ps-00258-2016 resolución de fecha 12-09-2019 artículo 4.7 6 7.1 … · 2019-12-10 · 2/72...

1/72

Procedimiento Nº PS/00258/2016

RESOLUCIÓN: R/00347/2019

En el procedimiento sancionador PS/00258/2016, instruido por la AgenciaEspañola de Protección de Datos a vista la denuncia presentada por DIRECCIONGENERAL DE LA GUARDIA CIVIL, y en base a los siguientes

ANTECEDENTES

PRIMERO: Con fecha de 8 de junio de 2015 tiene entrada en esta Agencia un escritode la DIRECCION GENERAL DE LA GUARDIA CIVIL, en adelante el denunciante, enel que pone en conocimiento de esta Agencia los siguientes hechos:

1. EL Grupo de Delitos Telemáticos de la Guardia Civil inició unainvestigación en el marco de las Diligencias Previas 2709/2012 del Juzgado deInstrucción número 5 de Alicante, con motivo de una estafa continuada en el ámbito delas telecomunicaciones.

2. El fraude consistía en síntesis en el envío de más de 24 millones demensajes SMS no solicitados desde números de tarificación adicional en los quemediante engaños se hacía creer al receptor que se trataba de un conocido, una ofertade trabajo o un servicio de mensajería.

La finalidad de los envíos era conseguir que los usuarios respondieran alorigen, lo que representaba un coste de entre 1,2€ y 6€ por mensaje.

3. Durante la investigación se pudo constatar que, si bien existía unentramado de 20 empresas involucradas, éstas eran dirigidas por ***NOMBRE.1 enadelante ***NOMBRE.1 y su hermano ***NOMBRE.2, en adelante ***NOMBRE.2.

4. Las campañas de envíos de mensajes eran enviadas previa orden de***NOMBRE.1, por ***NOMBRE.3, en adelante ***NOMBRE.3, el informático de laorganización que para ello se servía de diversas bases de datos de numeraciones condatos personales.

5. Durante la entrada y registro en la sede de dos de las empresas delentramado se obtuvo copia de material informático y documentación donde seconstata que mediante unas operadoras establecían un dialogo tipo chat con las

C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

2/72

víctimas y que fruto de estas conversaciones se garbaban todo tipo de datospersonales que se almacenaban en las bases de datos.

6. Entre los datos almacenados de las víctimas se encuentran datos comoel nombre, apellidos, domicilio, la orientación sexual, datos familiares y de salud, etc.…

7. La tabla de la base de datos que registraba los datos de las víctimastiene un total de 2.425.209 números de teléfono móvil diferentes y en 666.481 de loscasos constan datos personales asociados.

Junto con el escrito de denuncia se aporta una copia del disco duro delservidor en el que se hallaron los datos y copia de parte de la documentación obtenidadurante las investigaciones.

Constan en esta agencia antecedentes de algunas de las empresas citadasen el escrito de denuncia, y que se incorpora en el Informe de Actuaciones Previas deInspección E/03730/2015

SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, porlos Servicios de Inspección de esta Agencia se practicaron diligencias deinvestigación, teniendo conocimiento de que:

Las actuaciones se han realizado sobre accesos a la documentaciónproporcionada por la denunciante que consiste en un disco duro con la copia exactade los datos hallados en el servidor que alojaba los datos del grupo de empresasimplicado, copia de las declaraciones de las personas implicadas en los hechos ydistintos documentos de análisis llevados a cabo por la denunciante en base adocumentos facilitados por terceras partes (entidades financieras, Notariado, etc.…).

Las claves de acceso a los sistemas hallados en el servidor han sidoproporcionadas por la denunciante o se encontraban memorizados en los sistemasaportados.

Sobre las entidades implicadas en los hechos denunciados

La denunciante manifiesta que ***NOMBRE.1 y su hermano ***NOMBRE.2,junto con la colaboración de ***NOMBRE.3, se valieron de un entramado de empresaspara evadir procedimientos administrativos y penales contra sus personas.

La denuncia identifica las siguientes 21 sociedades como las presuntamenteutilizadas para la comisión de los hechos, cuyo desglose junto con la participación enellas de ***NOMBRE.1 y su hermano ***NOMBRE.2 y terceras personas, es elsiguiente:

OCIOTERAPIA LEVANTE S.L. (B54271416)


3/72

COMERCIAL POLINDUS 21 S.L. (B97902779)

SERVICIOS OFIMÁTICOS Y CENTRO DE NEGOCIOS S.L.(B54581558)

CALL CENTER LEVANTE S.L. (B54591037)

FALCÓN INTERCEPTOR S.L. (B97921704)

MENSAJERÍA INALÁMBRICA S.L. (B53683090)

GAMBRRO TECHNOLOGIES S.L. (B54668728)

IBÉRICA PREMIUM TELECOMUNICACIONES S.L. (B54011382)

SIMOES BIS S.L. (B54182308)

GESTORA DE OFERTA DE TRABAJO S.L. (B98553803)

ARABBESKO MADRILEÑA S.L. (B97912729)

BUSCANDO SUERTE S.L. (B97877526)

IEBOLINA TRADICIONAL S.L. (B97891139)

NATURAL FLAVOR INTERNATIONAL 21 S.L. (B97891410)

ZIGZAGUEANTE ASOCIADOS 21 S.L. (B97906515)

EMPORIO EUROPA 21 S.L. (B91423053)

GAROV SINERGIAS S.L. (B97906507)

LÍNEA SMS S.L. (B54591045)

TELECOM WORLD SYSTEMS SL (B73814477)

ZONA DESCUBIERTA S.L. (B97855654)- EXTINGUIDA EN LAACTUALIDAD


4/72

Algunos de los implicados en los hechos prestaron declaración ante la Guardia Civil.Las declaraciones más relevantes en relación con el entramado empresarial y losresponsables del mismo son las siguientes:

***NOMBRE.1 manifiesta1 que:

Es administrador y gestiona las cuentas bancarias de las sociedadesSIMOES BIS SL, GAMBRRO TECHNOLOGIES SL y ZIGZAGUEANTE ASOCIADOS21 SL.

ZIGZAGUEANTE ASOCIADOS 21 SL es una sociedad personal queutiliza para guardar los ahorros de SIMOES BIS SL.

Ejerce el control bancario de las sociedades OCIOTERAPIA LEVANTESL, COMERCIAL POLINDUS 21 SL, BUSCANDO SUERTE SL, ARABBESKOMADRILEÑA SL, SERVICIOS OFIMÁTICOS Y CENTRO DE NEGOCIOS SL, LÍNEASMS SL y CALL CENTER LEVANTE SL.

Su relación con CALL CENTER LEVANTE SL es comercial, no mantieneningún cargo en la sociedad y no imparte órdenes ni monitoriza a sus trabajadores.

Cree que ***NOMBRE.4 tuvo funciones de marketing en SIMOES BISSL y de chateadora en CALL CENTER LEVANTE SL y que ***NOMBRE.5, en adelanteLA SECRETARIA, tenía funciones de chateadora en CALL CENTER LEVANTE SL ypasó a ejercer funciones de administración y secretaría.

***NOMBRE.2 manifiesta2 que:

Administra SIMOES BIS SL y participa en GAMBRRO TECHNOLOGIESSL, pero el día a día de las empresas lo lleva su hermano ***NOMBRE.1 bajo lasinstrucciones de ***NOMBRE.6, en adelante EL ABOGADO.

GAROV SINERGIAS S.L. es una sociedad personal que se utiliza paraguardar los ahorros como su hermano usa ZIGZAGUEANTE ASOCIADOS 21 SL.

No sabe en qué empresas figura siendo su hermano y EL ABOGADOquienes lo saben.

No es el jefe de CALL CENTER LEVANTE SL y no ha dado órdenes asus trabajadores.

Conoce a ***NOMBRE.4 y LA SECRETARIA, pero desde hace 8 añostiene relación laboral con ninguna de las dos.

1 Acta de manifestación de ***NOMBRE.1 de 26 de marzo de 2015.



5/72

Las manifestaciones de LA SECRETARIA3 contradicen las de***NOMBRE.2 y ***NOMBRE.1 ya que manifiesta que:

Reconoce a de ***NOMBRE.2 y ***NOMBRE.1 como sus jefes mientrastrabajó en CALL CENTER LEVANTE SL, MENSAJERÍA INALÁMBRICA SL y ZONADESCUBIERTA SL.

Las campañas de mensajes las creaban ***NOMBRE.4, junto con***NOMBRE.2 y ***NOMBRE.1.

Su función era dar instrucciones para las nuevas campañas y lascontestaciones que se debían de dar a los clientes, que previamente eran acordadaspor ***NOMBRE.2 y ***NOMBRE.1 en una reunión.

Las manifestaciones de ***NOMBRE.44, que trabajo5 para SIMOES BIS SL durantemás de 10 años, también contradicen las de ***NOMBRE.2 y ***NOMBRE.1 ya quemanifiesta que:

Trabajó desde 2003 hasta 2014 en empresas de ***NOMBRE.2 y con***NOMBRE.1 no recuerda desde que año.

Su función era diseñar campañas de marketing para captar usuarios deSMS Premium.

***NOMBRE.2 y ***NOMBRE.1 le pedían que diseñara textos losuficientemente bonitos para que conectara con los usuarios.

Las manifestaciones de ***NOMBRE.3 6 también contradicen las de***NOMBRE.2 y ***NOMBRE.1 ya que manifiesta que:

Después de un largo periodo sin tener contacto laboral y personal,comenzó a trabajar para ***NOMBRE.2 y ***NOMBRE.1 el año 2007 en eldepartamento técnico de IBÉRICA PREMIUM TELECOMUNICACIONES S.L. que erala empresa de ***NOMBRE.2, pasando posteriormente a trabajar para SIMOES BISSL y finalmente como autónomo que factura a distintas empresas del grupo.



5 DOC. 1



6/72

Entre sus funciones de técnico estaba la programación del envío masivode mensajes SMS en los que el diseño y contenido se lo daban habitualmente***NOMBRE.2 y ***NOMBRE.1 .

Las manifestaciones de ***NOMBRE.7 7 también contradicen las de ***NOMBRE.2 y***NOMBRE.1 ya que manifiesta que:

“...accedió a ir al Notario de Maissonave y registrar a sus nombres lasempresas Call Centar Levante SL y Línea SMS SL, por lo que la pagabananteriormente 400 euros al mes por cada una de ellas.”

En julio de 2014 pone otra empresa a su nombre, pero no recuerda elnombre.

Que ***NOMBRE.2 le dice que pone a su nombre las empresas porquetiene muchas que si tiene problemas legales no quiere que le quiten sus propiedades.

En septiembre de 2014 dejan de pagarle.

Que nunca ha sabido donde estaban esas empresas o a qué sededicaban más allá de que le dijeron que se dedicaban a temas de telefonía y chat tipoMeetic.

Que ella actuaba como testaferro pero que nunca pensó que estuvierahaciendo algo ilícito.

Entre los documentos proporcionados por la denunciante figura un“INFORME DE LAS MERCANTILES IMPLICADAS EN LA INVESTIGACIÓN” en cuyapágina 150 se identifica a las sociedades del grupo que disponen de números cortos yactúan como receptoras iniciales de los ingresos generados por la recepción de losmensajes de los afectados:

POLINDUS 21 S.L.

TRADICIONAL S.L.

ARABBESKO MADRILEÑA S.L.

OCIOTERAPIA LEVANTE S.L.

BUSCANDO SUERTE S.L.



7/72

NATURAL FLAVOR INTERNATIONAL 21 S.L.

ZONA DESCUBIERTA S.L.

Según ese mismo informe, tras el análisis de las cuentas corrientes de lasdistintas sociedades del grupo la única fuente de ingresos de dicho grupo son esosmensajes SMS y SIMOES BIS SL es la empresa que aglutina la mayor parte de losbeneficios obtenidos, estimados en más de 2 millones y medio de euros.

El informe en cuestión analiza los movimientos de cada una de las cuentasde las empresas del grupo mostrando los movimientos de capitales entre ellas y haciadistintas personas físicas. Entre las personas físicas beneficiarias de los ingresos de latrama los principales son según los datos que constan en el informe ***NOMBRE.2 y***NOMBRE.1 .

Por ejemplo, en el caso de SIMOES BIS SL, se han acreditados pagos a***NOMBRE.2 y ***NOMBRE.1 de más de 74.000 euros a cada uno y gastosrealizados por ambos con tarjetas de crédito de dicha sociedad por importe de más de122.000 euros.

En el ANEXO 6 del Informe de Actuaciones Previas de InspecciónE/03730/2015 constan los gráficos del informe que muestran las relaciones entre lassociedades, los apoderados y las personas físicas implicadas.

Entre los documentos aportados por la denunciante se encuentran variosbuzones de correos electrónicos que demuestran que, en contra de lo que manifiestan***NOMBRE.2 y ***NOMBRE.1, eran ellos quienes gestionaban los envíos de los SMSa través de diferentes empresas y quienes controlaban las labores del personal deCALL CENTER LEVANTE SL que recogía y trataba los datos de carácter personal.

EL informe resalta igualmente que las cantidades recibidas por***NOMBRE.7, administradora de CALL CENTER LEVANTE SL eran sensiblementeinferiores a los de hasta 8 de las personas físicas a quien pagaba la sociedadcobraban cantidades sensiblemente mayores que las suyas. Teniendo en cuenta quela cuenta de la sociedad se abre un 29 de diciembre de 2011, si se compara el importetotal cobrado por ***NOMBRE.7 (26.553,98 euros) con lo que manifiesta habercobrado (400 euros por dos empresas desde enero de 2011 hasta septiembre de 2014y 400 por otro desde julio a septiembre de 2014) el resultado es casi idéntico (26.400euros).

Los correos electrónicos citados previamente se adjuntan como documentosnumerados en el ANEXO 1 del Informe de Actuaciones Previas de InspecciónE/03730/2015.


8/72

DOC. 1

Correo electrónico enviado el 19 de mayo de 2014 por INNOVA ASESORES(empresa de servicios de gestoría) a ***NOMBRE.1 con copia a LA SECRETARIA enel que se adjunta la carta de despido, la última nómina y el certificado de empresa de***NOMBRE.4. En este último documento ***NOMBRE.1 certifica que ***NOMBRE.4trabajo en SIMOES BIS SL entre el 2 de julio de 2003 y el 19 de mayo de 2014.

DOC. 2

Correo electrónico de 2 de julio de 2010 enviado por ***NOMBRE.1 a***NOMBRE.2 y ***NOMBRE.3 con copia a ***NOMBRE.4 y LA SECRETARIA en elque ***NOMBRE.1 y ***NOMBRE.2 planifican las campañas de envíos de mensajesSMS del fin de semana utilizando los números cortos 25388 (ARABBESKOMADRILEÑA SL), 27305 (OCIOTERAPIA LEVANTE SL), 27205 (NATURAL FLAVORINTERNACIONAL SL) y 797205 (NATURAL FLAVOR INTERNACIONAL SL).

