| Informe | 2025-0013 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre las condiciones generales de contratación de SIMYO (Informe 2025-0013)
El Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) emitió el Informe 2025-0013 (N/REF: 0013/2025), analizando la conformidad con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) de las condiciones generales de contratación y el Anexo de Privacidad de la operadora SIMYO, con especial atención a los apartados dedicados a la protección de datos (cláusula 13 y sus subapartados).
Aspectos clave del análisis
Contexto y antecedentes:
SIMYO ya había recibido informes desfavorables en 2022 (0082/2022) y 2023 (0022/2023) por incumplimientos en transparencia y legitimación del tratamiento de datos, especialmente en lo relativo al consentimiento y la información a clientes personas físicas.
En el presente informe, se analiza la versión del Anexo de Privacidad de fecha 08/07/2024 (disponible en https://www.simyo.es/documentos/Condicionesprivacidadydatos.pdf), ya que las condiciones generales remitían a este documento para completar la información requerida por el RGPD.
Principales incumplimientos detectados:
Falta de identificación clara del responsable del tratamiento:
El apartado «Identificación» del Anexo no especifica explícitamente quién es el responsable del tratamiento (según el artículo 4.7 RGPD), lo que es esencial para que los usuarios conozcan quién maneja sus datos. Se recomienda corregir esto incorporando los datos de contacto completos del responsable.
Tratamientos basados en consentimiento:
Para las finalidades que requieren consentimiento (ej.: envío de comunicaciones comerciales, perfilado), el Anexo debe garantizar que el usuario preste un consentimiento libre, específico, informado e inequívoco (artículo 7 RGPD y Considerando 32). Actualmente, la fórmula propuesta no cumple con estos requisitos, ya que no se habilitan casillas independientes y marcadas expresamente para cada finalidad.
Comunicaciones comerciales:
El tratamiento de datos para el envío de publicidad debe ajustarse estrictamente a las expectativas razonables del usuario (artículo 21 Ley 34/2002 y artículo 6.1.f RGPD). Las comunicaciones comerciales personalizadas solo están justificadas si:
Son para productos/servicios similares a los contratados.
Se cuenta con consentimiento explícito para cada finalidad (envío de publicidad propia, de terceros, etc.).
Conservación de datos:
La cláusula sobre plazos de conservación es ambigua y no especifica criterios concretos para determinar la duración del tratamiento, vulnerando el principio de limitación de plazo (artículo 5.e RGPD). Se debe detallar:
Los plazos exactos o los criterios para calcularlos.
Que los datos se conservan solo mientras sea necesario para cumplir con obligaciones legales o contractuales.
Encargo del tratamiento:
Las previsiones en la cláusula 13.3 solo cubren tratamientos sobre personas jurídicas, omitiendo el caso de personas físicas usuarias del servicio, donde SIMYO actúa como responsable y no como encargada. Debe aclararse esta distinción.
Aspectos positivos:
El Anexo de Privacidad cumple con la mayoría de los requisitos en cuanto a:
Finalidades y bases jurídicas: Diferencia claramente las tratamientos basados en:
Cumplimiento contractual (artículo 6.1.b RGPD).
Interés legítimo (artículo 6.1.f RGPD), siempre que no perjudiquen derechos del usuario.
Consentimiento expreso (artículo 6.1.a y artículo 7 RGPD).
Obligación legal (artículo 6.1.c RGPD).
Derechos de los afectados: Se reconocen y permiten ejercitar los derechos de acceso, rectificación, supresión, portabilidad, oposición y revocación del consentimiento.
Medidas de seguridad: Se alude al cumplimiento de la normativa aplicable, aunque debe asegurarse su implementación efectiva (principio de responsabilidad proactiva, artículo 5.2 RGPD).
Destinatarios de datos: Se detallan los cesionarios (entidades financieras, Administraciones Públicas, etc.) en supuestos legalmente justificados.
Recomendaciones y advertencias:
Modificaciones urgentes:
Identificar al responsable del tratamiento en el Anexo de Privacidad.
Exigir consentimiento expreso e independiente para cada finalidad de tratamiento (ej.: mediante casillas no premarcadas en el formulario de contratación).
Aclarar los plazos de conservación con criterios precisos.
Ajustar el apartado de «encargo del tratamiento» para incluir tratamientos sobre personas físicas (donde SIMYO es responsable).
Riesgo de infracción:
El incumplimiento de estos requisitos podría constituir una infracción grave según el artículo 83.5.a RGPD, con multas de hasta 20 millones de euros o el 4% de la facturación anual global.
Conclusión:
El Anexo de Privacidad de SIMYO (08/07/2024) se considera globalmente conforme con el RGPD y la LOPDGDD en aspectos clave como la transparencia, las finalidades del tratamiento y los derechos de los usuarios.
Sin embargo, no puede emitirse un dictamen favorable hasta que se subsanen los incumplimientos mencionados, principalmente:
La necesidad de consentimiento explícito e independiente para cada tratamiento.
La falta de claridad en la identificación del responsable.
La ambigüedad en los plazos de conservación de datos.
La AEPD advierte que este informe se limita a valorar las cláusulas contractuales y no exime a SIMYO de futuras inspecciones o sanciones por incumplimientos en la práctica real.
Importancia del informe
Este documento refleja el enfoque de la AEPD en garantizar que las empresas cumplan con los principios de transparencia, licitud y lealtad en el tratamiento de datos, especialmente en sectores como las telecomunicaciones, donde el volumen de datos personales tratados es elevado. Las operadoras deben asegurarse de que sus políticas de privacidad no solo estén alineadas con la normativa, sino también accesibles y comprensibles para los usuarios.