| Resolución | PA-00015-2025 |
| Firmado | 2025-11-21T00:00:00Z |
| Enlace | 📋 |
La decisión se refiere a una reclamación presentada contra HOLAFLY, S.L. por la transferencia de datos personales a un proveedor en Estados Unidos sin el consentimiento del usuario. La reclamante, un cliente de HOLAFLY, adquirió una tarjeta SIM digital (eSIM) y recibió un correo electrónico desde una dirección asociada a un servidor en Estados Unidos, lo que implicaba una transferencia de datos fuera de la Unión Europea sin su autorización.
HOLAFLY firmó un contrato con un proveedor estadounidense para la gestión de encuestas de satisfacción, lo que incluía la transferencia de datos personales como nombre, correo electrónico y detalles de la compra. La empresa alegó que utilizó cláusulas contractuales tipo aprobadas por la Comisión Europea para garantizar la protección de los datos, pero la reclamación se basó en que estos datos fueron transferidos a un país con un nivel de protección de datos inferior al de la Unión Europea sin el consentimiento explícito del usuario.
La investigación reveló que, aunque HOLAFLY había implementado medidas de seguridad y cláusulas contractuales, no se pudo demostrar que los datos personales del reclamante hubieran sido efectivamente transferidos fuera de la Unión Europea. La empresa argumentó que los datos siempre se mantuvieron en servidores dentro de la UE, específicamente en Frankfurt, Alemania, y que cualquier posibilidad de acceso por parte de autoridades estadounidenses era solo una eventualidad no demostrada.
Finalmente, debido a la falta de evidencias suficientes que demostraran la transferencia internacional de datos, se decidió archivar el procedimiento sancionador contra HOLAFLY. La resolución se basa en el principio de presunción de inocencia, que impide imputar una infracción administrativa cuando no se han obtenido pruebas concluyentes de la misma.