El correo que responde a otros del mismo día que se incluyen, contiene unatabla que incluye el texto de los mensajes, la campaña en la que se incluye, la base dedatos a utilizar, el número de envíos diarios y el periodo de envío.

DOC. 3

Correo electrónico de 14 de abril de 2014 en el que ***NOMBRE.1 respondea INNOVA ASESORES, con copia a ***NOMBRE.2 y LA SECRETARIA dando suaprobación a “…las retenciones a los trabajadores y profesionales a declarar en elprimer trimestre de 2014”.

El correo incluye una tabla en la que figuran 20 sociedades.

DOC. 4

Relación de correos electrónicos de 15 de abril de 2014 en el que***NOMBRE.1 responde a INNOVA ASESORES un correo previamente dirigido a élmismo, ***NOMBRE.2 y LA SECRETARIA manifiesta haber solicitado a la gestoría “…arreglarlo para que sólo paguemos cantidades bajitas. Nos vuelve a enviar un correoconforme queda definitivo” y además que “Sería interesante aplazar Iebolina,Mensajería e Ibérica.”.

DOC. 5

Correo electrónico de 21 de agosto de 2014 en el que ***NOMBRE.2responde a ***NOMBRE.1 que se pone “con los temas” en respuesta a un correoC/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

9/72

electrónico de ese mismo día que envía ***NOMBRE.1 a ***NOMBRE.2,***NOMBRE.3, LA SECRETARIA y EL ABOGADO informándoles de los proyectos quetiene en marcha distintas empresas del grupo como:

“…ESTAN SOLICITADAS A LA CNMC LAS NUESTRAS PROPIAS[líneas 905] A NOMBRE DE ARABBESKO MADRILEÑA”

“ACTUALMENTE TENEMOS LINEAS PROPIAS ACTIVAS Y SIN USARCON MAS VOZ A NOMBRE DE NATURAL FLAVOR Y GLOBAL TELECOM CONOCIOTERAPIA…”

“HEMOS SOLICITADO A JET MULTIMEDIA QUE NOS INTEGRE 2NUMEROS DE RANGO 2 Y UNO DE 99 A NOMBRE DE BUSCANDO SUERTE…”

Además, en el correo electrónico ***NOMBRE.1 pide a ***NOMBRE.2 quese encargue de tareas como:

“***NOMBRE.8 EL NUMERO DE RANGO 99 NECESITO URGENTEQUE PRECIO LO QUEREMOS”

“***NOMBRE.8 POR FAVOR VES EFECTUANDO LOS PRODUCTOSLO MAS DETALLADO POSIBLE PARA PASARSELOS CUANTO ANTES. SI TIENESDUDAS QUE SALDRÁN LLAMA A (…) AL ***TELEFONO.1. AHORA TENEMOSTIEMPO.”

“***NOMBRE.8 EL NUMERO DE RANGO 99 NECESITO URGENTEQUE PRECIO LO QUEREMOS”

“CITADRINK. ***NOMBRE.8 VA A DISEÑAR EL PRODUCTO.”

Este correo es un ejemplo ilustrativo, pero en los buzones aportados por ladenunciante se han localizado numerosos correos de este tipo en el que***NOMBRE.2 y ***NOMBRE.1 establecen las tareas en relación con el envío de losmensajes SMS.

DOC. 6

Correo electrónico de 19 de febrero de 2015 enviado por ***NOMBRE.1 a***NOMBRE.2, ***NOMBRE.3 y LA SECRETARIA en el que “Os detallo la estrategiapara mañana Viernes y las tareas de cada uno, nosotros no iremos a primera hora yaque ***NOMBRE.8 van a…”


10/72

En el correo electrónico ***NOMBRE.1 establece las tareas a realizar por***NOMBRE.3 y LA SECRETARIA en relación con el envío de mensajes a través denúmeros de IEBOLINA TRADICIONAL SL, a pesar de que ninguno de los que apareceen los correos tiene, en teoría, relación con dicha sociedad.

DOC. 7

Correos electrónicos de 2 de diciembre de 2014 y 6 de febrero de 2015enviado por LA SECRETARIA a ***NOMBRE.1 en los que le adjunta un fichero enformato MS Excel con los gastos de diciembre de 2014 y febrero de 2015 de las 20empresas citadas en el documento DOC. 3.

DOC. 8

Correo electrónico de 11 de febrero de 2015 remitido por LA SECRETARIA a***NOMBRE.1 y ***NOMBRE.2 en el que les adjunta la carta de despido de untrabajador de IBÉRICA PREMIUM TELECOMUNICACIONES SL, a pesar de que niremitente ni destinatarios tienen, en teoría, relación con dicha sociedad.

DOC. 9

Correo electrónico de 24 de octubre de 2014 en el que ***NOMBRE.1responde que “Perfecto” a uno previo de INNOVA ASESORES sobre si el embargoque ha llegado de los créditos del administrador de IEBOLINA TRADICIONAL SL lesafecta para algo en el funcionamiento de la empresa y en el que INNOVA manifiestaque no porque “…IEBOLINA no puede pagarle nada a Carlos Arribas porque tendríaque pagarle a hacienda una parte hasta cubrir la deuda que este tiene”

DOC. 10

Correos electrónicos de 14 y 15 de enero de 2015 en los que ***NOMBRE.1indica a LA SECRETARIA que empresas del entramado deben de solicitar ante laCNMC (Comisión Nacional del Mercado y la Competencia) ser operadoras y loscorreos en los que LA SECRETARIA le facilita a EL ABOGADO la documentación quedebe ser remitida en nombre de LINEA SMS SL, CALL CENTER LEVANTE SL,GESTORA DE OFERTAS DE TRABAJO SL y TELECOM WORLDWIDE SYSTEMSSL.

DOC. 11

Correo electrónico de 30 de junio de 2014 en el que ***NOMBRE.1 solicita aLA SECRETARIA lo siguiente: “Gema por favor informa de voz no por correo alpersonal de que este mes cobraran el día 1 el 50% incluidas las operadoras, a estas


11/72

últimas explícales que es de forma excepcional lo de pagar cada quincena y hasta queempecemos a facturar va a ser así, si todo va bien empezaremos esta semana afacturar por SMS y la segunda quincena por la llamada perdida. Dales un mensaje detranquilidad y de confianza no obstante yo mañana hablare con ellas.”

DOC. 12

Correo electrónico de 25 de febrero de 2015 en el que LA SECRETARIAresponde a ***NOMBRE.1 que solicita lo siguiente “***NOMBRE.8 hoy tienes queempezar las pruebas del whatts app, para ello te tienen que dar los números de losusuarios identificados con algún dato de sus conversaciones.”. El correo vieneacompañado de un fichero en formato MS Excel con datos: Sexo, nombre, población,provincia, estado civil, edad y relación.

Sobre la información hallada en el disco duro

Al analizar el disco duro se han encontrado cuatro servidores de base dedatos MS SQL Server 2008 R2 a las que, con los datos facilitados por la denunciante,se ha podido acceder. Se han hallado un total de 29 bases de datos distintas quecontienen datos sobre el envío y recepción de mensajes de texto o SMS y tambiénsobre distintas personas físicas.

Servidor Base de datos

PASARELA_ZONA

ADMINISTRACION

ALERTAS79

CHAT2

FOTO2

HISTO_CLIENTES

MICROPAGOS

PASARELA

PUSH

WAPCOLOMBIA

BBDDNumeros

HISTO_CHEAPPUSH_2011



HISTO_WAPHISTO_ZONAD


12/72

inno_smi

RENTABILIDAD

AMERICASQL

USUARIOS_ADMIN

WEB_ESPANYA2

WEB_GENERAL

RUMANIA

CHEAPPUSH

CHEAPPUSH_CELLENT

CHEAPPUSH_CLX

CHEAPPUSH_INFOBIP

CHEAPPUSH_IPX

CHEAPPUSH_NET

CHEAPPUSH_NVIA

CHEAPPUSH_ROUTESMS

CHEAPPUSH2

Las bases de datos están compuestas por tablas que pueden estarrelacionadas entre sí. Son las tablas las que contiene los registros con la informaciónque debe de ser analizada.

Uno de los términos que se observa repetidamente los nombres de lastablas es “PUSH”, que se utiliza para identificar los envíos realizados desde unservidor de mensajes y distinguirlos de los enviados desde un terminal a otro.

En las bases de datos que nos ocupan le termino PUSH identifica el envíomasivo de mensajes idénticos. Esto puede comprobarse fácilmente contando elnúmero de mensajes para un texto dado en una tabla “PUSH”.

Por ejemplo, en el servidor COLOMBIA, en la base de datosHISTO_ZONAD, dentro de la tabla HISTO_PUSH_2014 consta el registro de haberenviado 82.622 mensajes SMS con el texto “Hola!! Te acuerdas de mí, no? hacetiempo que te estoy buscando pero no me respondes, que pasa es que te hasolvidado de mi en este tiempo? Dime algo por favor” o el envío en 6.911 ocasiones delmensaje SMS “Necesitas PRUEBAS de q voy serio y no es mentira? Pues tengo algopara TI, pero puedes contestar...? Se q me lees!! “

Durante la investigación no se ha encontrado información significativa sobreel diseño de la base de datos y su contenido por lo que el análisis se basa en elnombre de las tablas y el contenido de las mismas.

Los datos personales hallados se concentran en la tabla FICHA de la basede datos CHAT2 que se encuentra en la instancia PASARELA_ZONA. La tabla constacon un total de 666.481 registros y cada registro contiene los siguientes campos:


13/72

personaje1 (número de teléfono móvil o código personaje)


nombre

apellidos

sexo

edad

población

provincia

profesión

estado Civil

busca (especifica si busca relaciones sexuales con hombres, mujeres o ambos)

aficiones

descripcionFisica

comentarios

diaNac (día de nacimiento)

mesNac (mes de nacimiento)

anyNac (año de nacimiento)

horoscopo

email

tlf_modelo

tlf_otros

deporte

deporte_otros


14/72

maru

maru_otros

La función de los últimos dos campos es desconocida, pero a juzgar por lainformación contenida en los registros, parece contener comentarios sobre el cliente.

Cuando aparece un número de teléfono en el campo personaje1, enpersonaje2 aparece el código del personaje (identidad ficticia utilizada por laoperadora para tratar con el afectado) y el resto del registro contiene datos delafectado. Cuando en el campo personaje1 aparece un código de personaje 1 enpersonaje2 un número de teléfono móvil, los datos de que aparecen a continuaciónson los del personaje ficticio, que este intercambiaba con el afectado durante lassesiones de chat.

En la tabla aparecen 301.049 números de teléfono distintos.

Por ejemplo, al buscar en la tabla ficha el número 34650363122, ésteaparece dos veces, una en el campo personaje1, donde en el campo personaje2consta el código de personaje “***PERSONAJE.1” y en el resto de los campos losdatos obtenidos de la afectada.

34650363122;***PERSONAJE.1;***NOMBRE.9;2;47;***LOCALIDAD.3;19;***PROFESIÓN.1;3;0;ALPINISMOtocar la bateria. Soy independentista; con doshijod.De verdad q ha sido in placet.Besos y adiosYA te dije de 8 a 3 y 24 horas cada10dias librando al dia siguiente.;0;0;1900;0;Móvil;

Primer registro (campos separados por ;)

Y otro segundo registro donde en el campo personaje1 aparece el código depersonaje “***PERSONAJE.1”, en el campo personaje2 el número de móvil de laafectada y en el resto de los campos los datos del personaje ficticio.

***PERSONAJE.1;34650363122;***NOMBRE.8;(tele);1;37;0;***PROFESIÓN.17;1;2;deporte,playa;Ruta ***LOCALIDAD.10***PROVINCIA.2; tuve varoicela;0;0;1900;0;NULL;NULL;NULL;NULL;NULL;NULL

Segundo registro (campos separados por ;)

Si bien es cierto que no todos los registros tienen información registrada encada uno de los campos el análisis de la información almacenada muestra que almenos parte de la estructura fue diseñada y utilizada para almacenar datospersonales especialmente protegidos (ideología, afiliación sindical, religión,creencias, origen racial o étnico, o vida sexual).


15/72

No en todos los casos se han almacenado nombre y apellidos. Con el fin deestimar el número de personas de las que podría haberse almacenado nombre yapellidos se ha consultado la base de datos para obtener un total de 15.727 registrosdistintos que cumplen las siguientes condiciones:

nombre + apellidos distintos

Longitud del nombre más el apellido mayor que 20

No se incluye la palabra “menor” o “mneor” (se escribe así por error ennumerosos casos) en ninguno de los dos campos.

Entre los 15.727 registros hay casos en los que en los camposrecuperados no se conservan el nombre y los apellidos sino otro tipo de detalles comocircunstancias familiares, enfermedades o comentarios sobre la personalidad delafectado, pero en muchos otros casos sí que se almacenan el nombre, el o losapellidos y, en ocasiones, la dirección de correo electrónico. Sirva como ejemplo elANEXO 2 del Informe de Actuaciones Previas de Inspección E/03730/2015 quecontiene una muestra con 50 casos.

Se han hallado numerosos registros con datos especialmente protegidosen la tabla de los que a continuación se mostrarán ejemplos. Dado que lainformación no siempre se almacena en los campos dispuestos para ello (nombre yapellidos en el campo nombre o descripción física en comentarios), en cada ejemplose indicará los campos personaje 1 y personaje 2 que identifican unívocamente unregistro8 y la lista de campos más relevantes con el texto incluido en éstos (se haincluido algún espacio con el fin de mejorar la legibilidad de los textos).

Ideología

Se realizan búsquedas sobre la tabla con textos como “independentista”(3 registros), “comunista” (1 registro), “socialista” (1 registro), “anarquista” (2registros) o “movimiento nacional” (1 registro). Datos obtenidos de algunos de losregistros:

Personaje 1 Personaje 2 Datos

8 Son la clave primaria de la tabla.


16/72

34650363122 ***PERSONAJE.1

Nombre: ***NOMBRE.9

Edad: A.A.

Población: ***LOCALIDAD.3

Profesión: ***PROFESIÓN.1

Aficiones: ALPINISMO tocar la batería. Soyindependentista

Descripción física: con dos hijos. De verdad q hasido in placet. Besos y adiós YA te dije de 8 a 3 y 24horas cada 10 días librando al día siguiente.

34626627697 ***PERSONAJE.2

Nombre: ***NOMBRE.10.

Apellidos: ***NOMBRE.10 ***EMAIL.1

Edad: B.B.



Aficiones: ENTRE otras cosas soy juez-Yo heestadado en prision como presunto etarra-

Descripción física: ***NOMBRE.11 18. I.aki15.SIEMPRE voy con camisa blanca sin cuello i contejanos-hija ***NOMBRE.11 saco un 9.76 enselectividad. Estudiará filosofía y nanotecnología.I.aki como su madre. Directo a los negocios

Comentarios: jefe de informatica del ayuntamientoLes llamo por su nombre. ***NOMBRE.11-mi madrees catalana i mi padre murió a los 30 años. Es milengua materna. Viuda a los 30 i 4 hijos-Y mihermano murió. Fueron épocas durísimas y yo eradel partido comunista-

34620452514 ***PERSONAJE.3

Nombre: ***NOMBRE.12

Apellidos: MENORRRRRRRRRRRRRRRRRRRR

Edad: C.C.


