AEPD Archives Proceedings Against Orange Spain Regarding Portability

1/9  Expediente N.º: EXP202410471 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes, HECHOS PRIMERO: Con fecha 1 1 de junio de 2024 se presentó reclamación ante la Agencia Española de Protección de Datos contra O RANGE ESP AGNE, S.A.U. con NIF A82009812 (en adelante, ORANGE). Los motivos en que basa la reclamación son los siguientes: La parte reclamante manifiesta que en fecha 24/02/2024 recibió un correo electrónico de ORA NGE, empresa con la que mantiene un contrato de fibra wifi, internet, televisión y paquete futbol t otal, por el que le com unicaban que le daban de baja todos los servicios contratados, por haber solicitado la portabilidad a la firma **COMP AÑÍA.1. Pasados unos días y comprobada por la reclamante la falta de dichos servicios, esta presentó reclamación ante ORANGE, p or cuanto señala no haber solicitado dicha portabilidad y que por tanto, su número de teléfono fijo pasó a ser de un tercero. T ras dicha reclamaci ón manifiesta que ORANGE le rest ituyó los servicios que tenía contratados, si bien y ante lo que considera un uso indebido de sus datos personales, acudió a l a Comisaría de Pol icía Na cional y a la Ofici na M unicipal de información al Consumidor del A yuntamiento de su localidad para explicar y seguir indicaciones y las acciones a emprender. Para finalizar expone que *COMP AÑÍA.1 no satisfizo ninguna respuesta ante sus reclamaciones. Junto a la reclamación aporta: - Correo de fecha 27/02/2024, 18:20h, cuyo asunto es “ Petición de contrato de portabilidad”. Se reproduce el correo por su interés: “ (…) Para: (…) A.A.A. con DNI *NIF.1 domicilio en *DIRECCIÓN.1, exijo me envíen contrato de por tabilidad pedida por **COMP AÑÍA.1 a Orange en mi nombre, portabilidad que en ningún caso, yo he solicitado. Por tanto, y porque alguien debió hacer uso de mis datos personales, es por lo que presentaré la correspondiente denuncia en Comisaria de la Policía Nacional. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/9 Me reitero que, a la mayor brevedad, envíen dicho contrato del número fijo **TELÉFONO.1 que corresponde a mi domicilio arriba expresado con todos los servicios contratados con Orange y satisfechos los pagos al día de la fecha. *LOCALIDAD.1, 27 de febrero de 2024” - El segundo correo que adjunta la reclamante, no se reproduce por ser el mismo que el anterior. Por su parte, mediante escrito de fecha 25/04/2024 y ante una reclamación presentada por la reclamante ante la OMIC del A yuntamiento de *LOCALIDAD.1, *COMP AÑÍA.1 adjunta copia de la carta remitida a la reclamante, por la que se le informa de que “ no podemos aportarle información de datos de otro abonado”. SEGUNDO: De conformidad con el artículo 65.4 de la Ley O rgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a ORANGE para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP), fue recogido en fecha 18/07/2024 como consta en el acuse de recibo que obra en el expediente. Con fecha 31/07/2024 se recibe en esta Agencia escrito de respuesta indicando que: - “Se recibieron dos reclamaciones Oficiales interpuestas ante el Ayuntamiento de *LOCALIDAD.1 por parte de A.A.A. en relación con la supuesta portabilidad realizada en su nombre y que afectaba a la contrat ación de su numeración.” - “El inicio de la portabilidad de la línea fija de la reclamante tuvo lugar con motivo de un error comercial al anotar el número a portar. Quien ef ectivamente solicitó la portabilidad no indi có, pese a remitirle en la ofer ta un número fijo erróneo no señaló que existiese error alguno en el mismo y ello dio lugar a la continuación de la portabilidad.” - Una vez que tuvieron conocimiento de lo sucedido a partir de las reclamaciones oficiales recibidas ello se puso en conocimiento de la reclamante, desvinculando y devolviendo a la mayor brevedad posible la numeración fija de la misma a Orange.” Aporta ORANGE carta de fecha 25/04/2024, de respuesta por parte de *COMP AÑÍA.1 al Ayuntamiento de *LOCALIDAD.1, por la que acusa recibo de la reclamación presentada y adjunta carta de respuesta a la reclamante. El contenido de dicha carta es el siguiente: “ Estimada Sra. A.A.A.: Acusamos recibió de su escrito referente a la reclamación presenta en el Ayuntamiento de *LOCALIDAD.1, en la que solicita el envío del contrato realizado y las facturas emitidas con *COMP AÑÍA.1 de la línea **TELÉFONO.1, a su nombre. