RESOLUCIÓN: R/00444/2017

Transcripción

1 1/13 Procedimiento Nº PS/00421/2016 RESOLUCIÓN: R/00444/2017 En el procedimiento sancionador PS/00421/2016, instruido por la Agencia Española de Protección de Datos a la entidad EASYVOYAGE SAS, vista la denuncia presentada por Dña. B.B.B., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 18 de septiembre de 2015 tiene entrada en esta Agencia, a través de su sede electrónica, una denuncia interpuesta por Dña. B.B.B. (en lo sucesivo, la denunciante), en la que manifiesta lo siguiente: Desde el 23 de junio de 2015 está recibiendo correos electrónicos de EASYVOYAGE SAS (en lo sucesivo EASYVOYAGE) negando haberse suscrito a ningún boletín alguno ni conocer previamente a la entidad. Ha solicitado la cancelación de sus datos personales a EASYVOYAGE, solicitud que ha sido recibida por la entidad, pese a lo cual continúa recibiendo correos comerciales. Le llega diariamente un correo electrónico. Aporta copia de la siguiente información: - Correos electrónicos según los cuales en fechas 4 y 5 de agosto de 2015 remitió una solicitud de cancelación de sus datos a EASYVOYAGE. - Correo electrónico de fecha 4 de agosto de 2015 en el que EASYVOYAGE daba respuesta desde la cuenta G.G.G.@easyvoyage.fr en que acusaba recibo de la solicitud realizada. - Un total de 68 correos electrónicos y sus cabeceras. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de esta Agencia se solicita información a la entidad EASYVOYAGE, teniendo conocimiento de los siguientes extremos conforme al informe de actuaciones de inspección E/06633/2015, que se transcribe: HECHOS CONSTATADOS 1. El denunciante recibió en su cuenta de correo A.A.A. 68 correos electrónicos cuyas características se listan a continuación. Cuenta de origen: E.E.E.@news.easyviajar.com. Dirección IP de origen: ***IP.1, ubicada en Francia. Fechas: entre 23/6/2015 y 7/11/2015, de los cuales 57 fueron emitidos entre septiembre y noviembre de Los correos electrónicos contenían información comercial referente a servicios y productos de EASYVOYAGE. Los correos electrónicos disponen de información sobre el cómo solicitar la baja de

2 2/13 la lista de destinatarios en mediante el siguiente texto: <<Conforme a la Ley número del 6 de enero de 1978 de la República Francesa llamada «Ley informática y de libertades» (modificada en 2004), el usuario tiene derecho a acceder y rectificar los datos personales indicados durante su adhesión al Programa. Si en un momento dado, el usuario desea ejercer su derecho de acceso y rectificación de sus datos personales, puede enviar su petición por correo electrónico a G.G.G.@easyvoyage.fr precisando su dirección , o por correo postal enviando una carta a la siguiente dirección: Grupo (C/...1) París (Francia).>> 2. El dominio easyviajar.com está registrado a nombre de EASYVOYAGE. El dominio easyvoyage.fr está registrado a nombre de EASYVOYAGE. 3. En respuesta a la solicitud de información realizada por el inspector actuante, los representantes de EASYVOYAGE remitieron un correo electrónico en el que manifestaron, en referencia a la solicitud de baja de la denunciante y la remisión de correos con posterioridad a dicha solicitud, que: 3.1. El origen del dato de la dirección de correo electrónico A.A.A. fue la suscripción realizada en los boletines de noticias de la entidad en fecha 16 de junio de 2015 a las 10:53:52 desde la IP D.D.D.. Aporta copia de los datos aportados por el usuario De las comprobaciones realizadas por la entidad respecto de la opción de exclusión de la dirección de correo electrónico de la denunciante, informan que fue debido a un fallo técnico al registrar la solicitud. EASYVOYAGE manifiesta haber procedido a dar de baja la dirección de correo electrónico A.A.A. de su base de datos, y que la denunciante no recibirá correos electrónicos de la entidad desde la siguiente sincronización de datos. TERCERO: Con fecha 12 de septiembre de 2016, la Directora de la Agencia Española de Protección de datos acordó iniciar procedimiento sancionador a EASYVOYAGE por la presunta infracción del artículo 21.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en lo sucesivo, LSSI), tipificada como grave en el artículo 38.3.c) de dicha norma, pudiendo ser sancionada con multa de hasta euros, de acuerdo con el artículo 39.1.b) de la LSSI CUARTO: Notificado el citado Acuerdo de inicio, EASYVOYAGE presentó las siguientes alegaciones: 1ª. EASYVOYAGE es una empresa francesa que no tiene filiales en España por lo que no procesa ningún dato personal de ningún establecimiento o centro de tratamiento de datos en España, y por tanto está sujeta a las leyes de protección de datos francesas. 2ª. La explotación de las bases de datos de los miembros que se registran en su página web tiene por objeto presentar información sobre ofertas o productos turísticos ofrecidos por los profesionales del turismo o los viajes. No obstante EASYVOYAGE no