Aficiones: MENORRRRRRRRRRRRRRRRRRRR

Descripción física: Soy gitano no creo que sea unproblema no.28 años.1,75.75kg.Venga estoytrabajando

Comentarios: MOVIMIENTO nacional. Ynestrillas.Soy afiliado


17/72

Afiliación sindical

Se realizan búsquedas sobre la tabla con textos como “sindica” (20registros) y “UGT” (4 registros). Datos obtenidos de algunos de los registros:


34649823709 ***PERSONAJE.4


Apellidos: quiere quedar 4/11 a las 6:30

Edad: D.D.



Aficiones: soy de la ugt/cofrade+

34618898413 ***PERSONAJE.5


Apellidos: he cambiado de móvil


Provincia: ***PROVINCIA.1


Aficiones: somos independiente d la policía nacional yd la guardia civil y también soy sindicalista

34636527779 ***PERSONAJE.6


Edad: E.E.


Provincia: ***PROVINCIA.2


Aficiones: yo busco pareja en persona no por chat

Comentarios: SOY de cnt el único sindicato libre quequeremos ayudas del estado y el único sindicato queestá al servicio del pueblo tuve pero falleció hace ochoaños que trabajo en Martorell anarcosindicalista unmelenudo con un pendiente jejejeje

Religión

Se realizan búsquedas sobre la tabla con textos como “católico” (28registros), “musulmán” (19 registros), “agnóstico” (1 registro), “ateo” (1 registro) o“budista” (8 registros). Datos obtenidos de algunos de los registros:


18/72


34626294871 ***PERSONAJE.7


Apellidos: en noviembre puede quedar

Edad: F.F.



Aficiones: 27/9 EN ***LOCALIDAD.7! más de 15años sin mojar// dos nietos: niña de 4 años yniño de 18 meses DIA 7 de diciembre y tengo qir a Torrevieja al piso de ahí-

Descripción física: no se va a Torrevieja en elpuente xq no había billetes MORENO ojosmarrones- 78 kilos y 1,65 de altura./26/9 suegraen el hopi

Comentarios: la playa del Cura/NO tengo cocheni carnet/ 27/11 mi mujer se viene a Torrevieja yno podemos quedar/es católico/estuve en Siria yJordania NO tengo carnet de conducir así

Día nacimiento: 21

Mes nacimiento: 4


19/72

34***TELEFONO.5 ***PERSONAJE.8


Población: melilla


Aficiones: Es musulmán

34695017331 ***PERSONAJE.9


Edad: G.G.


Profesión: una persona mayor

Descripción física: MORENA 1 58

Comentarios: soy marruecos musulmana NOpuedo tener novio de otra religión e de otro país

34650823415 ***PERSONAJE.10


Apellidos: no mandar Matus de quedar losfindes

Edad: H.H.



Aficiones: se quedó sin padre x infarto a los18-1.88cm/90kg- Inés tiene 33 as es soltera sureligión es budista/ dos sobrinas-

Descripción física: el jefe le quita la antigüedady pagas extras 16-04-NO KIERE FOTOSGUARRAS-/9sobrinos y 6 hermanas/él es elpeque/Carrozados Rojo al lado d Aranda y en elcampo/con 19 años me puse a trabajar en laempresa10 horas diarias y los fines en el campopara mantener a mi madre y mi hermanapequeña/madre tiene artrosis 81 años/soy muyestricto y sincero /

Comentarios: le mide 15 cm/intente suicidarmedos veces con el coche una x q m prometióvacaciones d verano y luego m dijo q tenía qtrabajar y después m dijo q en navidades/esta mihermana d ***LOCALIDAD.10 mi cuñada y missobrinas/qda 1 año y 9 meses y pago 380 almes-

Origen racial o étnicoC/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

20/72

Realizada una búsqueda sobre la tabla del texto “gitan” se hallan un totalde 158, “soy negro” (25 registros), “marroquí” (41 registros) y “soy chino “ (3registros). Datos obtenidos de algunos de los registros:


34605819612 ***PERSONAJE.11

Nombre: enviando a esta niña

Apellidos: no llamar cielo ni amor ni nada

Edad: I.I.



Estado Civil:2

Busca:0

Descripción física: es gitana

Comentarios: y busco amistad tengo una niña de 1año y prefiero estar con ella VIVIMOS juntosllevamos 7 años y es una bella persona no tengoqueja hemos dejado PUES nada me falta tengotodo lo que quiero y deseo


21/72



Edad: J.J.



Aficiones: yo ya tengo novia

Descripción física: SOY ***NACIONALIDAD.1

Comentarios: SOY moreno alto y delgado pelonegro y ojos marrones 84 k y 1.77 / mis padresson portugueses YO vine de Portugal

34657104423 ***PERSONAJE.13


Apellidos: SOY chino

Edad: K.K.

Aficiones: cinco años en España VIVO con unapareja cariñosa y chico amable; tengo novia chinao eso pienso yo ella no se

34600771612 ***PERSONAJE.14


Edad: L.L.


Profesión: ***PROFESION.11

Comentarios: DE Dakar Senegal - soy negro - en elparo desde mayo más o menos

Salud

Se realizan búsquedas sobre la tabla con textos como “cáncer” (378registros), “enfermedad” (110 registros), “tumor” (76 registros), “depresión” (99registros), “esquizofreni” (46 registro) o VIH (6 registros). Datos obtenidos dealgunos de los registros:




Apellidos: vive en pardiñas barrio vivió en zara

Edad: M.M.



Aficiones: TIENE EL VIH!!!!


22/72

34605116524 ***PERSONAJE.8

Nombre: ***NOMBRE.22.

Apellidos: esquizofrenia paranoide

Edad: N.N.

Población: ***PROVINCIA.2


Aficiones: música el cine pasear estudiar

Descripción física: moreno ojos verdes llevo barbasoy bajito

Comentarios: hermanas una mayor 44 ke yo y otramenor 37tengo dos hermanas una mayor y otramenor ke yo. UNA está casada y tiene dos hijos yla otra está separada y tiene 1 hijo. mi problemacon la ludopatía

34617288173 ***PERSONAJE.1


Apellidos: (…)

Edad: Ñ.Ñ.


Aficiones: separada hace cinco y tengo un hijo dediez años me ha operado cuatro veces y estaúltima espero sea la última .me lo quitan todo esde útero

34659533830 ***PERSONAJE.1


Edad: O.O.


Descripción física: dos nenes-Soy bajita, pelo corto yrubia-

Comentarios: tengo una enfermedad ke se llamafibromialgia DOLORES de músculos y depresiónDESDE hace 3 años

Vida sexual

Se realizan búsquedas sobre la tabla con textos como “gay” (575registro), “lesbiana” (237 registros), “bisex” (129 registros), “hetero” (29 registros) o“homosexual” (7 registros). Datos obtenidos de algunos de los registros:


23/72


34607115274 ***PERSONAJE.3


Apellidos: gay

Edad: P.P.



Descripción física: SOY moreno mido 170 de altura ytengo trabajo fijo y tu como te llama

Comentarios: CUANDO iba al colegio el maestro melleva al servicio y me baja la ropa y saca su polla parachupa y luego me traje su leche

34609234906 ***PERSONAJE.16


Apellidos: soy lesbiana

Edad: Q.Q.

Provincia: ***LOCALIDAD.10


Descripción física: MIDO 1.70 buenas tetas buen culitoguapa y rubia y ardiente

34636209455 ***PERSONAJE.17


Edad: R.R.

Población: CAMPO REAL


Descripción física: SOY MORENAOJOS MARRONCLARO RELLENITA 120 D PECHO RASURADA

Comentarios: BISEX

34665429127 ***PERSONAJE.15

Nombre: ***NOMBRE.28!!!

Apellidos: menor¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡

Aficiones: madre fallecida

Menores

Como puede observarse en varios de los ejemplos a pesar de que suelenmarcar los afectados menores de edad se mantiene la información sobre ellos en elsistema.


24/72

Se ha observado que la condición de menor de un afectado se indicaba enlos registros a través del texto “menor” o “menorrrr” (con un número aleatorio de letrasrr de más) en alguno o varios de los campos.

Para tratar de contabilizar el número de registros que contenían datos deafectados marcados como menores se realizan, tras exportar todos los datos de latabla a un texto plano, búsquedas de distintas palabras clave con los resultados quese detallan a continuación.

Se localizan 6.704 registros distintos que contenían el texto “menor” (deestos 320 correspondían a registros con la palabra “Menorca”).

Se localizan 4.795 registros distintos que contenían el texto “menorr”

Se localizan 4.784 registros distintos que contenían el texto “menorrr”

Se localizan 4.749 registros distintos que contenían el texto “menorrrr”

Consultada la tabla ficha en la base de datos, el número de registros en losque el campo edad es mayor que 5 (se ha observado que en muchas ocasiones estecampo tiene un valor de 0, sea o no menor el afectado) y menor de 14 es de 365.

El número de registros en los que el campo edad tiene un valor de entre 14y 17 es de 711.

Si bien es cierto que muchos de los registros marcados como de menorestienen la mayor parte de los campos “descriptivos” (el número de teléfono del menorsiempre se almacena) sin valor existen oros caso en los que no es así. A continuaciónse muestran algunos ejemplos de datos de afectados que o bien se han marcadocomo menores de edad o bien por el valor de su campo edad, se supone que lo son.Únicamente se muestran en la tabla los campos con valores significativos.


34***TELEFONO.3

***PERSONAJE.1


Apellidos: menorrrrrrrrrrrrrrrrrrrrrrrr

Edad: S.S.


25/72

34600204282***PERSON

AJE.9


Apellidos: de argentina

Edad: T.T.

Aficiones: MENORRRRRRRRRRRRRRRRRRRRRRR

Descripción física: MENORRRRRRRRRRRRRRRRRR

Comentarios: PERDONA te e mentido tengo 13

34600236094***PERSON

AJE.18


Apellidos: MENORRRRRRRRRRRRRRRRRRRRRRR

Edad: U.U.


Profesión: menor


Descripción física: soy morena ojos marrones y alta

Comentarios: menor

34615866464***PERSON

AJE.19


Apellidos: MENORRRRRRRRRRRRRRRRRRRRRR

Edad: V.V.


Aficiones: MENORRRRRRRRRRRRRRRRRRRRRR


Comentarios: MENORRRRRRRRRRRRRRRRRRRRR

34635523484***PERSON

AJE.20


Apellidos: MNEORRRRRRRRRRRRRRRRRR

Edad: W.W.

Población: ***LOCALIDAD.17 (***PROVINCIA.2)




26/72

34658917698***PERSON

AJE.21


Edad: X.X.

Población: ***PROVINCIA.2

Aficiones: MENORRRRRRRRRRRRRRRRRRRRRR



Sobre la inclusión del fichero o ficheros en el RGPD

Consultado el RGPD el 14 de Agosto de 2015 no consta ningún ficheroinscrito en el que el responsable sea ***NOMBRE.1, ***NOMBRE.2 o ***NOMBRE.3.

La denuncia identifica las siguientes 21 sociedades como las presuntamenteutilizadas para la comisión de los hechos, que constan reseñadas en el del Informe deActuaciones Previas de Inspección E/03730/2015, de las que únicamenteMENSAJERÍA INALÁMBRICA SL, SIMOES BIS SL y ZONA DESCUBIERTA SLUconstan como responsables de ficheros inscritos en el RGPD ninguna tiene declaradoun fichero con los datos de sus clientes.

Sobre la información proporcionada durante la recogida de datos

Del análisis de las bases de datos aportadas se desprende (los mensajesremitidos a los afectados únicamente se han localizado números cortos) que los datosde los afectados han sido obtenidos a través de los mensajes SMS que éstosremitieron.

Por ello, las posibles infracciones de lo dispuesto en la normativa en relacióncon la información proporcionada en la recogida, el consentimiento prestado y laforma, engañosa y fraudulenta o no, en la que se prestó.

La información previa a la recogida de los datos personales a la que obligael artículo 5 de la LOPD debió ser transmitida a los titulares de los datos a través deSMS pero no se ha localizado en la base de datos ningún texto que contengadicha información.

Para tratar de acreditar si los mensajes enviados contienen la informaciónprevista en la normativa, se han realizado búsquedas en tablas cuyos nombres indican


27/72

que contienen los mensajes enviados a los destinatarios.

Las palabras utilizadas como criterio de búsqueda son:

Consentimiento

Datos personales

Derechos

Acceso

Rectificación

Cancelación

Las tablas9 en las que se ha buscado son:

PASARELA_ZONA.CHAT2.HISTO_PUSH_TODO

Contiene el registro del envío de 9.301.600 SMS entre el 31 de octubre de2007 y el 24 de diciembre de 2014

PASARELA_ZONA.CHAT2.HISTO_PUSH_2

Contiene el registro del envío de 1.720 SMS entre el 19 y el 26 de febrero de2015.

PASARELA_ZONA.CHAT2.MENSAJES_PUSH

Contiene el registro del envío de 768 SMS entre el 19 y el 26 de febrero de2015

COLOMBIA.HISTO_ZONAD.HISTO_ENVIADOS2014

Contiene el registro del envío de 396.858 SMS entre el 1 de enero y el 30 denoviembre de 2014.

Existen tablas similares para los años 2007 a 2013.

9 El formato de la lista es [SERVIDOR].[BASE DE DATOS].[TABLA]


28/72

COLOMBIA.HISTO_ZONAD.HISTO_PUSH_2014

Contiene el registro del envío de 786.392 SMS entre el 1 de enero y el 30 denoviembre de 2014

Si bien se han localizado mensajes que contienen las palabras de la lista , éstos noproporcionan la información prevista en el artículo 5 de la LOPD.

No se ha podido acreditar que los titulares de los datos recibieran através del envío de mensajes SMS la información prevista en el artículo 5 de laLOPD.

Sobre la recogida de datos en forma engañosa o fraudulenta.

Tras exportar todos los datos de la tabla a un texto plano, se realiza unabúsqueda que abarca toda la información de la tabla utilizando como criterios lostextos “cree que somos” (37 coincidencias), “cree que soy” (4 coincidencias), “piensaque” (29 coincidencias) o “cree que habla con” (5 coincidencias).

En los registros coincidentes se observa que los afectados estánengañados respecto a la identidad del interlocutor con quien están intercambiandomensajes y los operadores lo reflejan con textos como:

34606737729 “CREE QUE SOMOS SU EX MARIDO O SU EX! OJO!!”

34618780020 “cree que somos Marisol”

34620138484 “CREE QUE SOMOS EL CURA QUE LE DIO LA COMUNION AUNO DE SUS HIJOS!!!!!”

34647410830 “se cree que somos unos que se lio con ella”

34620138484 “cree que somos un sacerdote”

34679727106 “CREE QUE SOMOS UNA VECINA”

34638915934 “se piensa que soy la de Avon”

34608286409 “SE PIENSA QUE ES UN TAL MARCOS!!!!”