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/9 T ras el nuevo estudio realizado, le informamos de que la línea **TELÉFONO.1 constaba activa en *COMP AÑÍA.1 a nombre de otro titular y fue dada de baja por portabilidad hacia Orange con fecha 27/02/2024. Por lo expuesto y conforme a lo dispuesto en el Nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, de Protección de Datos de Carácter Personal, no podemos aportarle información de datos de otro abonado. Del mismo modo, le confirmamos que desde el 27/02/ 2024 la línea * *TELÉFONO.1 consta activa a su nombre con Orange. Por otro lado, le trasladamos nuest ras más sinceras disculpas por las molestias que esta incidencia le haya podido causar, confiando en que sigamos siendo merecedores de su confianza. Para finalizar l e recordamos que a día de hoy se encuentra al corrie nte de pago en marca ***COMP AÑÍA.1. ” TERCERO: Con f echa 1 1/ 09/2024 de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. CUAR TO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las f unciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Secci ón segunda, de la LOPDGDD, teniendo conocimiento de los siguientes extremos: - Co n fecha 28/1 1/2024 se solicitó por esta Agencia a ORANGE, inform ación sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fechas de implantación y controles efectuados para com probar su eficacia. Con fecha 17/12/2024 tuvo entrada escrito de respuesta en el que el representante de la entidad manifiesta lo siguiente: La incidencia reclamada es debido a un error humano que ya está previsto en sus procedimientos. Aportan copia del documento ESPECIFICACIÓN TÉCNICA DE LOS PROCEDIMIENTOS ADMINISTRA TIVOS P ARA LA CONSERV ACIÓN DE LA NUMERACIÓN GEOGRÁFICA Y DE SER VICIO S DE T ARIF AS ESPECIALES Y DE NUMERACIÓN PERSONAL EN CASO DE CAMBIO DE OPERADOR (PORT ABILIDAD F IJA), en la que en su apartado 4) del punto 8.2 contempla el siguiente tipo de incidencia que debe abrir aquel operador que haya portado por error una numeración. Con dicha incidencia avisa al operador afectado con el objetivo de recuperar la numeración: “ (…) • (…). • (…). • (…). C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/9 FUNDAMENT OS DE DERECHO I Competencia De acuerdo con las funciones que el artículo 57.1 a), f) y h) del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD) confiere a cada autoridad de control y según lo dispuesto en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para resolver est as actuaciones de investigación la Presidencia de la Agenci a Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Regl amento (UE) 2016/679, en la pr esente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Seguridad del tratamiento El artículo 32 del RGPD estipula lo siguiente: "1. T eniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el context o y los fines del tra tamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personal es de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los rie sgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales tr ansmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demos trar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/9 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que est é obligada a ello en virtud del Derecho de la Unión o de los Estados miembros." III Integridad y confidencialidad La letra f) del artículo 5.1 del RGPD propugna: "1. Los datos personales serán: (…) f) tr atados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autor izado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de m edidas t écnicas u organizativas apropiadas («integridad y confidencialidad»)." IV Conclusión El Considerando 129 del RGPD indica que “[…] Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garant izar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto…” La Sentencia del T ribunal de Just icia de la Unión Europea (STJUE) de 26/09/2024, en el asunto C-768/2021, señala (el subrayado es de la AEPD): “37. A este respecto, ha de señalarse que el RGPD deja a la autoridad de control un margen de apreci ación en cuanto a la man era en que debe subsanar l a deficiencia constatada, puesto que el artículo 58, apartado 2, del mismo confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el T ribunal de Justicia ya ha declarado que la elección del medio adecuado y necesario corresponde a la autoridad de control, que debe realizar tal elecci ón tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD (véase, en este sentido, la Sentencia de 16 de julio de 2020, Facebook I reland y Schrems,C- 31 1/18, EU:C:2020:559, apartado 1 12). 