AEPD Fines ORNITOLÓGICA DE ANDALUCÍA FOA 131,801 Euros for GDPR Violation

1/12  Expediente N.º: EXP202316565 RESOLUCIÓN DE TER MINACIÓN DEL PROCEDIMIENT O POR RECONOCIMIENT O DE RESPONSABILIDAD Y P AGO VOLUNT ARIO Del procedimiento instruido por la A gencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES PRIMERO: Con fecha 6 de agosto de 2025, la Presidencia de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a ORNITOLÓGICA DE ANDALUCÍA FOA (en adelan te, ORNITOL ÓGICA), mediante el acuerdo que se transcribe: << Expediente N.º: EXP202316565 ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR De las actuaciones practicadas por la Ag encia Española de Protección de Datos y en base a los siguientes: HECHOS PRIMERO: Con fecha 14 de septiembre de 2023 se interpuso reclamación ante la Agencia Española de Protección de Datos por una posible infracción imputable a ORNITOL ÓGICA DE ANDALUCÍA (F OA) con NIF V14336077 (en adelante, Federación ORNIT OLÓGICA, o parte reclamada). Los hechos que se pone en conocimiento de esta autoridad son los siguientes: La parte reclamada ha enviado un correo electrónico masivo a sus más de doscientas asociaciones federadas y otros particulares en los que incluye su nombre y apellidos junto con su DNI indicando que ha sido bloqueado. La plataforma P ASSERUN es una aplicación propiedad de la Federación para la gestión de Concursos Ornitológicos. Junto al escrito, se aporta copia del listado de la cabecera del correo electrónico de fecha 13/09/2023, en la que se m uestran veinticinco direcciones de corr eo destinatarias del mismo, entre ellas las siguientes: **EMAIL.1, *EMAIL.2, *EMAIL.3, *EMAIL.4, *EMAIL.5, *EMAIL.6, *EMAIL.7,EMAIL.8,EMAIL.9,EMAIL.10,EMAIL.1 1,*EMAIL.12, *EMAIL.13, **EMAIL.14.. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/12 En el texto del correo se dice: “(…)” SEGUNDO: De conformidad con el artículo 65.4 de la Ley O rgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio t raslado de dicha reclamación a ORNITOLÓGICA, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP A CAP) mediante notificación electrónica, no fue recogido por el responsable, dentro del pla zo de puesta a dispo sición, entendié ndose rechazada conforme a lo previsto en el art. 43.2 de la LP A CAP en fecha 1 de diciembre de 2023, como consta en el certificado que obra en el expediente. Posteriormente, el trasla do, se practicó conforme a las normas establecidas en la LP ACAP mediante corr eo postal certificado, fue entregado el día 14 de diciembre de 2023. No se ha recibido respuesta a este escrito de traslado. TERCERO: Con fecha 14 de diciembre de 2023, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación. CUAR T O: Consultado los datos que obran en AXESOR, se comprueba que la entidad ORNITOL ÓGICA DE ANDALUCÍA FOA, constituida en el año 2012, tuvo un importe neto de la cifra de negocios en el ejercicio 2023 de 131.801 euros. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58. 2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de contr ol y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. II Procedimiento Asimismo, el artículo 63. 2 de la LOPDGDD determina que: “Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/12 en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos”. De acuerdo con el artículo 64 de la LO PDGDD, y teniendo en cuenta las características de la presunta infracción cometida, se inicia un procedimiento sancionador. El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. T ranscurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones, de confor midad con lo establecido en el artículo 64 de la LOPDGDD. Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo podrá ser considerado propuesta de resolución, según lo establecido en el artículo 64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LP ACAP). III Cuestiones previas El artículo 4.1) del RGPD, define «dato personal» como: “toda información sobre una persona física id entificada o identificable («el interesado»); se considerará persona física i dentificable toda persona cuya identidad pu eda determinarse, directa o indirectamente, en particular m ediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propio s de la identidad física, fisiol ógica, genética, psíquica, económica, cultural o social de dicha persona”. El artículo 4.2) del RGPD, define «tratamiento» como: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, ext racción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.” El artículo 4.7) del RGPD, define al «responsable del tratamiento» o «responsable» como: “la persona fí sica o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Es tados miembros determina los f ines y medio s del tratamiento, el responsable del tratamiento o los criterios específicos para su nombrami ento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. A su vez el artículo 4.8) del RGPD determina al «encargado del tra tamiento» o «encargado» como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4. 