GDPR Fine of €4,000,000 Imposed on MODEL REYNA, C.B.

1/8  Expediente N.º: EXP202503671 RESOLUCIÓN DE PROCEDIMIENT O SANCIONADOR Del procedimiento instruido por la Ag encia Española de Protección de Datos y en base a los siguientes ANTECEDENTES PRIMERO: Como consecuencia de reclamación presentada ante la Agenci a Española de Protección de Datos contra MODEL REYNA, C.B. con NIF E84934280 (en adelante, M.R.), apreciándose indicios de un posible incumplimiento de las norm as en el ámbito de las competencias de la Agencia Española de Prot ección de Datos, se iniciaron actuaciones con número de expediente EXP202406129. De acuerdo con lo previsto en el artículo 65 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD en lo sucesivo), se trasladó la reclamación al responsable o al Delegado de Protección de Datos que en su caso hubiere designado, solicitándole que remitiera a esta Agencia la información y documentación que se indicaba. El traslado, que se notificó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP) mediante notificación electrónica, no fue recogido por el responsable dentro del plazo de puesta a disposición, como consta en el acuse de recibo que obra en el expediente, entendiéndose por tanto rechazado y efectuado el trámite conforme a lo previsto en los artículos 43.2 y 41.5 de la LP ACAP en f echa 3 de mayo de 2024. Aunque la notificación se practicó válidamente por medios electrónicos, a título informativo se envió una copia por correo postal, resultando entregado el traslado con fecha 29 de mayo de 2024, como consta en el acuse de recibo que obra en el expediente. Con fecha 10 de julio de 2024, de confor midad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante. SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 58. 1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la citada LOPDGDD. En el marco de las actuaciones de investigación, se remitió por dos veces a M.R. un requerimiento de información, relativo a la reclamación indicada en el apartado primero, para que, en el plazo de diez días hábiles, presentase ante esta Agencia la información y documentación que se señalaban. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/8 TERCERO: El referido requerimiento se notificó las dos veces conforme a las normas establecidas en la LP ACAP. La primera vez, el requerimiento de información se notificó por medios electrónicos, no siendo recogido por el responsable dentro del plazo de puesta a disposición, como consta en el acuse de recibo que obra en el expediente, y entendiéndose por tanto rechazado y efectuado el trámite conforme a lo previsto en los art. 43.2 y 41.5 de la LP ACAP en fecha 6 de octubre de 2024. La segunda vez, el r equerimiento de información se envió por correo postal y fue recogido por M.R. con fecha 14 de noviembre de 2024, como consta en el acuse de recibo que obra en el expediente. CUAR TO: Respecto a la información requerida, M.R. no ha remitido respuesta alguna a esta Agencia Española de Protección de Datos. QUINT O: Con f echa 30 de marzo de 2025, el Presidente de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a M.R., con arreglo a lo dispuesto en los artículos 63 y 64 de la LP ACAP, por la presunta infracción del artículo 58.1 del RGPD, tipificada en el artículo 83.5 del RGPD. SEXT O: El acuerdo de inicio fue not ificado a M.R. con fecha 8 de abril de 2025, como consta en el acuse de recibo que obra en el expediente. SÉPTIMO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LP ACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por parte de M.R. El artículo 64.2.f) de la LP ACAP -disposición de la que se informó a M.R. en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de r esolución. En el presente caso, el acuerdo de inicio del expediente sanci onador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribui da a M.R. y la sanci ón que podría imponerse. Por ello, tomando en consideración que M.R. no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LP ACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución. OCT A VO: De acuerdo con el informe recogido de la herramienta AXESOR, la entidad MODEL REYNA, C.B. es una comunidad de bienes constituida en el año 2010 y con un volumen de negocios de 298.502 euros en el año 2023. A la vista de todo lo actuado, por part e de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/8 HECHOS PROBADOS PRIMERO: El requerimiento de información indicado en los antecedentes segundo y tercero fue notificado con arreglo a lo dispuesto en la LP ACAP. SEGUNDO: M.R. no ha respondido al requerimiento de información efectuado por esta Agencia en el marco de las actuaciones de investigación del expediente EXP202406129. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autor idad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68. 1 de la LOPDGDD, es competente para iniciar y resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD det ermina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Obligación incumplida A t enor de los hechos expuestos, se considera que M.R. no ha procurado a la Agencia Española de Protección de Datos la información que le requirió. Con la señalada conducta de M.R., la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control, en este caso, la AEPD, se ha visto obstaculizada. Por tanto, los hechos descritos en el apart ado de “Hechos probados” se est iman constitutivos de una infracción, imputable a la M. R., por vulneración del artículo 58.1 del RGPD, que dispone que cada autoridad de control dispondrá, entre sus poderes de investigación: “ a) ordenar al re sponsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones.” III T ipificación y calificación de la infracción C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/8 Esta infracción se tipifica en el artículo 83.5.e) del RGPD, que considera como t al: “ no facilitar acceso en incumplimiento del artículo 58, apartado 1. ” En el mismo artículo se establece que esta infracción puede ser sancionada con multa de veinte millones de euros (20.000.000 €) como máximo o, tratándose de una empresa, de una cuantí a equivalente al cuatro por ciento (4%) como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. A efect os del plazo de prescripción de las infr acciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta: “ ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autor idad de protección de datos para el ejercicio de sus poderes de investigación. ” IV Sanción A fin de determinar la multa administrativa a imponer se han de observar las previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan: “1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las m ultas administrativas se impondrán, en f unción de las circunstancias de cada caso individual, a tít ulo adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; b) la intencionalidad o negligencia en la infracción; c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuent a de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32; e) toda infracción anterior cometida por el responsable o el encargado del tratamiento; C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/8 f) el grado de cooperación con la autoridad de control con el f in de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida; i) cuando las medidas indicadas en el artí culo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas; j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como l os beneficios financieros obtenid os o las pérdi das evitadas, directa o indirectamente, a través de la infracción”. Por su parte, el artículo 76 “Sanciones y medidas corr ectivas” de la LOPDGDD dispone: “1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción. b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de f usión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado”. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/8 Asimismo, para garantizar una aplicación coherente del RGPD, se han de tom ar en consideración las Directrices 04/2022 formuladas por el Comité Europeo de Protección de Datos sobre el cálculo de multas bajo el RGPD. En este caso, considerando la gravedad de la infracción, atendiendo especialmente a las consecuencias que su comisión provoca en los afectados, corresponde la imposición de multa, además de la adopción de medidas. La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar estos principios, se considera, con carácter previo, el volumen de negocio de M.R. El RGPD prevé importes máximos en el artículo 83, apartados 4 a 6, en el que se agrupan varios tipos de conducta diferentes. A este r especto, se reseña que la infracción determinada en este procedimiento se tipifica en el artículo 83.5 del RGPD, por tanto dentro del conjunto de infracciones de mayor gravedad que cuentan con un rango sancionador más alto. Finalmente, se ha de señalar la gravedad de la infracción con arreglo al artículo 83.2.a), por su naturaleza, dados los intereses pr otegidos y su lugar en el marco de la protección de los datos personales. Al no presentar una respuesta adecuada al requerimiento de inform ación realizado, se desobedecen los poderes de investigación de los que el RGPD dota a las aut oridades de control, y así se obstaculiza la función de control encomendada por el RGPD a est as, impidiendo supervisar la efectiva aplicación del RGPD y el cumplimiento de los objetivos que persigue. A tenor de los hechos expuestos, se considera que corresponde imputar una sanción a M.R. por la vulneración del artí culo 58.1 del RGPD tipificada en el artículo 83.5 e) del RGPD. La sanción que corresponde imponer es de multa administrativa por un importe de 3.000,00 euros. Por lo tanto, de acuerdo con la legislación aplicabl e, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: IMPONER a MODEL REYNA, C.B., con N IF E84934280, por una infracción del artículo 58.1 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa de 3.000,00 euros (TRES MIL euros). SEGUNDO: O RDENAR a MODEL REYNA, C.B., con NIF E84934280, que en virt ud del artículo 58.1.a) del RGPD, se facilite, en el plazo de diez días hábiles desde que la presente resoluci ón sea firme y ejecutiva, la información requerida en los requerimientos realizados en el marco de las actuaciones con número de expediente EXP202406129 y a los que se ha hecho referencia en los antecedentes de esta resolución. Se advi erte que no atender los requerimientos de este organismo puede ser considerado como una infracción administrativa conform e a lo dispuesto en el RGPD, C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/8 tipificada como infracción en su artículo 83.6, pudiendo m otivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador. TERCERO: NOTIFICAR la presente resolución a MODEL REYNA, C.B. CUAR TO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso potestativo de reposición (un mes a contar desde el día siguiente a la notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad. Se advierte al sancionado que deberá hacer ef ectiva la sanción impuesta una vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LP ACAP), en el plazo de pago voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de procedimiento que figura en el encabezamiento de este documento, en la cuenta restringida n.º IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT: CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su recaudación en período ejecutivo. Recibida la notificación y una vez ejecutiva, si la f echa de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conf ormidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido not ificada a los interesados. Contra est a resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LP ACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LP ACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Ag encia Española de Protección de Datos, presentándolo a través del Registro El ectrónico de la Agencia [https://sedeaepd.gob.es/ sede-electronica- web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

8/8 citada Ley 39/2015, de 1 de octubre. T ambién deberá trasladar a la Agencia la documentación q ue acredite l a interposici ón efectiva del recurso contencioso- administrativo. Si la Agencia no t uviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. 938-100325 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es