38. Sin embargo, este margen de apreciación está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas, como se desprende de los Considerandos 7 y 10 del RGPD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/9 39. Por lo que se refiere, más concretamente, a las multas admini strativas contempladas en el artículo 58, apartado 2, letra i), del RGPD, del artículo 83, apartado 2, de este Reglamento resulta que aquellas se imponen, según las características propias de cada caso, con carácter adicional o en sustitución de las demás medidas previstas en el citado ar tículo 58, apartado 2. Además, ese mismo artículo 83, a partado 2, precisa que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual, la autoridad de control debe tener debidamente en cuenta los elementos que f iguran en las letras a) a k) de esta disposición, como la naturaleza, la gravedad y la duración de la infracción” (…) 41. En consecuencia, no puede deducirse ni del artículo 58, apartado 2, del RGPD ni del artículo 83 de este la existencia de una obligación a cargo de la autoridad de control de adoptar, en todos los casos, cuando constate una violación de la seguridad de datos personales, una medida correctora, en particular una multa administrativa, siendo su obl igación, en tales ci rcunstancias, r eaccionar adecuadamente para subsanar la deficiencia constatada. (…) En estas circunstancias, como señaló el Abogado General en el punto 81 de sus conclusiones, el autor de una reclamación cuyos derechos han sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una multa administrativa al responsable del tratamiento. (…)” “43. A este respecto, no se excluye que, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, la autoridad de control pueda abstenerse de adoptar una medida correctora aunque se haya constat ado una violación de la seguridad de datos personal es. T al puede ser el caso, en particular, cuando la violación constatada no haya persistido, por ejemplo cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas en el sentido del artículo 24 del RGPD, haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, habida cuenta de las obligaciones que le i ncumben, en particular, en virt ud de los artículos 5, apart ado 2, y24 del mencionado Reglamento. 44. La interpretación según la cual la autoridad de control, cuando constata una violación de la seguridad de datos personales, no está obligada a adoptar en todos los casos una medida correctora con arreglo al artículo 58, apartado 2, del RGPD se ve corroborada por los objetivos persegui dos por este artículo 58, apartado 2, y por el artículo 83 de dicho Reglamento, respectivamente. 45. Por lo que respecta al objetivo perseguido por el artículo 58, apartado 2, del RGPD, del Considerando 129 de este se desprende que esta disposición tiene por objeto garantizar la conformidad del tratamiento de datos personales con dicho Reglamento y la regularización de las situaciones de incumplimiento de este para que se ajusten al Derecho de la Unión, mediante la intervención de las autoridades de control nacionales (Sentencia de 14 de mar zo de 2024, Újpesti Polgármesteri Hivatal,C-46/23, EU:C:2024:239, apartado 40). 46. De lo anterior se infiere que la adopción de una med ida cor rectora puede, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, no imponerse, siempre que la situación de infracción del RGPD ya haya sido C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/9 subsanada y que se garantice la conformidad de los tratamientos de datos personales con dicho Regl amento por su responsable y que tal abstención de la autoridad de control no menoscabe la exigencia de una aplicación rigurosa de las normas, tal como se ha recordado en el apartado 38 de la presente sentencia.” El TJUE incide, por tanto, en el margen de apreciación que tienen las autoridades de control para, en el ejercicio de sus funciones, desarrollar y optar entre los poderes atribuidos por el artículo 58 del RGPD, teniendo en cuenta las circunstancias del caso concreto, así como velando por el pleno respeto del RGPD. La consigna que debe regir siempre la actuación de una autoridad de cont rol es asegurar un nivel alto de protección de los datos personales. Así, cabe que, aun cuando se hubiera constatado o se tuvieran indicios de que se ha producido una vulneración en materia de protección de datos, las autoridades de control se abstengan de ejercitar sus poderes correctivos cuando esta presunta infracción hubiera sido subsanada y se garantice la conformidad de los tratamientos de datos personales con el RGPD. Lo señalado por el TJUE en la Sentencia