| Informe | 2022-0068 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD sobre las condiciones de protección de datos de O2 FIBRA**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD), con referencia **2022-0068**, analiza la conformidad de las condiciones generales de contratación de los servicios de **O2 FIBRA** (prestados por **Telefónica de España, S.A.U.** bajo la marca O2) con la **normativa de protección de datos**, concretamente con el **RGPD (Reglamento UE 2016/679)** y la **LOPDGDD (Ley Orgánica 3/2018)**.
### **Principios clave evaluados**
1. **Transparencia y derecho a la información (Art. 12 RGPD y 11 LOPDGDD)**
– El sistema de información debe ser **claro, accesible y comprensible**, facilitando al usuario una **primera capa de información básica** (identidad del responsable, finalidades del tratamiento, derechos del interesado, etc.) y una **segunda capa con detalles** (disponible en [www.O2online.es/privacidad](http://www.O2online.es/privacidad)).
– La AEPD considera que la **primera capa cumple mínimamente** con lo exigido (responsable, finalidades, derechos y destinatarios), pero **aporta recomendaciones de mejora** para garantizar una información más precisa.
2. **Corresponsabilidad en el tratamiento (Art. 26 RGPD)**
– Telefónica de España, S.A.U. y Telefónica Móviles España, S.A.U. son **corresponsables** del tratamiento de datos de los clientes O2.
– **Problemática identificada**: No se informan con claridad los **aspectos esenciales del acuerdo de corresponsabilidad** ni se especifica qué entidad trata qué datos en función del servicio contratado.
– **Recomendación**: Incluir un enlace directo a los detalles del acuerdo o una explicación clara sobre las responsabilidades de cada entidad.
3. **Fines del tratamiento y base jurídica (Art. 13.1.c RGPD)**
– Se mezclan en la cláusula **diferentes bases jurídicas** (consentimiento y ejecución contractual), lo que puede generar confusión en el usuario sobre si debe autorizar tratamientos no necesarios.
– **Crítica concreta**: Algunas finalidades (ej. marketing, perfiles comerciales) **no son necesarias para ejecutar el contrato**, por lo que deben basarse en **intereses legítimos o consentimiento libre e informado**.
– **Recomendación**: Reestructurar la información para diferenciar claramente qué datos se tratan bajo **necesidad contractual** y cuáles requieren **consentimiento específico**.
4. **Destinatarios y transferencias internacionales (Art. 13.1.e y f RGPD)**
– La cláusula cumple con lo exigido, informando sobre **proveedores de confianza, sistemas de crediticia y transferencias internacionales**, con enlaces a información detallada.
5. **Plazos de conservación y derechos (Art. 13.2.a y b RGPD)**
– Se informa de los plazos de conservación y los **derechos del usuario** (acceso, rectificación, supresión, etc.), incluyendo la posibilidad de presentar reclamaciones ante la AEPD.
6. **Decisiones automatizadas y perfiles (Art. 13.2.f RGPD)**
– Se menciona que tales tratamientos requieren **consentimiento explícito**, pero **falta claridad** sobre qué decisiones automatizadas se aplican y su impacto.
### **Conclusiones y medidas correctivas**
– **Problemas detectados**:
– **Falta de transparencia** en la corresponsabilidad y en la asignación de responsabilidades según el servicio.
– **Falta de precisión** en la base jurídica del tratamiento (mezcla de consentimiento y ejecución contractual).
– **Información confusa** sobre finalidades no esenciales para el contrato.
– **Omisión parcial** de detalles sobre decisiones automatizadas y perfiles.
– **Recomendaciones de la AEPD**:
1. **Especificar los aspectos esenciales del acuerdo de corresponsabilidad** (quién trata qué datos y para qué).
2. **Separar claramente** en las finalidades qué tratamientos son necesarios por contrato y cuáles requieren consentimiento.
3. **Detallar los tratamientos automatizados con perfiles**, incluyendo la lógica aplicada y sus consecuencias.
4. **Evitar formulas ambiguas