3 3/13 es un profesional del sector turístico ni ofrece servicio turísticos o de viajes. Sus actividades principales son proporcionar a los usuarios comparativas de precios relacionadas con hoteles, vuelos, paquetes, alquileres de vehículos, etc., así como el contenido editorial y el intercambio de consejos de viajes a través de la selección de ofertas y el envío de boletines de información a los miembros registrados que se abonan a uno de los servicios de información o fidelización operador por la entidad. 3ª. Los servicios para los que se registran los usuarios consisten en recibir ofertas de viajes por correo electrónico. Los correos contienen un enlace para darse de baja haciendo clic en el mismo. 4ª. En fecha 16/06/2015 (10:53:52 horas) la denunciante se suscribió a los servicios de publicación on-line de EASYVOYAGE registrando su dirección de correo electrónico A.A.A. a través de la página web operada por un ex proveedor de servicios de EASYVOYAGE, Abser-t., según el cual la denunciante dio su consentimiento para recibir información por correo electrónico sobre turismo y otras ofertas profesionales de viajes. En fecha 17/06/2015 la denunciante recibió el primer correo electrónico de bienvenida para confirmar su voluntad de abonarse a los servicios de EASYVOYAGE, que incluía la recepción de ofertas relacionadas, como los boletines de EASYVOYAGE. Dicho correo contenía dos enlaces para darse de baja en la recepción de boletines electrónicos, promociones y correos electrónicos. En fecha 20/06/20105 se le envió otro correo electrónico de bienvenida con dos enlaces para darse de baja. 5ª. La denunciante solicitó la baja de su dirección A.A.A. en la base de datos de EASYVOYAGE mediante correos electrónicos de fechas 04/08/2015, 05/08/2015 y 14/08/2015 dirigidos a la dirección G.G.G.@easyvoyage.fr, pero el servicio de atención al cliente sufrió un problema que hizo que no se procesase su solicitud. 6ª. Tras recibir la solicitas de información de esa AEPD en fecha 25/07/2016 y la carta de la autoridad francesa de protección de datos (CNIL) en fecha 05/08/2016 se tomaron las medidas necesarias para dar de baja inmediatamente la dirección de correo de la denunciante de la base de datos. QUINTO: En fecha 03/02/2017 se formuló propuesta de resolución en el sentido de imponer a EASYVOYAGE una multa de por la infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3.c) de dicha norma. SEXTO: Notificada La propuesta EASYVOYAGE alegó que en los corres remitidos puso a disposición un link de acceso rápido y sencillo a su propia web para que la denunciante pudiera darse de baja en el envío de correos electrónicos, conforme dispone el art de la LSSI. La denunciante utilizó una forma alternativa e inusual de solicitar la baja enviando un correo electrónico a la dirección G.G.G.@easyvoyage.fr, que fue lo que motivó el retraso en llevar a cabo la baja. Cuantificación de la sanción conforme a los criterios del artículo 40 de la LSSI. HECHOS PROBADOS PRIMERO: Con fecha de 18 de septiembre de 2015 tiene entrada en esta Agencia, a