antes citada, refuerza la idea de proporcionalidad de actuación de las autoridades de cont rol que se recoge, con anterioridad a que fuera dictada la mencionada Sentencia, en los artículos 65.4 y 65.6 de la LOPDGDD, por los que se permite a la AEPD, en atención a las circunstancias del caso concreto, la inadmisión a trámite o el archivo de reclamaciones, cuando, tras el traslado de las mismas al responsable del tratamiento, éste demostrara haber adoptado medidas para el cumplimiento de la normativa aplicable. En el presente caso, los hechos que impulsaron el inicio de actuaciones previas de investigación, t ras la recepción de una reclamación, se referían a que la parte reclamante r ecibió un correo electrónico de ORANGE, empresa con la que mantiene un contrato de telefonía, por el que se le inform a que daban de baja todos los servicios por una solicitud de portabilidad a la ma rca ***COMP AÑÍA.1, que la reclamante no había solicitado ORANGE afirma que la incidencia se produce como consecuencia de un error humano, al introducir el empleado un número de t eléfono fijo err óneo, durante el proceso de portabilidad solicitado por otro cliente y que cuando tuvieron conocimiento de dicho error, procedieron a restaurar todos los servicios a la reclamante, como así lo reconoce la propia reclamante en su escrito. De ello de desprendería que ORANGE reconocería su culpabilidad en los hechos reclamados y que procedió a subsanarlo de forma diligente. Asimismo, ORANGE acredita que, con anterioridad a los hechos, tenía implantados procedimientos adecuados de act uación en la recogida y tratamiento de los datos de carácter personal y que esta incidencia ya estaba prevista en sus procedimientos, aportando copia de un documento técnico, referido con anterioridad, en el que se contempla el tipo de incidencia que debe abrir aquel operador que hubiese portado por error una numeración, con el obj etivo de recuperarla. Es decir, que ORANGE habr ía aplicado m edidas técnicas y organizativas apropiadas, t an pronto como tuvo conocimiento de los hechos, para devolver los servicios a la ahora reclamante, en concreto su número de línea telefónica. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

8/9 Y por lo que se refiere a las fechas, la parte reclamante manifiesta haber recibido el correo de portabilidad de su línea telefónica a **COMP AÑÍA.1 en fecha 24/02/2024 y que pasados unos días comprobó la falta de los servicios. ORANGE y *COMP AÑÍA.1 confirman que el 27/02/2024 se habría solucionad o lo relativo a la indebida portabilidad. Es de r eseñar, el correo electrónico de fecha 27/02/2024 que la recla mante envió a *COMP AÑÍA.1 (…), con quien manifiesta no tener contratado el servicio de telefonía. En dicho correo la reclamante, se identifica con su nombre, apell idos, DNI, dirección postal, dirección de correo electrónico y número de teléfono, solicitando el contrato de portabilidad, de un tercero, al que se habría adjudicado su número de teléfono. Pues bien, ORANGE y no la reclamante, aporta la carta de respuesta de *COMP AÑÍA.1 a dicha pet ición, en la que se le contesta que “ no podemos aportarle información de datos de otro abonado, conforme al vigente RGPD, así como le ratifica que desde el 27/02/2024 la línea * *TELÉFONO.1 consta activa a su nombre con Orange”. En consecuencia, de conformidad con la citada sentencia STJUE y atendiendo a las singulares circunstancias que conforman es te caso, esta Agencia considera que no procede el despliegue de sus poderes correctivos previstos en el artículo 58 del RGPD. T odo ello sin perjuicio de las posibles actuaciones posteriores que est a Agencia pudiera llevar a cabo, aplicando los poderes de investigación y correctivos que ostenta. Así pues, al no haber sido posible atribuir responsabilidad por el tr atamiento y de acuerdo con lo señalado por la Presidencia de la Agencia Española de Protección de Datos, SE ACUERDA: PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones. SEGUNDO: NOTIFICAR la presente resolución a ORANGE ESP AGNE, S.A.U. y a la parte reclamante. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se r ealizará una vez haya sido notificada a los interesados. Contra est a resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 1 14.1.c) de la Ley 39/2015, de 1 de oct ubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 1 12 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el dí a siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

9/9 940-101025 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es