| Informe | 2021-0081 |
| Enlace | 📋 |
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la conformidad de las nuevas condiciones generales y de privacidad de la marca LEBARA con la normativa de protección de datos personales, específicamente en relación con la prestación del servicio telefónico móvil de modalidad prepago. A continuación, se presenta un resumen de aproximadamente 500 palabras.
El informe se centra en la «Política de Privacidad de Clientes LEBARA», accesible a través de su sitio web, y evalúa su adecuación al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos marcos legales establecen los principios y fundamentos para la recogida y tratamiento de datos personales por cualquier entidad que realice dichas actividades.
El RGPD introduce modificaciones significativas en la normativa de protección de datos, especialmente en lo relativo al principio de transparencia y al derecho de información de los afectados. Según el artículo 12.1 del RGPD, la información debe ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. El artículo 13 del RGPD especifica el contenido de la información que debe proporcionarse a los interesados, incluyendo la identidad del responsable del tratamiento, las finalidades del tratamiento, los destinatarios de los datos, el plazo de conservación, y los derechos de los interesados.
El documento analizado incluye una cláusula sobre protección de datos (cláusula 9) que aborda cuestiones como la identidad del responsable del tratamiento, las finalidades del tratamiento, los destinatarios de los datos, las transferencias internacionales, el plazo de conservación y los derechos de los interesados. Sin embargo, el informe destaca varias deficiencias y áreas de mejora.
En primer lugar, el apartado «Responsable del Tratamiento» no menciona la existencia de un Delegado de Protección de Datos (DPO), lo cual es necesario para cumplir con las exigencias de transparencia e inteligibilidad del artículo 12.1 del RGPD. Además, la cláusula no desarrolla con la debida amplitud los detalles relativos a la responsabilidad de los tratamientos realizados por la operadora.
En cuanto a las finalidades del tratamiento de datos, el documento enumera catorce tipos de finalidades, cada una con su base jurídica correspondiente. Las finalidades relacionadas con la gestión de la relación contractual y la prestación de servicios de telecomunicaciones se consideran necesarias e inherentes a la prestación del servicio, y están legitimadas por la relación contractual (artículo 6.1 b) del RGPD). Sin embargo, el tratamiento de datos de localización asociados al tráfico debe basarse en el consentimiento específico de los usuarios, según el artículo 48.2.c) de la Ley General de Telecomunicaciones.
El informe también analiza las finalidades basadas en el interés legítimo de la operadora, como la verificación de información y la prevención del fraude. Estas finalidades se consideran conformes con el artículo 6.1 f) del RGPD, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.
En cuanto a las transferencias internacionales de datos, la operadora asegura contar con garantías adecuadas, como cláusulas contractuales tipo aprobadas por la Comisión Europea o Normas Corporativas vinculantes. Sin embargo, el informe señala la necesidad de incluir información sobre los medios para obtener una copia de estas garantías.
El documento también aborda la conservación de los datos, indicando que se conservarán mientras se mantenga la relación contractual y se bloquearán posteriormente. El informe destaca la necesidad de cumplir con el artículo 32 de la LOPDGDD, que regula el bloqueo de los datos y su destrucción tras el plazo de prescripción de las responsabilidades.
Finalmente, el informe evalúa la cláusula sobre el ejercicio de los derechos de los interesados, que se considera conforme con la normativa aplicable. La cláusula hace referencia a los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como al derecho a revocar el consentimiento y a interponer una reclamación ante la AEPD.
En resumen, el informe concluye que el documento de «Política de Privacidad de Clientes LEBARA» debe ser modificado para cumplir con las exigencias del artículo 13 del RGPD y adaptarse a las observaciones realizadas. Estas modificaciones deben surtir efecto tanto en la versión web como en la versión en formato PDF del documento.