2 del RGPD, consta la realización de un tra tamiento de datos personales, toda vez que ORNITOL ÓGICA, entre otros tr atamientos, realiza la recogida y conservación de datos personales de personas físicas: nombre y apellidos, DNI y correo electrónico. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/12 ORNITOL ÓGICA realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los f ines y medios de tal actividad, en virtud del artículo 4.7 del RGPD. IV Obligación incumplida. Integridad y Confidencialidad El artículo 5.1.f) “ Principios relativos al tratamiento ” del RGPD establece: “1. Los datos personales serán: (…) f) tratados de t al manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas t écnicas u organizativas apropiadas («integridad y confidencialidad»).” De conformidad con las evidencias de las que se dispone en este acuerdo de iniciación del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, se considera que los hechos conocidos podrí an ser constitutivos de una infracción, imputable a la parte r eclamada, por vulneración del artículo 5.1.f) del RGPD. La documentación obrante en el expediente ofrece indicios evidentes de que la parte reclamada vulneró el artículo 5.1.f) del RGPD, al no garantizar debidamente la integridad y la confidencialidad de los datos de carácter personal, toda vez que en el correo electrónico enviado en fecha 13/09/2023, al menos a 25 destinatarios, se f acilitó a los mismos el nombre, apellidos y DNI de la parte reclamante, indicando el “bloqueo” de la parte reclamante. En el presente caso, el númer o del DNI de la parte reclamante que figura en el corr eo electrónico enviado se trata de un tratamiento sobre un dato sensible, pues permite la identificación directa e inequívoca de una persona física, más aun si va acompañado del nombre. T al como establece el Real Decreto 255/ 2025, el DNI es un identificador numérico personal de caráct er general, con valor suficiente para acreditar tanto la identidad como la nacionalidad del titular, lo que lo convierte en un elemento especialmente sensible dentro del ecosistema de datos personales. Además, su utilización indeb ida conlleva un el evado riego de suplantación de identidad, daños patrimoniales o afectación al derecho al honor, riesgos expresamente contem plados en el considerando 75 del RGPD. Consta que, el traslado de la reclamación a la parte reclamada, se practicó conf orme a las normas establecidas en la LP ACAP mediante correo postal certificado, fue entregado el día 14 de diciembre de 2023, y no se ha recibido respuesta a este escrito de traslado. Por tanto, de conformidad con las evidencias de las que se dispone en este momento de acuerdo de inicio de procedimiento sancionador, se considera que los hechos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/12 conocidos podrían ser constitutivos de una infracción, imputable a O RNIT OLÓGICA, por vulneración del artículo transcrito anteriormente. V T i pificación de la infracción del artículo 5.1.f) del RGPD y calificación a efectos de prescripción. De confirmarse, la citada infracción del artículo 5.1.f) del RGPD podría suponer la comisión de las infracciones t ipificadas en el artículo 83.5 del RGPD que bajo la rúbrica “ Condiciones generales para la imposición de multas administrativas ” dispone: “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el trat amiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; (…)” A este respecto, la LOPDGDD, en su artículo 71 “ Infracciones ” establece que: “Constituyen infracciones los actos y conductas a las que se refieren los apart ados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica ”. A efectos del plazo de prescripción, el artículo 72 “ Infracciones consideradas muy graves ” de la LOPDGDD indica: “1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescr ibirán a los tres años las infracciones que supongan una vulneración sustancial de los artí culos mencionados en aquel y, en part icular, las siguientes: a) El tratamiento de datos personales vu lnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679. (…)” VI Propuesta de sanción A fin de determinar la multa administrativa a imponer se han de observar las previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan: “1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las m ultas administrativas se impondrán, en f unción de las circunstancias de cada caso i ndividual, a tít ulo adicional o sustitutivo de las medidas contempladas en el C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/12 artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la natur aleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; b) la intencionalidad o negligencia en la infracción; c) cualquier medida t omada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuent a de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32; e) toda infracción anterior cometida por el responsable o el encargado del tratamiento; f) el grado de cooperación con la autoridad de control con el f in de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas; j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evi tadas, directa o indirectamente, a través de la infracción”. Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD dispone: “1. Las sanciones previstas en los apartados 4, 5 y 6 del artí culo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo. 2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la infracción. b) La vincu lación de la actividad del infractor con la realizaci ón de tratamientos de datos personales. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente. f) La afectación a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos. h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado”. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/12 En el presente caso, considerando la gravedad de la posible infracción, atendiendo especialmente a las co nsecuencias que su co misión provoca en el afectado, correspondería la imposición de multa, además de la adopción de medidas, si procede. La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 5.1.f) del RGPD, permite fijar inicialmente una sanción de multa administrativa de 1.500 EUROS. VII Medidas correctivas De confirmarse la infracción, la resolución que se dicte podrá establecer las medidas correctivas que la entidad infractora deberá adoptar para poner fin al incumplimiento de la legislación de protección de datos personales, en este caso del artículo 5.1.f) del RGPD, de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD, según el cual cada autoridad de cont rol podrá “ ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…” Así, se podrá requerir a la entidad responsable para que adecúe su actuación a la normativa de protección de datos personales, con el alcance expresado en los anteriores Fundamentos de Derecho. En el presente acto se establece cuál es la presunta infracción cometida y los hechos que podrían dar lugar a esa posible vulneración de la normativa de protección de datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos concretos para implementarlas corresponda a la parte sancionada, pues es el responsable del tratamiento quien conoce plenamente su organización y ha de decidir, en base a la responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD. No obstante, en este caso, con independencia de lo anterior, de conformidad con las evidencias de que se dispone en el present e moment o de acuerdo de inicio de procedimiento sancionador, en la resolución que se adopte se podrá requerir a la parte reclamada para que, en el plazo de TRES MESES, a contar desde la fecha de ejecutividad de la resolución finalizadora de este procedimiento, adopte las medidas adecuadas para garantizar la confidencialidad de los datos personales, conforme a lo establecido en el artículo 5.1.f) del RGPD y con el alcance expresado en los anteriores Fundamentos de Derecho. Se advierte que no atender la posible orden de adopción de medidas impuestas por este organismo en la resolución del presente procedimiento sancionador podrá ser C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

8/12 considerado como una infracción administrativa conform e a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador. Asimismo, se recuerda que ni el re conocimiento de la infracción cometida ni, en su caso, el pago voluntario de la cuantía propuesta, eximen de la obligación de adoptar las medidas pertinentes para que cese la conducta o se corrijan los efectos de la infracción cometida y la de acreditar ante esta AEPD el cumplimiento de esa obligación. Por lo tanto, a tenor de lo anteriormente expuesto, por la Presidencia de la Agencia Española de Protección de Datos, SE ACUERDA: PRIMERO: INICIAR PROCEDIMIENT O SANCIONADOR a ORNITOLÓGICA D E ANDALUCÍA FOA con NIF V14336077, por la presunta infracción del artículo 5.1.f) del RGPD, tipi ficada conf orme a lo dispuesto en el artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción, en el artículo 72.1 a) de la LOPDGDD. SEGUNDO: NOMBRAR in structor a A.A.A. y, como secret aria, a B.B.B. indicando que podrán ser recusados, en su caso, conforme a lo establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP). TERCERO: INCORPORAR al expediente, a efectos probator ios, la reclamación interpuesta por la parte reclamante y su documentación, así como los documentos obtenidos y generados por la Subdirección General de Inspección de Datos en las actuaciones previas al inicio del presente procedimiento sancionador. CUAR T O: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre, del Procedimiento Admi nistrativo Común de las Administracion es Públicas, la sanción que pudiera corresponder sería de multa administrativa 1. 