| Informe | 2025-0044 |
| Enlace | 📋 |
Resumen del Informe Jurídico 044/2025 de la AEPD sobre las Condiciones Generales y Política de Privacidad de SIMPLE (antes VIRGIN) de Euskaltel
Contexto y objeto del informe
La Agencia Española de Protección de Datos (AEPD) analiza en este informe las Condiciones Generales de Contratación y la Política de Privacidad de los servicios de telecomunicaciones de SIMPLE (marca comercial actual de Euskaltel, S.A., anteriormente VIRGIN), así como la adaptación de estos documentos a la normativa de protección de datos, en concreto el RGPD (Reglamento UE 2016/679) y la LOPDGDD (Ley Orgánica 3/2018).
El informe evalúa si el modelo de información por capas (primera capa resumida en el contrato y segunda capa detallada en la web) cumple con los requisitos de transparencia, claridad y exhaustividad exigidos por el RGPD, especialmente en relación con:
La identificación de los corresponsables del tratamiento (Euskaltel y R Cable y Telecable Telecomunicaciones S.A.U.).
Los tipos de datos tratados (identificación, tráfico, localización, solvencia, etc.).
Las finalidades y bases legales de los tratamientos (servicio, prevención de fraude, marketing, etc.).
Los derechos de los afectados (acceso, supresión, oposición, portabilidad, etc.).
Los plazos de conservación y las garantías para menores y uso de IA.
Valoración clave del informe
A. Cumplimiento del principio de transparencia y derecho de información
La AEPD considera que el sistema de información por capas es conforme a la normativa, siempre que la segunda capa (Política de Privacidad online) incluya toda la información requerida por los artículos 13 y 14 del RGPD, como:
Identidad y datos de contacto de los responsables del tratamiento.
Finalidades del tratamiento y bases jurídicas (ejecución de contrato, interés legítimo, obligación legal, consentimiento).
Categorías de datos tratados (ej.: tráfico, localización, solvencia).
Plazos de conservación y criterios para su determinación.
Derechos de los afectados y cómo ejercerlos.
Información sobre comunicaciones de datos a terceros (con mención expresa de las bases legales).
Se valora positivamente el uso de iconos y tablas para sistematizar la información, facilitando su comprensión.
B. Corresponsabilidad en el tratamiento (art. 26 RGPD)
La política de privacidad identifica correctamente a Euskaltel y R Cable y Telecable como corresponsables del tratamiento, con un acuerdo interno que define sus obligaciones respectivas:
Euskaltel (como sociedad con la que el cliente contrata) será responsable de:
Facilitar la información sobre el tratamiento.
Gestionar los derechos de los afectados (acceso, supresión, etc.).
Comunicar brechas de seguridad.
Ambas compañías son responsables de:
Definir los tratamientos y los datos a comunicar.
Realizar análisis de riesgos y EIPD (Evaluaciones de Impacto).
Implementar medidas de seguridad y gestionar incidentes.
La AEPD destaca que la información sobre la corresponsabilidad debe ser clara y accesible desde el momento de la contratación, no solo en un momento posterior.
C. Categorías de datos y finalidades de tratamiento
El informe analiza en detalle los tipos de datos tratados y sus finalidades:
Datos identificativos y de contacto (nombre, dirección, teléfono, etc.):
Tratamiento basado en el art. 6.1.b RGPD (ejecución del contrato).
Datos de tráfico y localización (llamadas, mensajes, IP, geolocalización):
Finalidad: prestación del servicio, mejora de calidad y cumplimiento de obligaciones legales (ej.: artículos 33, 65.1.e y 70 de la Ley General de Telecomunicaciones).
Base legal: art. 6.1.c RGPD (cumplimiento de una obligación legal) y art. 6.1.f (intereses legítimos para prevención de fraude).
Datos de solvencia patrimonial (consultas a ficheros de crédito como Equifax o Experian):
Finalidad: evaluación del riesgo crediticio.
Base legal: interés legítimo (art. 6.1.f RGPD).
Requisito clave: Se garantiza el derecho a revisión manual en caso de denegación de servicios basada en una decisión automatizada (art. 22 RGPD), como exige el Considerando 71 del RGPD.
Finalidades comerciales (marketing):
Comunicaciones sobre productos similares a los contratados: base en interés legítimo (art. 6.1.f RGPD).
Comunicaciones sobre productos de terceros o publicidad: requieren consentimiento expreso (art. 4.11 RGPD y art. 21 Ley de Servicios de la Sociedad de la Información).
Para canales no electrónicos (ej.: correo postal), la AEPD admite el interés legítimo si la publicidad se refiere a productos similares (Informe 195/2017).
Uso de Inteligencia Artificial (IA):
SIMPLE indica que usará IA para mejorar servicios, comprometiéndose a cumplir con:
El Reglamento de IA de la UE (en trámite).
Los principios de protección de datos (transparencia, minimización, seguridad).
D. Derechos de los afectados y plazo de conservación
La política de privacidad reconoce todos los derechos del RGPD (acceso, rectificación, supresión, oposición, portabilidad, limitación) y el derecho a revocar el consentimiento.
Los plazos de conservación se ajustan al principio de minimización (art. 5.1.c RGPD): los datos se almacenan solo mientras sean necesarios para la finalidad.
Tras la conservación, los datos se bloquean (quedan inaccesibles excepto para autoridades judiciales o administrativas) y se destruyen al prescribir las obligaciones legales (art. 32.2 LOPDGDD).
E. Protección de menores e información necesaria
Los servicios están dirigidos a mayores de 18 años, pero en caso de uso por menores de 14 años, se requiere consentimiento de los padres o tutores (art. 8 RGPD).
Se informa a los clientes sobre qué datos son obligatorios para contratar el servicio (ej.: datos bancarios para domiciliación), en línea con el art. 13.2.e RGPD.
Conclusiones del informe
La AEPD informa favorablemente las Condiciones Generales y la Política de Privacidad de SIMPLE, destacando que:
Transparencia: El modelo por capas cumple con el RGPD y la LOPDGDD, siempre que la segunda capa (política web) contenga toda la información exigida.
Corresponsabilidad: La identificación de los corresponsables y su acuerdo interno son adecuados, pero se recomienda que la información sobre su responsabilidad sea accesible antes de la contratación.
Bases legales: Las finalidades y bases jurídicas (servicio, fraude, marketing, etc.) están correctamente fundamentadas en el RGPD.
Derechos de los afectados: Se garantizan todos los derechos y se facilitan mecanismos para su ejercicio.
Protección de datos por diseño: Se incluyen medidas para menores, conservación limitada y uso de IA conforme a la normativa.
Limitación del informe:
El informe valora las cláusulas contractuales presentadas, pero no exime a SIMPLE de posibles actuaciones posteriores de la AEPD sobre los tratamientos reales de datos.
En resumen, el informe de la AEPD valida el enfoque de SIMPLE en la actualización de sus políticas, siempre que se mantenga el alto nivel de transparencia y se asegure que toda la información relevante esté fácilmente accesible para los clientes, especialmente en lo relativo a la corresponsabilidad y los fines del tratamiento.