4 4/13 través de su sede electrónica, una denuncia interpuesta por la denunciante, en la que manifiesta lo siguiente: Desde el 23 de junio de 2015 está recibiendo correos electrónicos de EASYVOYAGE negando haberse suscrito a ningún boletín alguno ni conocer previamente a la entidad. Ha solicitado la cancelación de sus datos personales a EASYVOYAGE, solicitud que ha sido recibida por la entidad, pese a lo cual continúa recibiendo correos comerciales. Le llega diariamente un correo electrónico. SEGUNDO: En fechas 04/08/2015, 05/08/2015 y 14/08/2015 EASYVOYAGE recibió en su dirección G.G.G.@easyvoyage.fr correos electrónicos de la denunciante en los que solicitaba la baja de su dirección de correo C.C.C..com para no recibir más correos publicitarios. TERCERO: En fecha 04/08/2015 la denunciante recibió en su cuenta de correo C.C.C..com, un correo electrónico desde la cuenta G.G.G.@easyvoyage.fr en el que EASYVOYAGE acusaba recibo de la solicitud realizada. CUARTO: Entre el 20/08/2015 y el 04/11/2015 la denunciante recibió en su cuenta de correo A.A.A. 66 correos electrónicos cuyas fechas y características se listan a continuación: Fechas: Agosto: días 20, 22, 24, 25, 26, 27, 29 (2 correos). Total 9 correos. Septiembre: 1, 2, 3, 4, 5, 7, 8, 9, 10, 12, 13, 14, 15, 16, 17, 18, 19, 21, 22, 23, 24, 25, 26, 28, 30. Total 25 correos. Octubre: días 1, 2, 3, 5, 6, 7, 8, 9, 10, 12, 13, 15, 16, 17, 19, 20, 21, 22, 23, 24, 26, 27, 28, 29, 30, 31. Total 26 correos Noviembre: días 2, 3, 4, 5, 6, 7. Total 6 días Cuenta de origen: E.E.E.@news.easyviajar.com. Dirección IP de origen: ***IP.1, ubicada en Francia. Los correos electrónicos contenían información comercial referente a servicios y productos de EASYVOYAGE, disponían de un enlace (link) denominado darse de baja para el cese en el envío de dichos correos publicitarios, e incluían la siguiente información: <<Conforme a la Ley número del 6 de enero de 1978 de la República Francesa llamada «Ley informática y de libertades» (modificada en 2004), el usuario tiene derecho a acceder y rectificar los datos personales indicados durante su adhesión al Programa. Si en un momento dado, el usuario desea ejercer su derecho de acceso y rectificación de sus datos personales, puede enviar su petición por correo electrónico a G.G.G.@easyvoyage.fr precisando su dirección , o por correo postal enviando una carta a la siguiente dirección: Grupo (C/...1) París (Francia).>> QUINTO: El dominio easyviajar.com está registrado a nombre de EASYVOYAGE.

5 5/13 SEXTO: El dominio easyvoyage.fr está registrado a nombre de EASYVOYAGE. SEPTIMO: EASYVOYAGE reconoce la recepción de la solicitud de baja de la dirección de correo electrónico de la denunciante A.A.A., y que no se dio de baja por un error en el momento de registrar su solicitud. Tras recibir la solicitud de información de esa AEPD en fecha 25/07/2016 y la carta de la autoridad francesa de protección de datos (CNIL) en fecha 05/08/2016 se tomaron las medidas necesarias para dar de baja inmediatamente la dirección de correo de la denunciante de la base de datos. FUNDAMENTOS DE DERECHO I La competencia para sancionar la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la LSSI, corresponde a la Agencia Española de Protección de Datos, según dispone el artículo 43.1 de dicha Ley. Alega EASYVOYAGE que es una empresa francesa sin filiales en España y que por tanto está sujeta a las leyes de protección de datos francesas. Recordar que el presente procedimiento no versa sobre una presunta infracción de protección de datos prevista en la normativa española (LOPD), sino sobre presunta infracción a la LSSI, la cual establece lo siguiente: Artículo 3. Prestadores de servicios establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo. 1. Sin perjuicio de lo dispuesto en los artículos 7.1 y 8, esta Ley se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias siguientes: f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas. La referida LSSI en su Anexo establece que A los efectos de esta Ley, se entenderá por: a) "Servicios de la sociedad de la información" o "servicios": todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

6 6/13 4.º El envío de comunicaciones comerciales. c) "Prestador de servicios" o "prestador": persona física o jurídica que proporciona un servicio de la sociedad de la información. Conforme a lo anterior la actividad de EASYVOYAGE se enmarca en la definición legal de prestador de servicios se la sociedad de la información a la cual es aplicable la LSSI por cuanto se trata de una compañía establecida en otro estado de la Unión Europea (Francia) y el destinatario de los servicios (en este caso el denunciante) radica en España, afectando dicho servicio a la licitud de las comunicaciones comerciales por correo electrónico que son precisamente el objeto de la denuncia planteada ante esta AEPD. II Actualmente se denomina spam a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por spam cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico. Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española. El bajo coste de los envíos de correos electrónicos vía Internet o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada. La LSSI, en su artículo 21.1, prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, sin consentimiento expreso del destinatario, si bien esta prohibición encuentra su excepción en apartado 2 del citado artículo 21, que autoriza el envío de comunicaciones comerciales cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del artículo 21.2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

