| Informe | 2023-0022 |
| Enlace | 📋 |
**Resumen del informe jurídico de la AEPD (Informe 0022/2023)**
El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) evaluó la conformidad de las condiciones generales de contratación y la política de privacidad de **Orange España Virtual S.L. (marca SYMIO)** con el **Reglamento General de Protección de Datos (RGPD)** y la **Ley Orgánica 3/2018 (LOPDGDD)**.
### **Principales hallazgos y conclusiones desfavorables**
1. **Falta de transparencia y licitud en el consentimiento (art. 6.1 y 7 RGPD):**
– La cláusula **13.1** sobre tratamiento de datos de clientes personas físicas remite a un «Anexo de Privacidad» no detallado en la consulta inicial. Aunque se aportó posteriormente, se criticó su redacción genérica, que no especifica claramente las finalidades del tratamiento ni las bases jurídicas aplicables.
– **Problemas con el consentimiento:** Se cuestionó si el consentimiento para el tratamiento de datos (por ejemplo, para envío de comunicaciones comerciales) es **libre, específico e informado**, tal como exige el RGPD. La AEPD recordó que el consentimiento no puede ser condición imprescindible para la prestación del servicio (art. 7.4 RGPD) y que su revocación no debe afectar al servicio contratado.
2. **Base jurídica insuficiente para tratamientos (art. 6.1 RGPD):**
– Se detectaron tratamientos no claramente justificados:
– **Interés legítimo (art. 6.1.f RGPD):** Algunas finalidades (como análisis de tráfico o envío de encuestas) no se consideraron esenciales para la ejecución del contrato, por lo que deberían basarse en interés legítimo con un **juicio de ponderación** (ej.: mejora del servicio).
– **Profiling y comunicaciones comerciales a terceros:** Se cuestionó el uso del interés legítimo para elaborar perfiles comerciales basados en datos externos a la relación contractual o para compartir datos con empresas del grupo para publicidad. La AEPD consideró que, en estos casos, **el consentimiento es la base jurídica más adecuada**.
3. **Falta de información clara (art. 12 y 13 RGPD):**
– **Identificación del responsable:** Se cumplió, pero la información adicional en la política de privacidad fue ambigua en aspectos técnicos (ej.: «perfiles comerciales básicos»).
– **Finalidades y bases jurídicas:** No se detalló suficientemente la **lógica aplicada** en el *profiling* ni las consecuencias para los usuarios, incumpliendo el art. 13.2.f RGPD.
– **Transferencias internacionales:** Se informó de forma insuficiente sobre garantías en cesiones a proveedores fuera del EEE (art. 46 RGPD).
4. **Derechos de los afectados y transparencia:**
– Se omitió información sobre la **procedencia de los datos** (art. 13.2.f RGPD) y no se detalló correctamente el **plazo de conservación** de los datos para clientes personas jurídicas.
– **Decisiones automatizadas:** No se comunicó claramente la existencia de *profiling* ni se ofreció el derecho de oposición (art. 21 RGPD).
5. **Cláusula de encargado del tratamiento (13.3):**
– La autoatribución de esa condición por parte de SYMIO no garantiza por sí misma el cumplimiento del RGPD. La AEPD recordó que la responsabilidad depende de **quién determine los fines y medios del tratamiento** (art. 4.7 RGPD).
### **Recomendaciones**
– **Rediseñar las cláusulas** para cumplir con los principios de **transparencia**, **licitud** y **minimización de datos**.
– **Separar granularmente el consentimiento** para cada finalidad (ej.: marketing, *profiling*).
– **Justificar el interés legítimo** con un análisis detallado de las expectativas del usuario.
– **Detallar la lógica del *profiling*** y proporcionar información significativa sobre sus consecuencias.
– **Asegurar la revocabilidad del consentimiento** sin afectar al servicio.
### **Consecuencias**
El informe considera **desfavorable** la situación actual y advierte de posibles infracciones graves (art. 83.5 RGPD). SYMIO debe corregir las deficiencias para evitar sanciones.