34663453883 “CREE QUE SOY LA HERMANA DE UN TAL BLAS”

34630815336 “CREE QUE HABLA CON UNA EX EMPLEADA”

Por otro lado, tras realizar una búsqueda en los buzones de correosaportados por la denunciante utilizando como palabras clave las palabras “engaño”,“fraude”, “juicio” y otras de similar contexto, se han localizado una serie de correoselectrónicos que evidencian la recogida fraudulenta de datos continuada.C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

29/72

En el ANEXO 3 del Informe de Actuaciones Previas de InspecciónE/03730/2015 se encuentra una muestra de los documentos hallados que acontinuación se describen.

DOC.1

Relación de correos electrónicos intercambiados el 27 de julio de 2011 entre***NOMBRE.35, ***NOMBRE.1, ***NOMBRE.2 (***NOMBRE.3 y LA SECRETARIAestán en copia) en los que la primera propone dos campañas de envíos de mensajesque describe como “Le escribimos como si nos hubiéramos equivocado de numeromóvil al activar el servicio de localización, y lo tratamos como una campaña de engañohasta que sepamos si es hombre o mujer y así lo pasamos con un personaje dekalambritos para seguir hablando por el 27310”.

Tanto ***NOMBRE.1 como ***NOMBRE.2 responden a la propuesta “Megustan pero hay q probarlo…” y “me gustan las 2 campañas, quizá la de sin variableme guste más” respectivamente.

DOC. 2

Relación de correos electrónicos intercambiados entre el 30 de junio y el 6de julio de 2010 entre ***NOMBRE.35, LA SECRETARIA y ***NOMBRE.2(***NOMBRE.3 y ***NOMBRE.1 están en copia) en los que el asunto es “CAMPAÑAAUTOMATICA DE EMPLEO”.

En el primero de los correos ***NOMBRE.35 manifiesta en relación a lacampaña de envíos “Hola ***NOMBRE.8, he retocado la campaña que t comente estamañana, espero que te guste.”. El texto de la campaña es “publi–Asunto: Propuesta deemp***NOMBRE.19 dirigida al propietario de este número de móvil. Para más infoenvía INFO al 2????” y a continuación se listan los textos de los SMS con los que serespondería a los que contestasen al primero de los mensajes donde se le hacen lassiguientes preguntas en relación a un supuesto casting:

1. Te has presentado alguna vez a una entrevista personal por este medio? SI o No

2. Este puesto de trabajo requiere mayoría de edad, tienes más de 18 años? SI o No

3. Te has presentado algún casting? SI o No

4. Te gustaría salir en la tv? SI o No

5. Crees que tienes don de gente? SI o NO

6. Dispones de vehículo para desplazarte? SI o NO

7. Tienes disponibilidad de viajar? SI o NO

8. Trabajas o tiene alguna ocupación en estos momentos? SI o NO


30/72

La campaña finaliza con el envío de un correo electrónico en el que lesolicitan que remita un SMS indicando su provincia de residencia.

Con respecto al objeto de la campaña se indica (en rojo en el original):

“SI EL USUARIO COMPLETA EL CICLO, HABREMOS SACADO 13 MENSAJES POR USUARIO Y DATOS PARA OTRAS CAMPAÑAS.

Nosotros sacamos los emails y nos vamos haciendo una base de email, provincia. Que después utilizaremos para enviar las campañas por email personalizadas por provincias .y a donde le enviaremos los resultados de la entrevista.

Que sacamos dl envío de esos emails personalizados por provincias y que tipo de campañas podríamos utilizar por ejemplo

Enviamos un email con remitente desconocido o como consideremos yenviamos el perfil q sea oportuno para traer al Xico a cualquiera de las altas79 y micropagos que se estipule. ( aumentamos las altas y los micro pagos o lo que se considereoportuno mientras por el otro lado xatean por el dos como siempre por medio d unpush normal y por otro lado por los emails lo incentivamos a las altas 79 ,micropagos,99 , lo que sea)”

DOC. 3

Correo electrónico remitido el 3 de abril de 2013 por ***NOMBRE.35 a***NOMBRE.2 y con ***NOMBRE.1, ***NOMBRE.3 y LA SECRETARIA con el texto“Buenas noches esto es lo que hablamos por was y la propuesta de campañas”. Elcorreo electrónico lleva dos documentos adjuntos que describen dos campañas deenvíos.

El primero de ellos describe la campaña con el texto “campaña de engañodesde localización” e indica que el texto a enviar será “EL NUMERO DE MOVILXXXXXXXXX HA PEDIDO QUE ACTIVEMOS GEOLOCALIZACION SOBRE TUNUMERO, ACEPTAS ESTA ACTIVACION? (ENVIA GEO SEGUIDA DE TURESPUESTA AL XXXX)”.

El fichero contiene indicaciones sobre como disculpar el engaño “…lehablaremos desde el chat con el personaje ficticio que proceda haciendo saber alusuario que ha debido de ser un error al teclear el número de tfno. e intentaremosengancharlo para que se convierta en un habitual,”

DOC. 4

Impresión parcial del listado de mensajes intercambiados entre el titular dela línea ***TELEFONO.7 y las teleoperadoras y del listado de mensajes enviados aéste, que incluye tanto los remitidos por las teleoperadoras como los enviados dentrode campañas masivas.


31/72

Puede observarse como a pesar de que a esa línea se envían mensajes conanterioridad, al mensaje que responde inicialmente el titular es uno recibido el 21 denoviembre de 2014 a las 13:00 horas “Ei tuve q pillar el móvil d mi hermano parahablar contigo que pasa por q me has bloqueado?? te puedo llamar por tfno. porfavor?? m lo vas a coger si te llamo? Di”

A partir de ese momento comienza una conversación donde le proporciona datos como su nombre, su edad y su empleo.

Sobre la recogida y conservación de los datos

Conforme a lo dispuesto el al artículo 12.1 del RDL 1720/2007, de 21 dediciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (RLOPD)“La solicitud del consentimiento deberá ir referida a un tratamiento o serie detratamientos concretos, con delimitación de la finalidad para los que se recaba, asícomo de las restantes condiciones que concurran en el tratamiento o serie detratamientos.” El RLOPD también dispone en su artículo 12.1 que “Corresponderá alresponsable del tratamiento la prueba de la existencia del consentimiento del afectadopor cualquier medio de prueba admisible en derecho.”

En el caso que nos ocupa, y dado que no se ha acreditado haberinformado sobre los tratamientos y las finalidades concretos, no se ha podidotampoco acreditar que los afectados hayan prestado un consentimiento validopara el tratamiento de sus datos.

Datos especialmente protegidos

Tal y como se ha puesto de manifiesto en la descripción de los datosalmacenados, existen casos de tratamientos de datos especialmente protegidos. Enrelación con este tipo de datos y según lo dispuesto en el artículo 7.2 de la LOPD“Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto detratamiento los datos de carácter personal que revelen la ideología, afiliación sindical,religión y creencias.”

No sería válido en tal caso el consentimiento prestado a través de un SMS ode cualquier otro medio electrónico para el tratamiento de este tipo de datos.

Los denunciados no han acreditado el consentimiento prestado por escritopor los afectados para el tratamiento de sus datos de ideología, afiliación sindical,religión o creencias.

Datos de menores


32/72

Tal y como se ha descrito previamente en el apartado “Menores” la base dedatos contiene los datos de miles de menores de edad. De éstos al menos 365 estánregistrados como menores de 14 años.

Se han hallado mensajes remitidos por los afectados en las siguientes tablas en elservidor PASARELA_ZONA y la base de datos CHAT2:

Tabla Número dereg.

Fecha inicial Fecha final

HISTO_RESPUESTAS 188.298 26/07/2014 27/02/2015

HISTO_RESPUESTAS_COPIA 4.873.747 28/05/2010 30/09/2013

HISTO_RESPUESTAS_COPIA2 3.414.523 28/05/2010 25/09/2013

ENTRADAS 4.598.857 08/02/2004 21/03/2015

Cada registro de esas tres tablas contiene los datos de una pareja demensajes intercambiados entre un afectado y una te***NOMBRE.19peradora, entre losque constan los textos completos de los mensajes, el personaje utilizado, la fecha y elidentificador de la te***NOMBRE.19peradora.

Como prueba de que los datos que constan en la base de datos sobre losafectados se han recogido a través de los mensajes remitidos por éstos, se hanseleccionado algunos de los afectados previamente citados y se ha comprobado quelos datos de la ficha figuran efectivamente entre los mensajes remitidos por el titular delos datos.

Conservación y actualización

Al comparar los datos hallados en las citadas tablas y compararlos con loshallados en la tabla FICHA que reúne los datos personales recogidos a lo largo de losaños se constata que los datos, una vez recabados, nunca eran actualizados nicancelados.

Por su extensión, el ANEXO 4 con copias digitales de los registros demensajes intercambiados obtenidos de las bases de datos, se incluye únicamente enformato digital.


33/72

Ejemplo 1

En la tabla FICHA, vinculados a la línea ***TELEFONO.2 figuran como datosel nombre “***NOMBRE.18”, que tiene 25 años, reside en ***LOCALIDAD.10, trabajade ***PROFESIÓN.10, tiene novia y es ***NACIONALIDAD.1. En el campocomentarios consta el texto “SOY moreno alto y delgado pelo negro y ojos marrones84 k y 1.77 / mis padres son portugueses YO vine de Portugal”.

Se han encontrado 234 parejas de mensajes intercambiados entre los días11 de junio y 5 de julio de 2010.

La primera pareja de mensajes intercambiado es, por parte de la operadora“hola has leído lo que te envíe ?”, y por parte del afectado “OFERTA”.

Los datos que constan se encuentran en mensajes enviados por el afectadocon los textos:

“QE noticia vivo en ***LOCALIDAD.10 xq”

“TENGO Y.Y. me llamo ***NOMBRE.18 trabajo y soy de***LOCALIDAD.10 ahora vas a decirme la forma de conocerte que no sea x el chat”

“SOY moreno alto y delgado pelo negro y ojos marrones 84 k y 1.77 cmanda ahora mándame la foto xfa”

“SI yo soy ***PROFESIÓN.10 y tú en que trabajas”

“SOY ***NACIONALIDAD.1 mis padres son portugueses yo nací aquípero si no te importa mejor”

“SI estás muy rica pero yo ya tengo novia y no creo que llegue nunca aconocerte”

Consultada el servidor COLOMBIA, en la base de datos HISTO_ZONAD,dentro de la tabla HISTOPUSH_2010 se encuentra el registro del mensaje que originoen intercambio de mensajes enviado el día 5 de julio de 2010 a las 08:15 horas con eltexto “Buenos días! te envío la foto de mi lado más salvaje¿?o prefieres que medesmelené y te envié algo más fuerte? ”

Ejemplo 2


34/72

En la tabla FICHA, vinculados a la línea ***TELEFONO.3 figuran como datosel nombre “***NOMBRE.29”, los apellidos “menorrrrrrrrrrrrrrrrrrrrrrrr” y como edad 0.

Se han encontrado 44 parejas de mensajes intercambiados entre los días 26y 27 de mayo de 2013.

La primera pareja de mensajes intercambiado es, por parte de la operadora“Ya sé que no sabes quién soy. Tenemos un amigo en común y te vi en una foto suyadel face, pero dime estas en línea?” y por parte del afectado “KIEN eres”.

Otro de los mensajes enviados por el afectado es “***NOMBRE.29 ese es miTuenti”.

El penúltimo mensaje enviado por el afectado es “SOL mi hermano se.Llama ***NOMBRE.12 pero...y. Tengo 14 años” que obtiene como respuesta “ESTESERVICIO ES PARA MAYORES DE 18 AÑOS”. El último mensaje del afectadoobtiene idéntica respuesta.

En la tabla ULTIMO_MATU_PERSONAJE se almacenan los últimosmatutinos10 enviados y contestados. Según lo que consta en dicha tabla el mensajeque comenzó esta conversación fue enviado el 26 de mayo de 2013 a las 20:15 horasy el texto es “Te vi en el Facebook. Espero q no te moleste q te hable. tienesWhatsApp ? Te puedo agregar así no gasto por aquí?(publi,1,45E, Polindus, CAC902001315)”

Ejemplo 3

En la tabla FICHA, vinculados a la línea ***TELEFONO.4 figuran como datosel nombre “***NOMBRE.21”, los apellidos “vivie en pardiñas barrio vivió en zara” ycomo edad Z.Z., que vive en la ciudad de ***LOCALIDAD.12, es ***PROFESIÓN.12 ytiene el VIH.

Se han encontrado 583 parejas de mensajes intercambiados entre los días19 de septiembre y 9 de octubre de 2012.

10 Según el manual de uso de la aplicación de chat, los matutinos son mensajes enviados con la intención de simular una conversación y atraer a los clientes.


35/72

La primera pareja de mensajes intercambiado es, por parte de la operadora“Holaaaaaaaaaa!! cuanto tiempo no? es que no te acuerdas??”, y por parte delafectado “HOLA quién eres?”.


“SI ***NOMBRE.21, dame tu MSN”

“SOY ***PROFESIÓN.12”

“29 pa 30” (en respuesta a la pregunta de cuantos años tiene)

“EN ***LOCALIDAD.12 x” (en respuesta a la pregunta de dónde estáviviendo)

“EN pardi.as y tu dónde tienes el piso en ***LOCALIDAD.12?”

“OK te he avisado he! Ya me da iwal todo no tengo nada kperder...tengo el VIH! Lo sé desde hace 1 mes! Como te as quedado he! Seguro k mequieres!?”

Consultada el servidor COLOMBIA, en la base de datosHISTO_CHEAPPUSH_2012, ¡dentro de las tablas SEPTIEMBRE y CAMPAÑAS seencuentra el registro del mensaje que origino en intercambio de mensajes enviado eldía 19 de septiembre de 2012 a las 12:15 horas con el texto “hola encontré mi móvilantiguo y viendo mensajes leí los tuyos. Búa q d tiempo tal estas? Yo me separe!tengo ganas de verte! para cuando un café puedes hoy?”

Ejemplo 4

En la tabla FICHA, vinculados a la línea ***TELEFONO.5 figuran como datosel nombre “ ***NOMBRE.15”, que vive en melilla, de profesión ***PROFESIÓN.7 y quees musulmán.

Se han encontrado 54 parejas de mensajes intercambiados entre los días 17y 24 de agosto de 2012 y una pareja del día 11 de enero de 2013.


36/72

La primera pareja de mensajes intercambiado es, por parte de la operadora“INFO: ya me han dicho que tienes que volver hacer otra entrevista escríbeme al27305 soy Ana (envía ANA al 27305)” y por parte del afectado “LEER”


“ME llamó ***NOMBRE.15 si no te gusta me lo dices”

“JAJAJAJAJAJA ANA tú sabes de que soy musulmán haber no te abrasconfundiste de persona”

“***PROFESIÓN.7 cario”

“Y como que damos para tomar algo si tu estas en ***LOCALIDAD.10 yyo en melilla”

Sobre las medidas de seguridad

Tal y como se ha establecido en las comprobaciones precedentes, el ficheroque incluye los datos de los afectados contiene datos especialmente protegidosque según lo previsto en la normativa vigente obligan a que el sistema que trate losdatos implemente las medidas de seguridad de nivel alto.