500 euros (mil quinientos euros), sin perjuicio de lo que resulte de la instrucción. QUINT O: NOTIFICAR el presente acuerdo a ORNITOLÓGICA DE ANDALUCÍA FOA con NIF V14336077, ot orgándole un plazo de audiencia de diez días hábiles para que formule las alegaciones y presente las pruebas que considere convenientes. En su escrito de alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el encabezamiento de este documento. De conformidad con lo dispuesto en el artículo 85 de la LP ACAP, en caso de que la sanción a imponer fuese de multa, podrá reconocer su responsabili dad dentro del plazo ot orgado para la formulación de alegaciones al presente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en el presente procedimiento, equivalente en este caso a 300 euros. Con la aplicación de esta reducción, la sanción quedaría establecida en 1.200 euros (mil doscientos euros), resolviéndose el procedimiento con la imposición de esta sanción. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

9/12 Del mismo modo podrá, en cualquier momento anterior a la resolución del presente procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que supondrá una reducción de un 20% del importe de esta, equivalente en este caso a 300 euros. Con la aplicación de esta reducción, la sanción quedaría establecida en 1.200 euros (mil doscientos euros) euros y su pago impli cará la terminación del procedimiento. La reducción por el pago voluntario de la sanción es acumulable a la que corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría establecido en 900 euros (novecientos euros). En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción. Si se optara por proceder al pago voluntario de cualquiera de las cantidades señaladas anteriormente (1.200 euros o 900 euros), deberá hacerlo efectivo mediante su ingreso en la cuenta Nº ES00 0000 0000 0000 0000 0000 abierta a nomb re de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A., indicando en el concepto el número de r eferencia del procedimiento que figura en el encabezamiento de este documento y la causa de reducción del importe a la que se acoge. Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de Inspección para continuar con el procedimiento en concordancia con la cantidad ingresada. Por último, se señala que conforme a lo establecido en el artículo 1 12.1 de la LP ACAP, contra el presente acto no cabe recurso administrativo alguno. Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos >> SEGUNDO: En f echa 29 de agosto de 2025, ORNIT OLÓGICA ha remitido justificante de pago de la sanción en la cuantí a de 900,00 euros haciendo uso de las dos reducciones previstas en el acuerdo de inicio transcrito anteriormente, lo que implica el reconocimiento de la responsabilidad en relación con los hechos a los que se refiere el acuerdo de ini cio y su calificación jurídica. Asimismo, junto al justifica nte de pago, remite escrito en el que narra br evemente los hechos, describe los motivos por los que la reclamación no fue at endida en su momento y manifiesta su plena disposición a colaborar con la AEPD y adoptar las medidas necesarias p ara garantizar el cumplimiento de la normativa vigente en materia de protección de datos. TERCERO: En el acuerdo de inicio transcrito ant eriormente se señalaba que, de confirmarse la infracción, podría acordarse imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de cont rol podrá “ordenar al responsable o encargado del C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

10/12 tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…”. Habiéndose reconocido la responsabilidad de la infracción, procede la imposición de las medidas incluidas en el acuerdo de inicio. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58. 2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de contr ol y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63. 2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarr ollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II T erminación del procedimiento El ar tículo 85 de la Ley 39/ 2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LP ACAP), bajo la rúbrica “ T erminación en los procedimientos sancionadores ” dispone lo siguiente: “1. Iniciado un procedimiento sancionador, si el infractor reconoce su r esponsabilidad, se podrá resolver el procedimiento con la imposición de la sanción que proceda. 2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la improcedencia de la segunda, el pago voluntario por el presunto responsable, en cualquier momento anterior a la resolución, implicará la terminación del procedimiento, salvo en lo relativo a la reposición de la situación alterada o a la determinación de la indemnización por los daños y perjuicios causados por la comisión de la infracción. 3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el órgano competent e para resolver el procedimiento aplicará reducciones de, al menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de iniciación del procedimiento y su efectividad estará condicionada al desistimiento o r enuncia de cualquier acción o recurso en vía administrativa contra la sanción. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

