SEGUNDO: En fecha 30 de enero de 2026, ***EMPRESA.1 ha procedido al pago de la sanción en la cuantía de 20.000,00 euros haciendo uso de la reducción prevista en la propuesta de resolución transcrita anteriormente. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artícu lo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los ar tículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos dig itales (en adelante, LOPDGDD), es competente para resolver es te procedimiento la Presidencia de la Agencia Españ ola de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determ ina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Regl am ento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II T erminación del procedimiento El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administracione s Públicas (en lo sucesivo LP ACAP), bajo la rúbrica “ T erminación en los procedimientos sancionadores ” dispone lo siguiente: “ 1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción que proceda. 2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una sanción pecuniaria y otra de carácter no pecunia rio pero se ha justificado l a improcedencia de la segunda, el pago voluntario por el presunto responsable, en cualquier momento anterior a la resolución, implicará la terminación del procedimiento, salvo en lo relativo a la reposición de la situació n alterada o a la determinación de la indemnización por los daños y perjuicios causados por la comisión de la infracción. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

43/44 3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el órgano competent e para resolver el procedimiento aplicará reducciones de, al menos, el 20 % sobre el import e de la sanción propuesta, siendo éstos acumulables entre sí. Las citadas reducciones, deberán estar determin adas en la notificación de inici ac ión del procedimiento y su efectivid ad estará condicion ada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción. El porcentaje de reducción previsto en este apartado podrá ser incrementado reglamentariamente.” III Pago voluntario De conformidad con lo dispuesto en el citado artículo 85 de la LP ACAP, en la propuesta de resolución notificada se le permitía llevar a cabo el pago voluntario de la sanción propuesta, lo que supondría la reducció n de un 20% de su importe. Con la aplicación de esta reducción, la sanción quedaría establecida en 20.000,00 euros y su pago impli caría la terminación del procedimiento, sin perjuici o de la imposición de las medidas correspondientes. T ras la citada propuesta de resolución, y antes de que se dictase resolución por parte de esta autoridad, **EMPRESA.1, en fecha 30 de enero de 2026, procedió a realizar el pago voluntario, acogiéndose a la reducción del 20%. De conformidad con el apartado 3 del artículo 85 LP ACAP, la efectividad de la citada reducción estará condicionada al desistimiento o renun cia de cualquier acción o recurso en vía administrativa contra la sanción. Debe tenerse en cuenta que, de acuerdo con los preceptos de la LP ACAP, así como de la jurisprudencia del T ribunal Supremo en esta materia, el ejercicio del pago voluntario por el presunto responsable no exime a la administración de la obligación de resolver y notificar todos los procedimientos, cualquiera que sea su forma de iniciación. De igual forma, el artículo 88 de la citada norm a establece que la resolución que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los interesados y aquellas otras derivadas del mismo. Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: DECLARAR la comisión de las infracciones y CONFIRMAR las sancion es determinadas en la part e dispositiva de la propuesta de resolución transcrita en la presente resolución. La suma de las citadas cuantías arroja una cantidad total de 25. 000,00 euros. T ras haber pr ocedido **EMPRESA.1 al pago voluntario, aunque sin reconocimiento de responsabilidad, se procede, en virtud del artículo 85 de la LP ACAP, a la reducción de un 20% del total mencionado, lo cual supone la cantidad definitiva de 20. 000,00 euros. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

44/44 La efectividad de la citada reducción está condicionada, en todo caso, al desistimiento o renuncia de cualquier acción o recurso en vía administrativa. SEGUNDO: DECLARAR la terminación del procedimiento EXP202407023, de conformidad con lo establecido en el artículo 85 de la LP ACAP. TERCERO: NOTIFICAR la presente resolución a ***EMPRESA.1. CUAR TO: De acuerdo con lo previsto en el artículo 85 de la LP ACAP que condiciona la reducción por pago voluntario al desistimiento o renuncia de cualquier acción o recurso en vía administrativa, la presente resolución será fi r me en vía administrativa y plenamente ejecutiva a partir de su notificación. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez la resolución haya sido notificada a los interesados. Contra est a r esolución, que pone fin a la v ía admini strativa según lo preceptuado por el ar t. 1 14.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer recurso contencioso administrativo an te la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apar tado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día sigui ent e a la not ificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. No obstante, conforme a lo previsto en el artículo 90.3 a) de la LP ACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el ar t. 16.4 de la citada Ley 39/2015, de 1 de octubre. T ambién deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso cont encioso-administrativo. Si la Agencia no tuvi ese conocimiento de la interposición del recurso contencioso- administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. 968-101025 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es