No se ha podido acceder a la aplicación a través de la que se gestionabanlos datos de los afectados y la documentación relativa al caso está siendo analizadadentro de las causas penales abiertas contra los responsables del fichero. Debido aello hay determinados aspectos de las medidas de seguridad que no pueden sercomprobados, pero de aquellos que si han podido ser comprobados se observaque no cumplen con lo previsto en la normativa vigente.

Se ha observado en reiterados correos que datos extraídos del fichero sonenviados sin cifrar por LA SECRETARIA o por ***NOMBRE.3 a ***NOMBRE.2,***NOMBRE.1 y otros destinatarios, tal como establece el artículo 104 del RDLOPD.

Como ejemplo de los correos electrónicos citados se incluyen en el ANEXO5 los siguientes documentos:

DOC. 1

Correo electrónico remitido por LA SECRETARIA a ***NOMBRE.2,***NOMBRE.1 y ***NOMBRE.3 el 25 de febrero de 2015 con datos (teléfono, Nick,sexo, nombre, población, provincia, estado civil, edad, relación11) de 650 destinatariosde “matutinos”. Este correo se envía en respuesta a uno precio de ***NOMBRE.1 en elque dice a ***NOMBRE.2 “***NOMBRE.8 hoy tienes que empezar las pruebas del11 El campo relación indica si el destinatario busca una relación de amistad o sexual.


37/72

whatts app , para ello te tienen que dar los números de los usuarios identificados conalgún dato de sus conversaciones”

DOC. 2

Correo electrónico remitido por ***NOMBRE.3 a ***NOMBRE.1,***NOMBRE.2, ***NOMBRE.6 y ***NOMBRE.36 el 4 de noviembre de 2014, enrespuesta a un correo previo de ***NOMBRE.1 donde manifiesta que “Necesito elhistorial de push enviado y mensajes recibidos del número 646189097, envíalo cuantoantes.”

El fichero adjunto contiene varios miles de mensajes intercambiados por loque, a modo ilustrativo, se han impreso las primeras cuatro páginas. En el discocompacto que contiene los documentos de los anexos se incluye la versión electrónicacompleta.

Tampoco se ha localizado el registro de accesos que impone el artículo103 del RDLOPD para este tipo de ficheros.

Analizadas las bases de datos halladas únicamente no se localiza ningunatabla cuya estructura o contenido se corresponda con la información que el registro deaccesos debería de almacenar.

Se ha localizado una tabla denominada REGISTRO_ACCESOS, en la basede datos ADMINISTRACION, del servidor PASARELA_ZONA, está vacía. Además, alconsultar la estructura de la tabla se observa que su función no es la prevista en lanormativa de protección de datos ya que donde ésta indica que “De cada intento deacceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora enque se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado odenegado.”, mientras que la estructura de la base de datos únicamente almacena:identificador del acceso, usuario, sección (que no registro), dirección IP, y fecha.

Sobre los mensajes no solicitados enviados

Entre los documentos proporcionados por la denunciante figura un“INFORME DE LAS MERCANTILES IMPLICADAS EN LA INVESTIGACIÓN” en cuyapágina 150 se identifica a las sociedades del grupo que actúan como remitentes de losmensajes y el número de números cortos destinados a la prestación de servicios detarificación o Premium de cada una.

POLINDUS 21 S.L. – 24 Numeraciones SMS Premium asignadas.

TRADICIONAL S.L. – 3 Numeraciones SMS Premium asignadas.

ARABBESKO MADRILEÑA S.L. – 4 Numeraciones SMS Premium asignadas.

OCIOTERAPIA LEVANTE S.L. – 7 Numeraciones SMS Premium asignadas.

BUSCANDO SUERTE S.L. – 12 Numeraciones SMS Premium asignadas.


38/72

NATURAL FLAVOR INTERNATIONAL 21 S.L. – 4 Numeraciones SMSPremium asignadas.

ZONA DESCUBIERTA S.L. – 12 Numeraciones SMS Premium asignadas.

Las tres primeras han sido sancionadas por esta Agencia previamente por elenvío de mensajes SMS comerciales no solicitados. Tanto OCIOTERAPIA LEVANTES.L. como BUSCANDO SUERTE S.L. han sido denunciadas, aunque no sancionadaspor hechos idénticos.

Como se ha descrito previamente, el disco duro aportado por la denunciantecontiene 29 bases de datos distintas con decenas de tablas cada una. Muchas deesas tablas contienen lo que, por su nombre y contenido, parecen ser registros de losmensajes enviados y recibidos.

Se han hallado mensajes enviados a los afectados en las siguientes tablasen el servidor PASARELA_ZONA:

Base dedatos

Tabla Númerode reg.

Fechainicial

Fecha final

CHAT2 HISTO_PUSH_TODO 9.301.600 31/10/2007 22/12/2014

CHAT2 HISTO_PUSH2 1.720 19/02/2015 26/02/2015

PASARELA HISTO_ENVIADOS 432.542 01/01/2014 11/03/2015

PASARELA HISTO_ENVIADOS_fecha 95.417 14/10/2013 21/10/2013

PUSH ENVIADOS 1.469.831 01/10/2013 26/02/2016

WAP HISTO_MENSAJES 1.469.831 01/10/2013 26/02/2016

Durante el registro realizado por la denunciante en una de las sedes delgrupo de empresas citado se localizó un manual de uso de la aplicación de chat quefue intervenido. En ese manual, consta el siguiente texto:

“MATUTINOS:

Desde el chat, podemos enviar mensajes a los clientes. Estos mensajesreciben el nombre de matutinos y ayudan a simular una conversación real con losdistintos clientes“

Se describe pues como matutinos mensajes destinados a simular un servicioque realmente no existe y que por tanto no ha podido ser solicitado o autorizado.


39/72

Como ejemplo del funcionamiento de este tipo de mensajes denominadosmatutinos, que se suelen citar abreviadamente como “matus”, se incluye en el ANEXO7 un correo electrónico enviado el 26 de agosto de 2014 por ***NOMBRE.1 a***NOMBRE.2, ***NOMBRE.3 y LA SECRETARIA, para organizar unas campañas deenvíos de mensajes respondiendo a unas pruebas sobre las que informa LASECRETARIA: “Os paso las respuestas de los matus de ayer. Se enviaron 1000 decada uno.”

Los textos para enviar a las respuestas obtenidas que se citan son los que siguen:

1. Me gustó tu comentario ¿has visto el mío?¿ qué te ha parecido? (3 Respuestas)

2. He visto que tú y yo opinamos lo mismo sobre el tema ¿viste lo que escribí yo?¿qué te pareció? ¿te gustó? (6 Respuestas)

3. He visto que tú y yo opinamos lo mismo sobre el tema ¿viste lo que escribí yo?(10 Respuestas)

4. ¿Te llegan mis mensajes? Tengo una duda sobre lo que publicaste, podemoshablar (22 Respuestas)

5. ¿Hola? ¿Te llegan mis mensajes? Vi lo que comentaste en opina online y queríapreguntarte algo. ¿Podemos hablar? (31 Respuestas)”

Se ha localizado el registro de los envíos de las pruebas el 25 de agosto de2014 en el servidor PASARELA, en la base de datos PUSH, dentro de la tablaENVIADOS.

El número exacto de envíos hallados para cada mensaje se incluye en lasiguiente tabla:

Texto del mensajeNúmero

deenvíos

Me gustó tu comentario ¿has visto el mío?¿ qué te ha parecido? 999

He visto que tú y yo opinamos lo mismo sobre el tema ¿viste lo que escribí yo?¿qué te pareció? ¿te gustó?

846

He visto que tú y yo opinamos lo mismo sobre el tema ¿viste lo que escribí yo? 1.002

Te llegan mis mensajes? Tengo una duda sobre lo que publicaste, podemos hablar

751

Hola? Te llegan mis mensajes? Vi lo que comentaste en opina online y quería preguntarte algo. Podemos hablar?

1.023


40/72

En este ejemplo, y en relación con las “pruebas” citadas se han halladoregistros del envío de 4.621 mensajes no solicitados que simulan ser de una personaconocida.

Además de lo detallado previamente, del último de los mensajes de pruebaque es el que ***NOMBRE.1 identifica como “el mejor” por las respuestas obtenidas,se han hallado registros de 9.995 envíos realizados el 26 de agosto de 2014.

En la misma tabla se realiza una búsqueda por el texto del mensaje “Holaqué tal? Ha pasado mucho tiempo y tengo que explicarte muchas cosas, podemoshablar ahora?([email protected],902001315 1,45eur)” cuyo envío al***TELEFONO.6 fue investigado y que concluyó con la apertura del procedimientosancionador PS/00093/2015.

En los registros consta que todos los mensajes fueron remitidos indicandocomo origen el número 25006, utilizados en esas fechas12 para la prestación deservicios de tarificación adicional por COMERCIAL POLINDUS 21 SL.

Los buzones de correos proporcionados por la denunciante contienendocenas de mensajes de idéntica índole que no se incluyen con ánimo de ser sucintoen el informe y al considerar este ejemplo suficientemente ilustrativo.

Se realiza una búsqueda en los registros de la tabla ENVIADOS de la basede datos PUSH, agrupando los registros por el texto de los mensajes y limitando labúsqueda a los textos enviados en más de una ocasión y a los envíos realizados apartir del 1 de julio de 2014.

Los primeros cinco resultados, que siguen la misma dinámica y hacenpensar al receptor que el remitente es alguien que conoce, son los que figuran en latabla que sigue a este párrafo.

IdTexto del mensaje

Númerode envíos

1Hola!! Te acuerdas de mí, no? hace tiempo que te estoy buscando pero

no me respondes, que pasa es que te has olvidado de mi en este tiempo?Dime algo por favor

82.622

2Q Pensaras de mí, q x q te insisto tanto verdad? Quiero enviarte 1 foto y

quitarte las dudas, y la verdad no puedo esperar más. Me das permiso??58.159

3 Se ha detectado en nuestros sistemas algunos mensajes urgentes que 53.087

12 Constan antecedentes del uso de dicha numeración por COMERCIAL POLINDUS 21 SL enel expediente E/07318/2014.


41/72

están dirigidos a Ud. para recibirlos ahora en tu móvil envía RECIBIR

4Ei tuve q pillar el móvil d mi hermano para hablar contigo que pasa por q

me has bloqueado?? te puedo llamar por tfno. por favor?? m lo vas a cogersi te llamo? Di

39.486

5Hola!! Te acuerdas de mí, no? hace tiempo que te estoy buscando pero

no me respondes, que pasa es que te has olvidado de mi en este tiempo?Dime algo por favor!

38.090

Esta tabla, que sólo tiene en cuenta los 5 textos más numerosos hallados enregistros de envíos realizados a partir del 1 de julio de 2014, suma 271.444 envíos.

Ignorando la naturaleza engañosa de los mensajes a través de los cuales serecaba la información, si se considera que todo aquel que contestó a los mensajesremitidos por alguna de las sociedades podría ser considerado cliente y por tantocabría enviarle comunicaciones comerciales de servicios o productos similares, pareceinteresante preguntarse si los destinatarios de los miles de envíos de la tabla superiorhan enviado previamente mensajes a alguna de las sociedades del grupo.

Para comprobarlos se ha consultado, dentro del servidor(PASARELA_ZONA) y base de datos (CHAT2) que almacenan los datos de carácterpersonal de los clientes, las cuatro tablas que parecen almacenar los mensajesrecibidos y que se citaban previamente y que con un total de casi 13 millones deregistros cubren un periodo que va del 08 de febrero de 2004 al 21 de marzo de 2015.

El total de mensajes enviados desde el 1 de julio de 2014 a números delínea que no figuran en las tablas HISTO_RESPUESTAS,HISTO_RESPUESTAS_COPIA, HISTO_RESPUESTAS_COPIA2 yHISTO_ENTRADAS se observa que los destinatarios de 21.378 mensajes no figuranen la lista de “posibles clientes”.

TERCERO: Con fecha 3 de junio de 2016, la Directora de la Agencia Española deProtección de Datos acordó iniciar, procedimiento sancionador a ***NOMBRE.1,***NOMBRE.2, ARABBESKO MADRILEÑA, SL., BUSCANDO SUERTE SL., CALLCENTER LEVANTE SL., COMERCIAL POLINDUS 21 SL, EMPORIO EUROPA 21 SL,FALCON INTERCEPTOR SL., GAMBRRO TECHNOLOGIES SL., GAROVSINERGIAS SL., GESTORA DE OFERTAS DE TRABAJO SOCIEDAD LIMITADA,IBERICA PREMIUM TELECOMUNICACIONES SL., IEBOLINA TRADICIONAL, SL.,LINEA SMS SL., MENSAJERÍA INALAMBRICA SL, NATURAL FLAVORINTERNATIONA 21 SL., OCIOTERAPIA LEVANTE SL., , SERVICIOS OFIMÁTICOS YCENTRO DE NEGOCIOS SL, SIMOES BIS SL., TELECOM WORLD SYSTEMS, SL,ZIGZAGUEANTE ASOCIADOS 21 SL., con arreglo a lo dispuesto en el artículo 127del reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007,C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

42/72

de 21 de diciembre, por la presunta comisión de las infracciones que a continuación seindican:

1- Infracción del artículo 4.7 de la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de los Datos de Carácter Personal (en lo sucesivoLOPD), que señala que “Se prohíbe la recogida de datos por medios fraudulentos,desleales o ilícitos.” Tipificada como muy grave en el artículo 44.4 a) LOPD queconsidera como tal La recogida de datos en forma engañosa o fraudulenta.

2- Infracción del artículo 6.1 de la LOPD, que señala que “el tratamientode los datos de carácter personal requerirá el consentimiento inequívoco delafectado, salvo que la ley disponga otra cosa”, tipificada como grave en el artículo44.3. b) LOPD que considera como tal Tratar datos de carácter personal sin recabarel consentimiento de las personas afectadas, cuando el mismo sea necesarioconforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

3- Infracción del artículo 7 de la LOPD, que señala que “1. De acuerdocon lo establecido en el apartado 2 del artículo 16 de la CE, nadie podrá ser obligadoa declarar sobre su ideología, religión o creencias. Cuando en relación con estosdatos se proceda a recabar el consentimiento a que se refiere el apartado siguiente,se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podránser objeto de tratamiento los datos de carácter personal que revelen la ideología,afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por lospartidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas yasociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad seapolítica, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociadoso miembros, sin perjuicio de que la cesión de dichos datos precisará siempre elprevio consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, ala salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, porrazones de interés general, así lo disponga una ley o el afectado consientaexpresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva dealmacenar datos de carácter personal que revelen la ideología, afiliación sindical,religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infraccionespenales o administrativas sólo podrán ser incluidos en ficheros de lasAdministraciones públicas competentes en los supuestos previstos en las respectivas


43/72

normas reguladoras. Tipificada como muy grave en el artículo 44.4 b) LOPD queconsidera como tal “Tratar o ceder los datos de carácter personal a los que serefieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos enque la misma lo autoriza o violentar la prohibición contenida en el apartado 4 delartículo 7.