1 1/12 El porcent aje de reducción previsto en este apart ado podrá ser incrementado reglamentariamente.” III Pago voluntario y reconocimiento de responsabilidad De conformidad con lo dispuesto en el citado artículo 85 de la LP AC AP, en el acuerdo de inicio notificado se informaba sobre la posibilidad de reconocer la responsabilidad y de realizar el pago voluntario de la sanción propuesta, lo que supondría dos reducciones acumulables de un 20% cada una. Con la aplicación de estas dos reducciones, la sanción quedaría establecida en 900,00 euros y su pago implicaría la terminación del procedimiento, sin perjuicio de la imposición de las m edidas correspondientes. T ras la notificación del citado acuerdo de inicio, ORNITOLÓGICA ha procedido al reconocimiento de la responsabilidad y al pago voluntario de la sanción, acogiéndose a las dos redu cciones previstas. De conformidad con el apartado 3 del artículo 85 LP ACAP, la efectividad de las citadas reducciones estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción. Debe tenerse en cuenta que, de acuerdo con los preceptos de la LP ACAP, así com o de la jurisprudencia del T ribunal Supremo en est a materia, el ejercicio del pago voluntario por el presunto responsable no exime a la administración de la obligación de resolver y notificar t odos los procedimientos, cualquiera que sea su forma de iniciación. De igual forma, el artículo 88 de la citada norm a establece que la resolución que ponga f in al procedimiento decidirá todas las cuestiones planteadas por los interesados y aquellas otras derivadas del mismo. Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: DECLARAR la comisión de las infracciones y CONFIRMAR las sanciones determinadas en la part e dispositiva del acuerdo de inicio transcrito en la presente resolución. La suma de las citadas cuantías arroja una cantidad total de 1. 500,00 euros. T ras haber procedido ORNITOLÓGICA DE ANDALUCÍA FOA al pronto pago y reconocimiento de responsabilidad, se procede, en virtud del artículo 85 de la LP ACAP, a la reducción de un 40% del total mencionado, lo cual supone la cantidad definitiva de 900,00 euros. La ef ectividad de las citadas reducciones está condicionada, en todo caso, al desistimiento o renuncia de cualquier acción o recurso en vía administrativa. SEGUNDO: DECLARAR la terminación del procedimiento EXP202316565, de conformidad con lo establecido en el artículo 85 de la LP ACA P. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

12/12 TERCERO: ORDENAR a ORNITOLÓGICA DE AND ALUCÍA FOA p ara que en el plazo de 3 meses desde que la presente resolución sea firme y ejecutiva, notifique a la Agencia la adopción de las medidas que se describen en los fundamentos de derecho del acuerdo de inicio transcrito en la presente resolución. CUAR T O: NOTI FICAR la presente resolución a ORNITOLÓGICA DE ANDALUCÍA FOA. QUINT O: De acuerdo con lo previsto en el artículo 85 de la LP A CAP que condiciona la reducción por pago voluntario y reconocimiento de la responsabilidad al desistimiento o renuncia de cualquier acción o recurso en vía administrativa, la presente resolución será firme en vía administrativa y plenamente ejecutiva a partir de su notificación. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez la resolución haya sido notificada a los interesados. Contra est a r esolución, que pone fin a la vía administrativa según lo preceptuado por el art. 1 14.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuar ta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. No obstante, conforme a lo previsto en el artículo 90. 3.a) de la LP ACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar f ormalmente este hecho mediante escrito dirigido a la Agencia Española de Prot ección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16. 4 de la citada Ley 39/2015, de 1 de octubre. T ambién deberá trasladar a la Agencia la documentación que acredite la interposición ef ectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso- administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar. 1259-290925 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es