| Informe | 2022-0082 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD (Referencia: 2022-0082)**
El informe analiza la conformidad de las cláusulas de protección de datos en las condiciones generales de contratación de **Orange España Virtual S.L. (marca SYMIO)** con el **Reglamento General de Protección de Datos (RGPD)** y la **Ley Orgánica 3/2018 (LOPDGDD)**. A continuación, se destacan los puntos clave:
—
### **1. Marco normativo aplicable**
– El **RGPD** y la **LOPDGDD** exigen transparencia, licitud y lealtad en el tratamiento de datos.
– El **principio de transparencia** (art. 5.1 RGPD) exige que la información sea clara, accesible y en lenguaje sencillo.
– El **artículo 13 RGPD** especifica los datos que deben comunicarse al interesado en el momento de recoger sus datos.
—
### **2. Análisis de las cláusulas sometidas a evaluación**
La AEPD examinó tres apartados de la cláusula de protección de datos:
#### **A) Sección 13.1: Tratamiento para clientes personas físicas**
– La cláusula remite a un **»Anexo de Privacidad»** no adjuntado ni detallado en el informe.
– No se especifica la base jurídica del tratamiento ni los requisitos de consentimiento.
– Se incumple el **artículo 13 RGPD**, ya que no se detalla cómo se recaba el consentimiento ni las finalidades concretas (requisito esencial del art. 6.1 RGPD).
– El consentimiento debe ser **libre, específico e informado** (no puede condicionar la prestación del servicio).
**Conclusión:** La sección es **contraria al RGPD**, al no cumplir con los principios de transparencia y licitud.
—
#### **B) Sección 13.2: Tratamiento para clientes personas jurídicas**
– Se distinguen tres finalidades:
1. **Gestión contractual** (base jurídica: ejecución de contrato, art. 6.1.b RGPD).
2. **Comunicaciones comerciales** (base jurídica cuestionable como **interés legítimo**).
– La AEPD recuerda que para comunicaciones electrónicas (email, SMS), se exige **consentimiento expreso** (Ley 34/2002 de servicios de la información), no siendo suficiente el interés legítimo (salvo para productos similares a los contratados, art. 21 de la misma ley).
– Las comunicaciones de **terceros** no pueden justificarse con interés legítimo.
3. **Finalidades adicionales** (requieren consentimiento explícito según art. 6.1.a RGPD).
**Deficiencias detectadas:**
– Falta de claridad en la redacción de los fines y bases jurídicas.
– No se detallan los **intereses legítimos** invocados para marketing (requisito del art. 13.1.f RGPD).
– Riesgo de que el consentimiento no sea **libre ni específico** (ej. si el servicio depende de aceptarlo).
**Conclusión:** La redacción es **insuficiente** y debe ajustarse para cumplir con los principios de transparencia y licitud.
—
#### **C) Sección 13.3: Condición de encargado del tratamiento**
– La empresa se autodenomina **responsable general del tratamiento**, pero reconoce actuar como **encargada** en ciertos casos.
– La AEPD aclara que la condición (responsable/encargado) depende de la **función real** en el tratamiento (Directrices CEPD 7/2020).
– Si actúa como encargada, debe cumplir con el **artículo 28 RGPD** (obligaciones como la confidencialidad y la elaboración de un contrato de encargo).
**Conclusión:** La sección es técnicamente correcta, pero no es objeto directo del análisis de transparencia.
—
### **3. Incumplimientos detectados y recomendaciones**
La AEPD identifica los siguientes **incumplimientos** y propone medidas correctivas:
| **Incumplimiento** | **Base normativa afectada** | **Recomendación** |
|———————————–|———————————–|———————————————————————————–|
| Falta de información detallada sobre finalidades y bases jurídicas en 13.1 | Art. 13 RGPD | Especificar cada finalidad, base legal (ej. art