4- Infracción del artículo 9 de la LOPD, que señala que El responsabledel fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidasde índole técnica y organizativas necesarias que garanticen la seguridad de los datosde carácter personal y eviten su alteración, pérdida, tratamiento o acceso noautorizado, habida cuenta del estado de la tecnología, la naturaleza de los datosalmacenados y los riesgos a que están expuestos, ya provengan de la acciónhumana o del medio físico o natural, en relación con los artículos 103 y 104 RDLOPDtipificada como infracción grave en el artículo 44.3 h de la LOPD que considera comotal Mantener los ficheros, locales, programas o equipos que contengan datos decarácter personal sin las debidas condiciones de seguridad que por vía reglamentariase determinen.

5- Infracción del artículo 21 de la Ley 34/2002, de 11 de julio, deservicios de la sociedad de la información y de comercio electrónico, (LSSI en losucesivo) que señala que 1. Queda prohibido el envío de comunicacionespublicitarias o promocionales por correo electrónico u otro medio de comunicaciónelectrónica equivalente que previamente no hubieran sido solicitadas oexpresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando existauna relación contractual previa, siempre que el prestador hubiera obtenido de formalícita los datos de contacto del destinatario y los empleara para el envío decomunicaciones comerciales referentes a productos o servicios de su propiaempresa que sean similares a los que inicialmente fueron objeto de contratación conel cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad deoponerse al tratamiento de sus datos con fines promocionales mediante unprocedimiento sencillo y gratuito, tanto en el momento de recogida de los datos comoen cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correoelectrónico, dicho medio deberá consistir necesariamente en la inclusión de unadirección de correo electrónico u otra dirección electrónica válida donde puedaejercitarse este derecho, quedando prohibido el envío de comunicaciones que noincluyan dicha dirección. Tipificada como grave en el artículo 38.3 c) de la LSSI queconsidera como tal El envío masivo de comunicaciones comerciales por correoelectrónico u otro medio de comunicación electrónica equivalente, o su envío


44/72

insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíosno se cumplan los requisitos establecidos en el artículo 21,

CUARTO: La notificación del citado Acuerdo de Inicio a ***NOMBRE.1, ***NOMBRE.2en la dirección ***DIRECCION.1, se produjo en fecha de 09/06/2016 y 16/06/2016 talcomo consta en el acuse de recibo de ENVIALIA y de la Sociedad Estatal de Correos yTelégrafos S.A.

QUINTO: Transcurrido el plazo concedido para formular alegaciones al acuerdo deinicio sin que se hayan recibido las mismas por parte de ***NOMBRE.1,***NOMBRE.2 el citado acuerdo se considera propuesta de resolución, por lo queprocede a elevar el procedimiento a la resolución del Director de la Agencia Españolade Protección de Datos, en virtud de lo previsto en el artículo 13.2 del Real Decreto1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimientopara el ejercicio de la potestad sancionadora

SEXTO: Con fecha de 25/08/2016 por la Directora de la Agencia Española deProtección de Datos se dictó Acuerdo de Suspensión del procedimiento sancionadorde acuerdo con lo dispuesto en los artículos 133, artículo 137.2 de la Ley 30/1992, de26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y delProcedimiento Administrativo Común, ( LRJPAC en adelante), y lo indicado en lasSentencias de 16/04/2009 de la Audiencia Nacional y la Sentencia del TribunalConstitucional 177/1999.

SÉPTIMO: Con fecha de 21/06/2019 se recibe en esta Agencia la Sentencia nº243/2019 de 10/04/2019 de la Sección Primera de la Audiencia Provincial de Alicantepor la que se condena a ***NOMBRE.1, ***NOMBRE.2, por la comisión de un delito deestafa del articulo 248 y 250.1. 5º del Código Penal.

OCTAVO: Con fecha de 12/07/2019 por la Directora de la Agencia Española deProtección de Datos se dictó Acuerdo de Levantamiento de la Suspensión delProcedimiento Sancionador, enviándose la notificación del mismo a los investigados.

NOVENO: Con fecha de 18/07/2019 por el Instructor del Procedimiento se acordóiniciar un periodo de practica de pruebas, acordando lo siguiente:

1. Se dan por reproducidos a efectos probatorios los documentosobtenidos y generados por los Servicios de Inspección en las actuacionesE/03730/2015, junto con el Informe de Actuaciones Previas de Inspección de lascitadas actuaciones.

2. Asimismo, se da por reproducido a efectos probatorios, la Sentencia nº243/2019 de la Audiencia Provincial de Alicante Sección Primera (PA 57/2018 – conorigen en PA 206/2015) (Ejecutoria Penal/Expediente de ejecución 18/2019).


45/72

La notificación del periodo de prueba se envió a ***NOMBRE.1,***NOMBRE.2 en la dirección ***DIRECCION.1, tras dos intentos figurandoDEVUELTA por no pasar a recoger el aviso de Correos dentro del plazo otorgado alefecto.

DÉCIMO: De las actuaciones practicadas han resultado acreditado los siguientes

HECHOS PROBADOS

UNO. - La Sentencia nº 243/2019 de 10/04/2019 de la Sección Primera de laAudiencia Provincial de Alicante por la que se condena a ***NOMBRE.1,***NOMBRE.2, por la comisión de un delito de estafa del articulo 248 y 250.1. 5º delCódigo Penal, recoge, en síntesis, lo siguiente:

1 -La Dirección General de la Guardia Civil, Unidad Central Operativa, Grupo deDelitos Telemáticos inicio una investigación en el año 2012 por la comisión de unfraude masivo mediante la utilización de SMS Premium vinculados a números detarificación especial y la posterior ocultación de las cantidades ilícitamente obtenidaspor este medio. Los principales responsables de esta actividad delictiva son losacusados ***NOMBRE.1, ***NOMBRE.2 quienes para desarrollar su actividad sefueron sirviendo de un complejo entramado societario.

2 -Cada una de las mercantiles jugara un rol determinado:

Empresas OPERADORAS, a las que se asignaran numeraciones SMS Premium.

Empresas RECEPTORAS, que se utilizaban para desviar y blanquear el capitalproducto del fraude recibido por las operadoras.

Empresa BENEFICIARIA FINAL (SIMOES BIS S.L.) que servirá para aglutinar losbeneficios percibidos de la estafa.

3 -Detalle cronológico de la preparación del entramado societario:

3.1-Entre los años 2004 y 2007 los hermanos SIMO ESCABIAS adquieren lassociedades:

Garov Sinergias S.L. (B-97906507).


46/72

Zigzagueante Asociados 21 S.L. (+97906515).

Emporio Europa 21 S.L. (B-91423053).

Mensajería Inalámbrica S.L. (B—53683090).

Ibérica Premium Telecomunicaciones S.L. (B54011382).

Paralelamente, en el año 2006, fundan su empresa personal, SIMOES BIS S.L.

3.2- A continuación, en mismo año 2007, primeras para comprar la sociedad servirá de"matriz" de nuevas empresas, esto es Falcón Interceptor S.L.

3.3- Utilizando Falcón, en las mismas sociedades que posteriormente les serviráncomo -operadoras de teléfono. 4* asignarán numeraciones de SMS Premium, a pesarde inscribirse, la mayoría d&.el a con propósito social inmobiliario:

Ocioterapia Levante S.L. (B—5'

Comercial Polindus 21 S.L.

lebolína Tradicional S.L. (B—97891139).

Arabbesko Madrileña S.L. (B-97912729).

Buscando Suerte S.L. (B-97877526).

Natural Flavor International 21 S.L. (B—97891410)

Zona Descubierta S.L. (8—97855654)

3.4 -Tras ello, entre los años 2009 y 201 1, los hermanos SIMO, transfieren a terceraspersonas el resto de sus sociedades, y se sirven de un testaferro, la acusada***NOMBRE.7 para la creación de Call Center Levante S.L., que utilizarán paraexplotar las numeraciones SMS asignadas a las mercantiles anteriores, conservandoúnicamente su empresa personal, SIMOES BIS S.L.

3.5 -Utilizan SIOMES BIS, S.L. para fundar, en el año 2012, junto con otras personas ysociedades (Occentus Network S.L. y Silla de Ring S.L.) la siguiente empresa:Gambarro Technologies (B54668728)


47/72

3.7 -Paralelamente, utilizan SIMOES BIS S.L. para la compra de bienes inmuebles ysuscripción de créditos hipotecarios.

4 - Respecto de la utilización de envíos SMS vinculados a números detarificación especial y la obtención de datos de carácter personal:

4.1 Números de teléfonos utilizados.

Las numeraciones empleadas para la comisión de los fraudes masivos investigados,son del rango 27xxx y 25xxx y no pertenecen a servicios de suscripción, donde elusuario previamente tiene que haber aceptado unas condiciones generales y serinformado del precio del SMS de forma transparente, sino que se trata del tipo“Entretenimiento y usos profesionales”.

Las ventajas para el fin defrauda torio perseguido que ofrece este tipo de numeraciónson las siguientes, puesto que la persona que recibe los SMS de las campañas:

No ha sido previamente informado de las condiciones del supuesto "servicio"

que recibe.

No tiene un límite de gasto mensual, por lo que la víctima puede estar enviando

SMS de respuesta a los engaños investigados llegando a tener perjuicios económicosmuy elevados, que no son apreciables para éste hasta que recibe la factura telefónicaa mes vencido.

No se atienen al horario de los servicios para adultos, por lo que son enviados

las 24 horas del día de forma ininterrumpida, a pesar de que muchos de los SMS quese envían tratan de derivar el engaño al contexto sexual para obtener mayor tráfico.

4.1.1 Campañas fraudulentas y recogida de datos personales.

Para la consumación del fraude los investigados realizaban campañas de diversatemática, siempre consistentes en enviar masivamente mensajes y llamadas deforma indiscriminada a miles de usuarios a través de las numeraciones asignadasa las sociedades operadoras, (Ocioterapia y Polindus) con la finalidad de obtenerllamadas y mensajes de respuesta, obteniendo así un claro beneficio económico,con el consiguiente perjuicio para la víctima.

Para lograr engañar al receptor, se le hace siempre creer erróneamente que através de estos mensajes o llamadas se les presta algún tipo de servicio (siempreinexistente) o que se están poniendo en contacto con amigos o conocidos o conpersonas reales interesadas de una u otra forma en ellos. Además, se crea la


48/72

apariencia ficticia de que al contestar se hace de forma gratuita o al menos concargo a una tarifa ordinaria, cuando en realidad, y según se expuso anteriormente,el gasto que supone el uso de estos rangos de numeración es elevado.

4.1.2 La investigación realizada por la Guardia Civil permite descubrir, entreotras, las siguientes campañas lanzadas por los investigados:

Campaña de la falsa entrevista de trabajo.

Consiste en realizar llamadas perdidas de forma MASIVA a numeraciones

móviles españolas, con las que logran que MILES DE USUARIOS de telefoníarellamen al número que ven en sus pantallas.

Tras ello, escuchan una locución engañosa para que envíen un SMS a una

línea Premium con el falso argumento de tener un mensaje personal inexistente, puesse trata de un mero "gancho "para comenzar a consumar el fraude.

Una vez hecho esto, sus víctimas reciben un mensaje en su móvil, cuyo texto

es que "Ana les va a hacer una segunda entrevista dirigiendo este fraude contra elcolectivo de desempleados, a fin de lograr que movidas por este engaño, las victimasgeneren tráfico de SMS Premium con sus preguntas y respuestas, mensajes que sontarificados a costes adicionales (1,20 € por SMS + IVA) y que son enviadas por éstasúltimas pensando. que interactúan con una entrevistadora que les va a permitir e/acceso al mundo laboral.

Por el contrario, lejos de existir tal entrevista de trabajo, las trabajadoras de Call

Center Levante son utilizadas para obtener información sobre las respuestas de losusuarios, llegando a conocer su perfil profesional (estudios sanitarios, estudios dehostelería, estudios de mecánica).

Una vez obtenida esta información se les ofrecen "puestos de trabajo"

inexistentes, conforme a ese perfil (hospitales, restaurantes, talleres sin facilitarles otraforma de optar a ellos que no sea continuar enviando SMS a sus falsas"entrevistadoras”, con la finalidad de que las víctimas generen mayor tráfico demensajes de traficación adicional.

En el caso de que alguna de las mismas desconfíe o no esté interesada en

este falso proceso de selección, la conversación es derivada por las trabajadoras alcontexto sexual, a fin de seguir manteniendo el envío de SMS por parte de talesvíctimas, creyendo éstas que su interlocutora es una persona real que tiene intenciónde conocerlos en persona.

Campaña del falso amigo de Facebook y WhatsApp.C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

49/72

Consiste en el envío directo de un SMS Premium a MILES de numeracionesmóviles españolas, con textos literales como los que se exponen a continuación:

A. ESTOY INTENTANDO LOCALIZARTE EN EL FACEBOOK, ES QUE NOTIENES ¿COMO PODRIA CONTACTAR CONTIGO?

B. TE ESTOY ESCRIBIENDO POR WASAP. DIME SI TE LLEGAN MISMENSAJES. ME AGREGASTE EL OTRO DIA?

En ambos casos, lo que se pretende es dirigir el fraude contra los usuarios

españoles que disponen de perfiles en la red social de Facebook o que tieneninstalado el conocido programa de mensajería WhatsApp, haciéndoles creer, además,que están utilizando este último programa de mensajes gratuito, cuando, en realidad,cada respuesta generada por el usuario le supone un coste de tarificación añadido de1,2 € + IVA por SMS.

Nótese que, además, los mensajes siempre finalizan con una pregunta, a fin de

que la víctima, confundida y engañada, y sin ser conocedora de la tarifa que le suponeresponder a este mensaje. interactúe con la numeración PREMIUM remitente en lacreencia de que está hablando de forma gratuita con una persona afina su círculo deamistades.

Si alguna de las victimas desconfía, la conversación es derivada al contexto

sexual por estas trabajadoras a fin de seguir manteniendo el envío de SMS por partede los usuarios, creyendo éstos que su interlocutora es una persona real que tieneintención de conocerlos en persona.

En este intercambio de SMS se recogen y almacenan datos de carácter

personal que han servido para “alimentar” las bases de datos intervenidas, y que sonobtenidos a través de engaño como medio para consumar el delito de estafa y portanto son obtenidos de modo ilícito.

Campaña de personajes ficticios.

Consiste en el envío directo de SMS Premium a numeraciones que la organizacióninvestigada, ya tiene clasificadas por provincias de España o sexo del usuario.

De esta manera, en función de si es hombre o mujer se envían diferentes SMShaciéndole creer que una persona interesada quiere enviarle fotos o vídeos,cuando, en realidad, ni existe esta persona, ni las fotografías y videos son reales.


