Sin título

Informe	2022-0081
Enlace	📋

El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la conformidad de las condiciones generales de contratación de los servicios prestados por Orange Espagne SAU bajo las marcas comerciales Orange y Jazztel con la normativa de protección de datos personales. El análisis se centra en el apartado 13 de dichas condiciones, titulado «Protección de Datos», que contiene información sobre el tratamiento de datos personales derivado de la prestación de los servicios.

El informe se basa en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos marcos normativos establecen los principios y fundamentos que deben regir la recogida y tratamiento de datos personales por cualquier entidad que realice dichas actividades.

El principio de transparencia es fundamental en el RGPD, exigiendo que toda la información y comunicación relativa al tratamiento de datos sea fácilmente accesible, comprensible y utilice un lenguaje claro y sencillo. La AEPD evalúa si las cláusulas de Orange y Jazztel cumplen con estos requisitos.

El informe destaca que las cláusulas deben proporcionar información clara sobre la identidad del responsable del tratamiento, los fines del tratamiento, la base jurídica, los destinatarios de los datos, el plazo de conservación, y los derechos de los interesados. Además, debe informarse sobre la existencia de decisiones automatizadas y la posibilidad de presentar reclamaciones ante la autoridad de control.

En el análisis, se observa que la cláusula 13.1, dedicada al tratamiento de datos cuando el cliente es una persona física, remite a un «Anexo de Privacidad» que no ha sido aportado y cuyo consentimiento se desconoce. Esto se considera contrario al RGPD, ya que no se cumple con el principio de transparencia ni se garantiza que el consentimiento sea libre, informado y específico.

La cláusula 13.2, referida al tratamiento de datos cuando el cliente es una persona jurídica, distingue varias finalidades y bases jurídicas, pero se detectan problemas en la legitimación del tratamiento basado en el interés legítimo, especialmente para comunicaciones comerciales por medios electrónicos. La AEPD recuerda que, según la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico, se requiere el consentimiento expreso para este tipo de comunicaciones.

El informe también señala que la información sobre el plazo de conservación de los datos es incompleta y que no se especifica claramente la existencia de decisiones automatizadas o la elaboración de perfiles.

Finalmente, el apartado 13.3 aborda la condición de la consultante como responsable o encargada del tratamiento, recordando que estas categorías son funcionales y dependen de las circunstancias específicas del tratamiento. La AEPD subraya que la validación de las obligaciones del encargado del tratamiento no es objeto del informe, ya que estas nacen del propio RGPD y deben ser cumplidas por el responsable y el encargado bajo el principio de responsabilidad proactiva.

En conclusión, el informe de la AEPD considera que las cláusulas analizadas no cumplen adecuadamente con los requisitos de transparencia y protección de datos establecidos en el RGPD y la LOPDGDD, y recomienda su modificación para garantizar la protección de los derechos de los interesados.