7 7/13 III Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera: f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica. El concepto de comunicación comercial, de acuerdo con la definición recogida en el Anexo f), párrafo primero de la LSSI, engloba todas las formas de comunicaciones destinadas a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional. Por otro lado, la LSSI en su Anexo a) define Servicio de la Sociedad de la Información como todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Añade el referido apartado que el envío de comunicaciones comerciales es un servicio de la sociedad de la información, siempre que represente una actividad económica. Según el apartado d) del citado Anexo, destinatario es la persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información De lo anterior se deduce que, cuando la comunicación comercial no reúne los requisitos que requiere el concepto de Servicios de la Sociedad de la Información, pierde el carácter de comunicación comercial. En este sentido el párrafo segundo del Anexo f) de la LSSI señala dos supuestos, que no tendrán, a los efectos de esta Ley, la consideración de comunicación comercial. Por un lado, los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, y, por otro, las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

8 8/13 IV Descrito el marco normativo aplicable a las comunicaciones comerciales remitidas a través de medios electrónicos, se debe destacar que la LSSI dispone en su artículo 21 lo siguiente: Art Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. Art El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos

9 9/13 En el presente caso los envíos objeto de denuncia contienen la características de envío comercial conforme a la definición anteriormente expuesta se ofertan servicios prestados por EASYVOYAGE. Asimismo debe señalarse que los correos electrónicos objeto de denuncia disponían de un enlace (link) que remitía a la web de EASYVOYAGE para darse de baja en la recepción de las comunicaciones comerciales. Al margen de ello los correos electrónicos denunciados disponían de una dirección de correo G.G.G.@easyvoyage.fr para ejercitar los derechos de acceso y rectificación y que fue el medio utilizado por la denunciante para solicitar la cancelación del dato de su dirección de correo para no recibir más envíos comerciales. V En el presente supuesto, ha quedado acreditado que, eentre el 20/08/2015 y el 04/11/2015 el denunciante recibió en su cuenta de correo C.C.C..com 66 correos electrónicos comerciales remitidos por EASYVOYAGE desde su dirección E.E.E.@news.easyviajar.com. En este punto debe recordarse lo dispuesto por la LSSI: Artículo 19 Régimen jurídico 1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad. 2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales. Por su parte la LOPD establece: Artículo 30 Tratamientos con fines de publicidad y de prospección comercial 4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Artículo 17 Procedimiento de oposición, acceso, rectificación o cancelación 1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. Y el RLOPD dispone: Artículo 34 Derecho de oposición El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes

10 10/13 supuestos: b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación. Artículo 35 Ejercicio del derecho de oposición 1. El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento. Cuando la oposición se realice con base en la letra a) del artículo anterior, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho. 2. El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo. 3. El responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado en el plazo previsto en el apartado 2 de este artículo. Conforme a lo dispuesto en la referida normativa (LSSI y LOPD) y tomando en consideración que, en fecha 04/08/2015 EASYVOYAGE aceptó la solicitud de oposición formulada por la denunciante ese mismo día, así como que la compañía disponía de un plazo legal de 10 días para hacer efectiva dicha oposición, el envío de 66 correos electrónicos comerciales a la dirección de la denunciante C.C.C..com en fecha posterior al 14/08/2015 (entre el 20/08/2015 y el 07/11/2015), vulnera lo dispuesto en el artículo 21.1 de la LSSI, por cuanto EASYVOYAGE no contaba con el consentimiento de la denunciante. VI El Título VII de la LSSI bajo la rúbrica Infracciones y sanciones contiene el régimen sancionador aplicable en caso de que se produzca alguna de las infracciones contenidas en el cuadro de infracciones que en el mismo se recoge. En concreto, el artículo 37 especifica que los prestadores de servicios de la sociedad de la información están sujetos al régimen sancionador establecido en este Título cuando la presente Ley les sea de aplicación (el subrayado es de la Agencia Española de Protección de Datos) La definición de prestador del servicio se contiene en el apartado c) del Anexo de la citada norma que considera como tal la persona física o jurídica que proporciona un servicio de la sociedad de la información.