50/72

Los siguientes textos descriptivos de esta campaña de engaño han sido extraídosde la información digital aportada a la causa:

"(personaje ficticio Bibiana)

BIBIANA de (provincia) ha intentado establecer contacto telefónico contigo. EnvíaMOVIL al 27407

COLETILLA:

Hola esas fotos tan calentitas que tanto te gustan... tienes internet en tu móvil paraverlas??

A partir de este momento le enviamos fotos, pero siempre haciendo otra pregunta parasaber si quieres seguir viendo más fotos, darle un poco de cancha un mensaje entrefoto y foto a partir de la tercera foto que le enviemos seguidas.

Campaña de engaño. Queríamos enviársela a un amigo”

Al igual que en el caso anterior, si alguna de las víctimas desconfía, la conversación esderivada al contexto sexual por estas trabajadoras, a fin de seguir manteniendo elenvío de SMS por parte de los usuarios, creyendo éstos que su interlocutora es unapersona real que tiene intención de conocerlos en persona

"CAMPAÑA HOMBRES YMUJERES (***NOMBRE.37 Y ***NOMBRE.38)

PERSONAJE FICTICIO 001

PARA HOMBRES

Coletilla 1.

BIENVENIDOS A NUESTRO SERVICIO FOTOUSUARIOS, DISPONES DE ESPACIOEN TU MOVIL PARA DESCARGAR LAS FOTOS DE ***NOMBRE.37?

Coletilla 2.

DESPUES DE RECIBIRLAS DESEA ESTABLECER CONTACTO PERSONAL?

Coletilla 3.

EL ALBUM DE FOTOS DE ***NOMBRE.37 ESTA DISPONIBLE ENVIA FOTO1 AL27407

Teniendo en cuenta que los alias deben aparecer bien escritos. Cuando el usuarioenvía FOTOI le enviaremos la foto número uno.


51/72

Coletilla 4 (enlaces foto)

Ej. Foto 1. (Enlace de foto) ENVÍA FOTO AL 27407 PARA VER LA SIGUIENTE FOTO.

Así hasta completar todas las fotos normales, cuando pida fotos calientes le diremosque esas fotos están con clave de seguridad y que tendríamos que contactar con***NOMBRE.37 para que ella nos la facilite personalmente. Para hablar con***NOMBRE.37 envía hablar ***NOMBRE.37 al 27407

CUANDO ENTRE POR HABLAR ***NOMBRE.37, abrir el personaje ficticio***NOMBRE.37,

Denotar que existen gran cantidad de este tipo de campañas que, como se puedeobservar en las instrucciones internas de las trabajadoras hasta por las propiasempresas del entramado que las explotaban, eran calificadas como campañas deengaño "y dirigidas a las diferentes víctimas, ya fueran hombres o mujeres, según superfil.

5- Consecuencias económicas del fraude en el que se obtuvieron de modo ilícito datosde carácter personal, entre los que se han hallado datos especialmente protegidos yde menores:

A través del entramado societario creado por ***NOMBRE.2 y ***NOMBRE.1,

comienzan a ingresar CIENTOS DE MILES DE EUROS MENSUALES, cuantías queson recibidas en las cuentas de Ocioterapia Levante y Comercial Polindus einmediatamente transferidas, diluidas y repartidas entre todas las empresas ypersonas investigadas en la causa penal, utilizando la banca online y con el concepto'PAGO FACTURA “.

El Grupo de Delitos Telemáticos de la Guardia Civil, ha podido cuantificar que,

como mínimo y sólo en el período comprendido entre enero de 2012 y julio de 2014esta organización criminal ha obtenido un total de 2.935.711,94 €.

Tal elevado importe de lucro es sólo una parte del consecuente perjuicio directo

que se ha causado a los usuarios de la telefonía móvil española, toda vez que de 1,2 €+ IVA por SMS que se factura a la víctima, su operador de telefonía detrae una mediade 0,40 € en concepto de servir de canal de comunicación, por lo que, en realidad eldaño económico causado a los usuarios españoles resulta superior a 4.000.000 €.

6- Sobre la participación de ***NOMBRE.1 en los hechos probados:

Ejerce las funciones de organización, coordinación y dirección de la

organización siendo el ideólogo de toda la actividad investigada, junto con su hermano***NOMBRE.2 tal y como se puede constatar a través de los múltiples correoselectrónicos asociados a su cuenta de correo electrónico. Recaba asesoramientojurídico del letrado DRM, en lo relacionado, por una parte, con dar una apariencia legal


52/72

al entramado societario y por otro, en cómo superar las inspecciones de lassociedades.

Dei análisis del contenido de los correos electrónicos, puede verse como, por

una parte, ***NOMBRE.1 da instrucciones directivas a en todo lo relativo al tipo decampañas fraudulentas.

Es la persona que se encarga de liderar, participar, decidir y dar el visto bueno,

en todas y cada una de las campañas fraudulentas. Ha intercambiado correoselectrónicos en los que solicita explícitamente, que se realicen campañas de envío deSMS Premium de "engaño puro y duro" sin texto legal.

Figura como administrador de la principal empresa beneficiaria y receptora de

los montantes económicos defraudados (SIMOES BIS S.L.). Es principal beneficiariode todos los importes presuntamente defraudados, junto con su hermano***NOMBRE.2, recibiendo directamente más de cuatrocientos mil euros (400.000,00€)en tan sólo dos años de cómputo.

Es propietario, junto con su hermano ***NOMBRE.2, de diversos inmuebles y

vehículos, adquiridos la mayoría a nombre de su sociedad SIMOES BIS S.L. ypagados con importes procedentes del fraude investigado.

Es la persona que gestiona de forma directa, e indirecta mediante órdenes a

sus subordinados, todo el capital de este entramado societario, poseyendo el controlreal de todas las cuentas bancarias.

De las conexiones IP, de las declaraciones de los detenidos, del análisis de los

equipos informáticos, así como del contenido de todos los correos electrónicosanalizados, se acredita que ***NOMBRE.1 es el administrador de hecho de todas lasmercantiles investigadas.

7- Sobre la participación de ***NOMBRE.2.

Ejerce las funciones de codirección de la organización criminal junto con su

hermano ***NOMBRE.1. En ese mismo orden de cosas, pero en lo relativo a todas lasdeclaraciones testificales tomadas a las "Chateadoras” junto con el contenido de los e—mails de la cuenta de correo electrónico de ***NOMBRE.1, puede afirmarse que loshechos anteriores quedan totalmente corroborados, pues han confirmado que tanto***NOMBRE.1 como ***NOMBRE.2, no sólo eran los Jefes, sino que ademásmantenían diversas reuniones periódicas en su despacho con ***NOMBRE.4,***NOMBRE.5, ***NOMBRE.3 Y ***NOMBRE.6.


53/72

Es uno de los encargados de elaborar, e incluso mejorar", las campañas de

captación fraudulentas. Es totalmente conocedor de [as actividades delictivas, todoello corroborado en los documentos informáticos relativos a cientos de campañas deengaño hallados durante el registro de su domicilio. Dentro del texto de estascampañas, se cita textualmente ' esto es para todas las campañas de engaño en lascuales supuestamente conocemos a la persona a la que le hemos enviado elmensaje", "esta es una campaña de engaño" o es una campaña totalmente de engañoy son mujeres".

Figura como administrador y apoderado de la principal empresa beneficiaria y

receptora de los montantes económicos defraudados (SIMOES BIS S.L.).

Es principal beneficiario de todos los importes defraudados, junto con su

hermano, recibiendo directamente más de 400.000 € en tan sólo dos años decómputo. Es propietario, junto con su hermano, de diversos inmuebles y vehículos,adquiridos la mayoría a nombre de su sociedad SIMOES BIS S.L. y pagados conimportes procedentes del fraude investigado.

DOS. - En el intercambio de SMS para cometer el delito de estafa por parte de losinvestigados, se recogían -a través de engaño-, y almacenaban datos de carácterpersonal, entre los que se encontraban de salud, datos familiares, domicilios,tendencia sexual, ideología, raza, de menores de edad, etc., almacenándose de modoestructurado y organizado en las bases de datos que han sido objeto de intervención.

Estos datos son obtenidos a través de engaño como medio para consumar el delito deestafa y por tanto son obtenidos de modo ilícito.

TRES. - La tabla de la base de datos que registraba los datos de las víctimas tiene untotal de 2.425.209 números de teléfono móvil diferentes y en 666.481 de los casosconstan datos personales asociados.

CUATRO. - Sobre la información hallada en el disco duro intervenido:

1- Al analizar el disco duro se han encontrado cuatro servidores de base de datos MSSQL Server 2008 R2 denominadas PASARELA_ZONA, COLOMBIA, AMERICA SQL,RUMANIA. Al analizar la información que contenían se han hallado un total de 29bases de datos distintas que contienen datos sobre el envío y recepción de mensajesde texto o SMS y también sobre distintas personas físicas.

2- Como muestreo de lo hallado, se acredita que:


54/72

2.1- Los datos personales hallados se concentran en la tabla FICHA de la base dedatos CHAT2 que se encuentra en la instancia PASARELA_ZONA. La tabla consta conun total de 666.481 registros y cada registro contiene los siguientes campos:



nombre

apellidos

sexo

edad

población

provincia

profesión

estado Civil

busca (especifica si busca relaciones sexuales con hombres, mujeres oambos)

aficiones

descripcionFisica

comentarios

diaNac (día de nacimiento)

mesNac (mes de nacimiento)

anyNac (año de nacimiento)

horoscopo

email

tlf_modelo


55/72

tlf_otros

deporte

deporte_otros

maru

maru_otros

2.2- Parte de la estructura fue diseñada y utilizada para almacenar datos personalesespecialmente protegidos (ideología, afiliación sindical, religión, creencias, origenracial o étnico, o vida sexual).

2.3- Sobre datos de ideología.

Se realizan búsquedas sobre la tabla con textos como “independentista” (3 registros),“comunista” (1 registro), “socialista” (1 registro), “anarquista” (2 registros) “movimientonacional” (1 registro), “etarra” ( 1 registro).

2.4- Sobre afiliación sindical.

Se realizan búsquedas sobre la tabla con textos como “sindica” (20 registros) y “UGT”(4 registros).

2.4- Sobre datos de religión.

Se realizan búsquedas sobre la tabla con textos como “católico” (28 registros),“musulmán” (19 registros), “agnóstico” (1 registro), “ateo” (1 registro) o “budista” (8registros).

2.5 Sobre origen racial o étnico.

Realizada una búsqueda sobre la tabla del texto “gitan” se hallan un total de 158, “soynegro” (25 registros), “marroquí” (41 registros) y “soy chino “(3 registros).

2.6 Sobre datos de salud.

Se realizan búsquedas sobre la tabla con textos como “cáncer” (378 registros),“enfermedad” (110 registros), “tumor” (76 registros), “depresión” (99 registros),“esquizofreni” (46 registro) o VIH (6 registros).

2.7 Sobre vida sexual.


56/72

Se realizan búsquedas sobre la tabla con textos como “gay” (575 registro), “lesbiana”(237 registros), “bisex” (129 registros), “hetero” (29 registros) o “homosexual” (7registros).

2.8 Sobre la captación de datos personales de menores.

En varios de los ejemplos a pesar de que suelen marcar los afectados menores deedad se mantiene la información sobre ellos en el sistema.

Se ha observado que la condición de menor de un afectado se indicaba en losregistros a través del texto “menor” o “menorrrr” (con un número aleatorio de letras rrde más) en alguno o varios de los campos.

Consultada la tabla ficha en la base de datos, el número de registros en los que elcampo edad es mayor que 5 y menor de 14 es de 365.

El número de registros en los que el campo edad tiene un valor de entre 14 y 17 es de711.

CINCO. – Sobre la conservación y actualización de los datos, se verifica que alcomparar los datos hallados en las citadas tablas y compararlos con los hallados en latabla FICHA que reúne los datos personales recogidos a lo largo de los años seconstata que los datos, una vez recabados, nunca eran actualizados ni cancelados.

SEIS. - Se han hallado correos electrónicos remitidos entre los miembros de laorganización que contiene datos extraídos de las bases de datos, y que son enviadossin cifrar.

SIETE. - No se ha localizado el registro de accesos a las bases de datos. No selocaliza ninguna tabla cuya estructura o contenido se corresponda con la informaciónque el registro de accesos debería de almacenar.

OCHO. – Sobre los SMS remitidos sin autorización y sin ofrecer un medio deoposición, se han hallado mensajes enviados a los afectados en las siguientes tablasen el servidor PASARELA_ZONA:

Base dedatos

Tabla Númerode reg.

Fechainicial

Fechafinal

CHAT2 HISTO_PUSH_TODO 9.301.600 31/10/2007 22/12/2014

CHAT2 HISTO_PUSH2 1.720 19/02/2015 26/02/2015

PASARELA HISTO_ENVIADOS 432.542 01/01/2014 11/03/2015

PASARELA HISTO_ENVIADOS_fecha 95.417 14/10/2013 21/10/2013

PUSH ENVIADOS 1.469.831 01/10/2013 26/02/2016

WAP HISTO_MENSAJES 1.469.831 01/10/2013 26/02/2016


57/72

En la misma tabla se realiza una búsqueda por el texto del mensaje “Hola qué tal? Hapasado mucho tiempo y tengo que explicarte muchas cosas, podemos hablar ahora?([email protected],902001315 1,45eur)” cuyo envío al ***TELEFONO.6 fueinvestigado y que concluyó con la apertura del procedimiento sancionadorPS/00093/2015.

NUEVE.- Realizada la búsqueda en la base de datos (CHAT 2) dentro del servidorPASARELA_ZONA, a los efectos de determinar la posible naturaleza de clientes o laexistencia de una relación comercial previa con los afectados, se observa que losdestinatarios de 21.378 mensajes no figuran en la lista de “posibles clientes”.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la AgenciaEspañola de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g)en relación con el artículo 36 de la LOPD.

II

Dispone el artículo 43 de la LOPD lo siguiente: 1. Los responsables de losficheros y los encargados de los tratamientos estarán sujetos al régimen sancionadorestablecido en la presente Ley.

Dispone el artículo 3 de la LOPD en sus apartados c) y d) lo siguiente:

c) Tratamiento de datos: operaciones y procedimientos técnicos de carácterautomatizado o no, que permitan la recogida, grabación, conservación, elaboración,modificación, bloqueo y cancelación, así como las cesiones de datos que resulten decomunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: persona física o jurídica, denaturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad,contenido y uso del tratamiento.

En el presente caso ha resultado acreditado que ***NOMBRE.2 y***NOMBRE.1 son responsables del tratamiento de datos descrito en los hechosprobados, creando un entramado societario de carácter instrumental para la obtenciónilícita de datos personales, su almacenamiento en ficheros estructurados y su posterioruso.

Se instituyen en responsables del tratamiento decidiendo sobre la finalidad,contenido y uso del tratamiento, tal como se desprende de la Sentencia nº 243/2019


58/72

de la Audiencia Provincial de Alicante Sección Primera y tal como figura en el hechoprobado uno apartado 6 y 7.

