| Informe | 2023-0030 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD (N/REF: 0030/2023)
El informe evalúa la conformidad de las nuevas condiciones generales y particulares de contratación de servicios de comunicaciones electrónicas de una operadora (denominada «consultante») con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). La Agencia Española de Protección de Datos (AEPD) analiza específicamente la cláusula nº 12, que regula la protección de datos personales, destacando tanto los avances como las deficiencias detectadas.
Aspectos clave evaluados
Corresponsabilidad en el tratamiento de datos
La AEPD destaca que la nueva versión de la cláusula no menciona la posible existencia de corresponsables en el tratamiento de datos, aspecto que fue corregido desde el informe anterior (Informe 88/22).
Se alinea con el artículo 26 del RGPD, que exige transparencia en la asignación de responsabilidades cuando dos o más responsables determinan conjuntamente los fines y medios del tratamiento. Al no existir terceros implicados, la cláusula actual es conforme.
Finalidades y bases legitimadoras del tratamiento
El apartado 12.2 de la cláusula detalla siete finalidades para el tratamiento de datos, con sus correspondientes bases jurídicas:
Ejecución contractual (art. 6.1.b RGPD): Incluye gestión del contrato, facturación y atención al cliente.
Interés legítimo (art. 6.1.f RGPD): Para gestión de morosidad (con derecho a revisión manual en caso de denegación de contratación) y envío de comunicaciones comerciales sobre productos similares a los contratados.
Obligación legal (art. 6.1.c RGPD): Para cumplimiento de normativas como la Ley de Telecomunicaciones o la Ley 25/2007 (conservación de datos de comunicaciones).
Consentimiento (art. 6.1.a RGPD): Para comunicaciones comerciales sobre terceros y elaboración de perfiles.
La AEPD resalta que la finalidad de «verificación de satisfacción del cliente» (apartado 2.3) debe ser más concreta para evitar ambigüedades, especialmente si implica evaluaciones de impacto (art. 35 RGPD).
Seguridad de redes y grabación de llamadas
Se suprimió la finalidad de «seguridad de redes y detección de fallos técnicos», ya que la operadora asegura que no requiere tratamiento de datos personales.
Sobre la grabación de llamadas (servicio de atención al cliente), la AEPD considera que debe fundamentarse en consentimiento (art. 6.1.a) o interés legítimo (art. 6.1.f), ya que la base en obligaciones legales no es suficiente.
Comunicación de datos a terceros y transferencias internacionales
Se detallan los destinatarios de cesiones de datos (proveedores, Administraciones públicas, otras sociedades) y se garantiza el cumplimiento de los artículos 28 (encargados del tratamiento) y 21 LOPDGDD (operaciones societarias).
Las transferencias internacionales de datos se sujetan a cláusulas contractuales tipo de la UE o Normas Corporativas Vinculantes, cumpliendo con el art. 13.1.f RGPD.
Derechos de los afectados
La cláusula reconoce los derechos de acceso, rectificación, supresión, portabilidad y retiro de consentimiento, además de facultar para presentar reclamaciones ante la AEPD (art. 13.2.d RGPD), aspecto que se había omitido en informes anteriores.
Recomendaciones adicionales
La AEPD insiste en que la información en la web de la operadora debe alinearse con el contenido del Anexo I analizado, evitando versiones contradictorias.
Se recomienda mayor precisión en actividades como la elaboración de perfiles o la gestión de la satisfacción del cliente para cumplir con los principios de transparencia (art. 5 RGPD) y minimización de datos.
Conclusión
El informe considera que la cláusula 12 de la nueva versión del contrato es conforme con la normativa de protección de datos, tras subsanar las deficiencias detectadas en el informe previo. No obstante, se advierte sobre la necesidad de:
Actualizar la política de privacidad en la web para evitar discrepancias.
Detallar actividades ambíguas (como encuestas de satisfacción) para evitar riesgos legales.
Garantizar que futuros tratamientos cumplan estrictamente con los principios del RGPD, especialmente en casos de perfilado o decisiones automatizadas.
La AEPD insiste en que este análisis se limita a las cláusulas contractuales presentadas, sin prejuzgar futuras acciones de la Agencia sobre otros aspectos de la operatoria de la compañía.