| Informe | 2023-0023 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD (2023-0023) sobre las condiciones generales de Orange y Jazztel**
El informe **2023-0023** del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) evalúa la conformidad de las **condiciones generales de contratación** y las **políticas de privacidad** de **Orange España (marcas ORANGE y JAZZTEL)** con el **Reglamento General de Protección de Datos (RGPD)** y la **Ley Orgánica 3/2018 (LOPDGDD)**. A continuación, se destacan los aspectos clave:
—
### **1. Antecedentes y marco legal**
– En **2022**, la AEPD emitió el **Informe 81/2022**, que ya identificaba **incumplimientos** en cláusulas similares, especialmente en:
– **Falta de transparencia** en la información sobre el tratamiento de datos.
– **Falta de legitimidad jurídica** para ciertos tratamientos (ej. perfilado de usuarios).
– **Consentimiento viciado** al supeditar la prestación del servicio a su aceptación.
– En **2023**, se aportó el **Anexo de Privacidad** (antes no incluido), lo que permite un análisis más detallado.
**Normativa aplicable**:
– **RGPD (UE 2016/679)**: Principios de **transparencia, licitud y proporcionalidad** (art. 5, 6, 13 y 14).
– **LOPDGDD**: Sistema de información por capas (art. 11), que distingue entre:
– **Información básica** (identidad del responsable, finalidad, derechos).
– **Información adicional** (detalles técnicos y jurídicos).
—
### **2. Conclusiones principales**
#### **A. Incumplimientos en la cláusula 13.1 (Tratamiento para personas físicas)**
– **Falta de concreción**: La cláusula remite genéricamente al **Anexo de Privacidad** sin detallar:
– **Base jurídica** para el tratamiento (¿consentimiento, contrato, interés legítimo?).
– **Finalidades específicas** del tratamiento (ej. análisis de tráfico, encuestas de satisfacción).
– **Problema**: Tratamientos como **perfilado comercial** o **cesión a terceros** no están claramente legitimados.
– **El perfilado** (ej. análisis de preferencias de consumo) debe basarse en:
– **Interés legítimo** (solo si los datos son intrínsecos al contrato y se ponderan intereses).
– **Consentimiento explícito** (requerido si se usan datos externos o se ceden a terceros).
– **Cesión a empresas del Grupo**: No cumple con el principio de **expectativa razonable** del usuario (debe consentirse expresamente).
– **Correo electrónico**: Requiere **consentimiento previo** (art. 21 LSSI), no siendo válido el interés legítimo.
#### **B. Incumplimientos en la cláusula 13.2 (Tratamiento para personas jurídicas)**
– **Comunicaciones comerciales**: Se legitiman con **interés legítimo**, pero:
– La **Ley de Servicios de la Sociedad de la Información (LSSI)** exige **consentimiento específico** para comunicaciones electrónicas.
– No se detallan los **intereses legítimos concretos** (viola el art. 13.1 c) RGPD).
#### **C. Otras deficiencias**
1. **Segunda capa informativa**:
– Propone **perfilado comercial** sin informar suficiente sobre:
– **Lógica aplicada** (términos ambiguos como *»grado de propensión a la baja»*).
– **Consecuencias** para el usuario (ej. efectos en la prestación del servicio).
– **Ausencia de información sobre decisiones automatizadas** (art. 22 RGPD).
2. **Transferencias internacionales**:
– No se especifica si hay **garantías adecuadas** (ej. cláusulas contractuales tipo) para datos enviados fuera del Espacio Económico Europeo (art. 13.1 f) RGPD).
3. **Plazos de conservación**:
– Frase ambigua en la cláusula: *»hasta que prescriban las eventuales responsabilidades»* → No cumple el principio de **limitación de