11 11/13 En este caso la actividad desarrollada por EASYVOYAGE se encuentra enmarcada en la referida definición de prestador de servicios. VII De conformidad con lo establecido en el artículo 38, en sus apartados 3 y 4 de la LSSI, se consideran infracciones graves y leves las siguientes: 3. Son infracciones graves: c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, a su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo Son infracciones leves: d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave. En consecuencia, la infracción del artículo 21 de la LSSI, en los términos indicados por el citado artículo 38.4.d), se califica en términos generales como infracción leve, aunque si se produce un envío masivo de comunicaciones comerciales no solicitadas a diferentes destinatarios o su envío insistente o sistemático a un mismo destinatario, en los términos que se indican en el también citado artículo 38.3.c), se producirá una infracción de carácter grave a los efectos de la LSSI. El presente supuesto se ajusta al tipo de infracción establecido en el artículo 38.4.c) de la LSSI, calificado como grave, al tratarse del envío de 66 comunicaciones comerciales no deseadas o consentidas por el destinatario, entre el 20/08/2015 y el 07/11/2015 (80 días), lo que supone el envío diariamente de una comunicación comercial no consentida. VIII Según establece el art. 39.1, apartados b) y c), de la LSSI, las infracciones graves podrán ser sancionadas con multa de hasta y las leves, con multa de hasta , fijando los criterios para su graduación los artículos 39 bis y 40 de la misma norma, que disponen lo siguiente: Artículo 39 bis Moderación de sanciones 1. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado

12 12/13 o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 40. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente. En el presente caso cabe apreciar lo dispuesto en el artículo 39 bis.1.c) habida cuenta que la denunciante no utilizó para solicitar la baja en los envíos el enlace facilitado a tal efecto por EASYVOYAGE en los correos electrónicos sino que se dirigió a la entidad mediante correo electrónico habilitado para ejercer los derechos de acceso y rectificación de datos, con lo que contribuyó a que se desatendiera la solicitud de baja. Por tanto procede establece la cuantía de la sanción aplicando la escala relativa a las infracciones leves establecida en el artículo 39.1.c). Artículo 40 Graduación de la cuantía de las sanciones La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios: a) La existencia de intencionalidad. b) Plazo de tiempo durante el que se haya venido cometiendo la infracción. c) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme. d) La naturaleza y cuantía de los perjuicios causados. e) Los beneficios obtenidos por la infracción. f) Volumen de facturación a que afecte la infracción cometida. g) La adhesión a un código de conducta o a un sistema de autorregulación publicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en el artículo 18 o en la disposición final octava y que haya sido informado favorablemente por el órgano u órganos competentes. En relación con los criterios de graduación de las sanciones cabe apreciar la concurrencia de: - Artículo 40.b) referido al plazo de tiempo en el que se cometió la infracción y que se verificó desde fecha entre el 20/08/2015 y el 07/11/2015, esto es durante un prolongado periodo de tiempo. - Artículo 40.d) referido a los perjuicios causados a la denunciante derivados de la recepción de 66 envíos comerciales, esto es casi uno cada día, en su dirección de correo electrónico. En consecuencia procede imponer a EASYVOYAGE una multa de por la infracción del artículo 21.1 de la LSSI. Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia Española de Protección de Datos RESUELVE:

13 13/13 PRIMERO: IMPONER a la entidad EASYVOYAGE SAS, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo (38.3.c) de la LSSI, una multa de (veinte mil euros), de conformidad con lo establecido en los artículos 39.1.b) y 40 de la citada LSSI. SEGUNDO: NOTIFICAR la presente resolución a EASYVOYAGE SAS y a Dña. B.B.B. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. Informar igualmente que, conforme a lo establecido en el artículo 65 de la Ley 58/2003, de 17 de diciembre, y el artículo 46 del Real Decreto 939/2005, de 29 de julio, por el que se aprueba el Reglamento General de Recaudación podrá solicitar el aplazamiento y/o fraccionamiento del pago de la sanción. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, de 21 diciembre. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Mar España Martí Directora de la Agencia Española de Protección de Datos