III

Dispone el artículo 4.7 de la LOPD lo siguiente: Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Dispone el artículo 6 de la LOPD lo siguiente: El tratamiento de los datos decarácter personal requerirá el consentimiento inequívoco del afectado, salvo que la leydisponga otra cosa.

Las infracciones de los artículos indicados son independientes entre sí, puesse puede cometer una, como obtener los datos ilícitamente, sin cometer la otra,tratarlos sin consentimiento. Sirva a modo de ejemplo, los datos se obtienen medianteengaño por el Responsable A, y con posterioridad, se solicita a sus titulares elconsentimiento para un determinado uso posterior y éstos aceptan.

Y viceversa, se puede obtener lícitamente los datos personales, yposteriormente tratarlos sin el consentimiento. Sirva a modo de ejemplo, que los datosse obtienen al amparo de alguna de las causas que prevé el apartado 2 del artículo 6de la LOPD, por ser necesarios para la ejecución de un contrato. Y con posterioridadel responsable los utiliza para realizar suscribirse a un servicio publicitario o afiliarse auna determinada organización.

En el presente caso, se producen las infracciones de los preceptosindicados de modo independiente y autónomo, sin que quepa el concurso entre lasinfracciones: en primer lugar se procedía a la recogida de datos mediante ardid oengaño y con posterioridad se iban sometiendo a distintos tratamientos los datos delos titulares, como el almacenamiento estructurado, su uso para ser receptores denuevos mensajes y a partir de la información que se recibía como contestación a losmismos, se completaban nuevos campos de las bases de datos que se ibancategorizando y dando nuevos usos que servían para seguir consumando la estafa.

Es decir, el itering en el tratamiento total de los datos pasaba por fasesindependientes entre sí, y su cumplimentación dependía de la voluntad de losresponsables, en el sentido de que, a su juicio, y dependiendo de su efectividad parala finalidad buscada, podían seguir tratándose hasta tener más información o no. Esaposibilidad de continuar o no con la cumplimentación de la información hacenindependiente la obtención de los datos y su posterior tratamiento.

En el presente caso ha resultado que ***NOMBRE.2 y ***NOMBRE.1recabaron datos personales de modo ilícito a través de engaño a sus titulares yposteriormente los sometieron a distintos tratamientos para distintas finalidades, sinmediar, por tanto, el consentimiento de éstos.

IVC/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

59/72

Dispone el artículo 7 de la LOPD bajo la rúbrica “Datos especialmenteprotegidos” en sus apartados 1 a 4 lo siguiente:

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de laConstitución, nadie podrá ser obligado a declarar sobre su ideología, religión ocreencias.

Cuando en relación con estos datos se proceda a recabar el consentimientoa que se refiere el apartado siguiente, se advertirá al interesado acerca de su derechoa no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán serobjeto de tratamiento los datos de carácter personal que revelen la ideología, afiliaciónsindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidospolíticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones,fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sinperjuicio de que la cesión de dichos datos precisará siempre el previo consentimientodel afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a lasalud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, porrazones de interés general, así lo disponga una ley o el afectado consientaexpresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva dealmacenar datos de carácter personal que revelen la ideología, afiliación sindical,religión, creencias, origen racial o étnico, o vida sexual.( el subrayado es de la AgenciaEspañola de Protección de Datos)

En el presente caso ha resultado probado que ***NOMBRE.2 y***NOMBRE.1 recabaron datos personales relativos a ideología, afiliación sindical,religión, origen racial o étnico, salud, y vida sexual, tal como consta en los hechosprobados uno apartado 2.3 a 2.7, sin concurrir los supuestos que previstos en elartículo 7 arriba transcrito.

V

Dispone el artículo 13 del RDLOPD bajo la rúbrica “Consentimiento para eltratamiento de datos de menores de edad” lo siguiente:

1. Podrá procederse al tratamiento de los datos de los mayores de catorceaños con su consentimiento, salvo en aquellos casos en los que la Ley exija para suprestación la asistencia de los titulares de la patria potestad o tutela. En el caso de losmenores de catorce años se requerirá el consentimiento de los padres o tutores.


60/72

2. En ningún caso podrán recabarse del menor datos que permitan obtenerinformación sobre los demás miembros del grupo familiar, o sobre las característicasdel mismo, como los datos relativos a la actividad profesional de los progenitores,información económica, datos sociológicos o cualesquiera otros, sin el consentimientode los titulares de tales datos. No obstante, podrán recabarse los datos de identidad ydirección del padre, madre o tutor con la única finalidad de recabar la autorizaciónprevista en el apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, lainformación dirigida a los mismos deberá expresarse en un lenguaje que seafácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en esteartículo.

4. Corresponderá al responsable del fichero o tratamiento articular losprocedimientos que garanticen que se ha comprobado de modo efectivo la edad delmenor y la autenticidad del consentimiento prestado en su caso, por los padres,tutores o representantes legales.

En el presente caso ha resultado probado que se sometieron a tratamientodatos personales de menores de edad ( la base de datos contiene los datos de milesde menores de edad. De éstos al menos 365 están registrados como menores de 14años, y 711 como mayores de 14 años y menores de 17) , sin que concurran lossupuestos previstos en el artículo 13 RDLOPD.

VI

Dispone el artículo 9 de la LOPD bajo la rúbrica “Seguridad de los datos” losiguiente:

1. El responsable del fichero, y, en su caso, el encargado del tratamientodeberán adoptar las medidas de índole técnica y organizativas necesarias quegaranticen la seguridad de los datos de carácter personal y eviten su alteración,pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de latecnología, la naturaleza de los datos almacenados y los riesgos a que estánexpuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnanlas condiciones que se determinen por vía reglamentaria con respecto a su integridady seguridad y a las de los centros de tratamiento, locales, equipos, sistemas yprogramas.

3. Reglamentariamente se establecerán los requisitos y condiciones quedeban reunir los ficheros y las personas que intervengan en el tratamiento de los datosa que se refiere el artículo 7 de esta Ley.

Dispone el artículo 81 del RDLOPD bajo la rúbrica “Aplicación de los nivelesde seguridad” en sus apartados 1, 2 f) y 3 a) lo siguiente: (…)C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

61/72

1. Todos los ficheros o tratamientos de datos de carácter personal deberánadoptar las medidas de seguridad calificadas de nivel básico.

2. Deberán implantarse, además de las medidas de seguridad de nivelbásico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datosde carácter personal:(…)

f) Aquéllos que contengan un conjunto de datos de carácter personal queofrezcan una definición de las características o de la personalidad de los ciudadanos yque permitan evaluar determinados aspectos de la personalidad o del comportamientode los mismos(…)

3. Además de las medidas de nivel básico y medio, las medidas de nivel altose aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión,creencias, origen racial, salud o vida sexual.(…)

Disponen los artículos 103 y 104 del RDLOPD lo siguiente:

Artículo 103 Registro de accesos

1. De cada intento de acceso se guardarán, como mínimo, la identificacióndel usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso ysi ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar lainformación que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo elcontrol directo del responsable de seguridad competente sin que deban permitir ladesactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dosaños.

5. El responsable de seguridad se encargará de revisar al menos una vez almes la información de control registrada y elaborará un informe de las revisionesrealizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en casode que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice queúnicamente él tiene acceso y trata los datos personales.


62/72

La concurrencia de las dos circunstancias a las que se refiere el apartadoanterior deberá hacerse constar expresamente en el documento de seguridad.

Artículo 104 Telecomunicaciones

Cuando, conforme al artículo 81.3 deban implantarse las medidas deseguridad de nivel alto, la transmisión de datos de carácter personal a través de redespúblicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrandodichos datos o bien utilizando cualquier otro mecanismo que garantice que lainformación no sea inteligible ni manipulada por terceros.

Ha resultado probado que las bases de datos intervenidas contienen datosespecialmente protegidos que requieren unas medidas de seguridad de nivel alto.(además de las de nivel básico y medio, pues estos niveles son acumulativos)

En el Informe de Actuaciones Previas de Inspección se hacía constar losiguiente: (…)No se ha podido acceder a la aplicación a través de la que segestionaban los datos de los afectados y la documentación relativa al caso está siendoanalizada dentro de las causas penales abiertas contra los responsables del fichero.Debido a ello hay determinados aspectos de las medidas de seguridad que no puedenser comprobados, pero de aquellos que si han podido ser comprobados se observaque no cumplen con lo previsto en la normativa vigente(…)

Respecto del cumplimiento del artículo 103 del RDLOPD relativo al registrode accesos, en el citado informe se hacía constar lo siguiente: (…)no se localizaninguna tabla cuya estructura o contenido se corresponda con la información que elregistro de accesos debería de almacenar.

Se ha localizado una tabla denominada REGISTRO_ACCESOS, en la basede datos ADMINISTRACION, del servidor PASARELA_ZONA, está vacía. Además, alconsultar la estructura de la tabla se observa que su función no es la prevista en lanormativa de protección de datos ya que donde ésta indica que “De cada intento deacceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora enque se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado odenegado.”, mientras que la estructura de la base de datos únicamente almacena:identificador del acceso, usuario, sección (que no registro), dirección IP, y fecha.(…)

Y respecto del cumplimiento del artículo 104 del RDLOPD relativo a laobligación de cifrar las comunicaciones que contengan datos personales de nivel alto,resulta acreditado que observado en reiterados correos que datos extraídos del ficheroson enviados sin cifrar por LA SECRETARIA o por ***NOMBRE.3 a ***NOMBRE.2,***NOMBRE.1 y otros destinatarios, tal como consta en el ANEXO 5 del citado informede actuaciones previas de inspección.

VII


63/72

Dispone el articulo 44.3 c) y h) de la LOPD que se consideran infraccionesgraves las siguientes:

c) Proceder a la recogida de datos de carácter personal sin recabar elconsentimiento expreso de las personas afectadas, en los casos en que éste seaexigible.

h) Mantener los ficheros, locales, programas o equipos que contengan datosde carácter personal sin las debidas condiciones de seguridad que por víareglamentaria se determinen.

Dispone el articulo 44.4 a) y c) de la LOPD que se consideran infraccionesmuy graves las siguientes:

a) La recogida de datos en forma engañosa y fraudulenta.

c) Recabar y tratar los datos de carácter personal a los que se refiere elapartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado;recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lodisponga una ley o el afectado no haya consentido expresamente, o violentar laprohibición contenida en el apartado 4 del artículo 7.

En el presente caso ha resultado que ***NOMBRE.2 y ***NOMBRE.1 hanllevado a cabo conductas descritas en los artículos arriba descritos, comoresponsables del tratamiento, decidiendo sobre el uso y finalidad de los datospersonales de los afectados.

VIII

Establece el artículo 45 de la LOPD en sus apartados 2, 3 y 4 lo siguiente:

Artículo 45. Tipo de sanciones.

(…)

2. Las infracciones graves serán sancionadas con multa de 40.001 a300.000 euros.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a600.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientescriterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.


64/72

c) La vinculación de la actividad del infractor con la realización detratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de lainfracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o aterceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos deinfracción la entidad imputada tenía implantados procedimientos adecuados deactuación en la recogida y tratamiento de Ios datos de carácter personal, siendo lainfracción consecuencia de una anomalía en el funcionamiento de dichosprocedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el gradode antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

En cuanto a las sanciones a imponer por la comisión de las infraccionesgraves y muy graves descritas en el Fundamento de Derecho anterior, debe tenerseen cuenta lo siguiente:

En relación con el apartado a) relativo al carácter continuado de lainfracción, debe indicarse que se tiene constancia del tratamiento ilícito de los datos, almenos desde el año 2008 hasta al menos el año 2014.

En relación con el apartado b) relativo a el volumen de los tratamientosefectuados, debe indicarse que la tabla de la base de datos que registraba los datostiene un total de 2.425.209 números de teléfonos móvil diferentes y en 66.481 de éstosconstan datos personales asociados a sus titulares.

En relación con el apartado e) relativo a los beneficios obtenidos comoconsecuencia de la comisión de la infracción, debe indicarse que en la Sentencia nº243/2019, se indica que ***NOMBRE.2 y ***NOMBRE.1, fueron beneficiarios directosde más de cuatrocientos mil euros ( 400.000 euros) , cada uno, en tan sólo 2 años decómputo, a lo que hay que añadir la circunstancia de que el tratamiento de los datosse lleva a cabo al menos durante 6 años.

No obstante, en la citada Sentencia se indica lo siguiente (…) Fruto de talesfraudes masivos, este Grupo de Delitos Telemáticos ha podido cuantificar que, comomínimo y solo en el periodo comprendido entre enero de 2012 y julio de 2017 esta


65/72

organización criminal ha obtenido un total de dos millones novecientos treinta y cincomil setecientos once euros con noventa y cuatro céntimos (2.935.711,94 €)

En relación con el apartado f) relativo a el grado de intencionalidad, en elpresente caso existe una conducta dolosa de ***NOMBRE.2 y ***NOMBRE.1, encuanto a la comisión de las infracciones a la normativa de protección de datos, puesprecisamente la estafa que cometieron requería como condición imprescindible parasu comisión, la obtención ilícita de datos personales de los titulares que eran víctimasde la citada estafa.

También existe el elemento subjetivo, en cuanto a la falta de medidas deseguridad previstas en los artículos 103 y 104 del RDLOPD, cuya ausenciacorresponde únicamente a la voluntad de ***NOMBRE.2 y ***NOMBRE.1.

En relación con el apartado h) La naturaleza de los perjuicios causados alas personas interesadas o a terceras personas, debe indicarse que en la Sentencia nº243/2019, se indica que (…) el daño económico causado a los usuarios españolesresulta superior a cuatro millones de euros ( +4.000.000,00 €)(…)

En relación con el apartado j) relativo a Cualquier otra circunstancia que searelevante para determinar el grado de antijuridicidad y de culpabilidad presentes en laconcreta actuación infractora, debe indicarse que se utilizaron datos personales demenores de edad para cometer la estafa, que eran conocedores de dichacircunstancia y que no suprimieron los mismos.

IX

En conclusión, debe tenerse en cuenta la concurrencia de seiscircunstancias previstas en el artículo 45.4 de la LOPD, (consideradas en este casocomo circunstancias cualificadas agravantes) que aumentan el reprochesancionador y el desvalor de la acción y del resultado- esto es, el modo en que serealiza la acción y la afectación al bien jurídico protegido-.

De acuerdo con el principio de proporcionalidad de las sanciones previsto enel artículo 29 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del SectorPúblico, a la hora de imponer una sanción se ha de observar la debida idoneidadsobre la adecuación de la medida para el fin propuesto; la necesidad o subsidiariedadsobre la posibilidad de acudir a otro recurso menos gravoso para el derechofundamental; y la proporcionalidad en sentido estricto, en el sentido de lo apuntado enel apartado 2 del citado precepto que indica lo siguiente (…)El establecimiento desanciones pecuniarias deberá prever que la comisión de las infracciones tipificadas noresulte más beneficiosa para el infractor que el cumplimiento de las normas infringidas.(…)

En el presente caso el tratamiento ilícito de los datos personales se produce(i) obteniendo grandes beneficios para los responsables ( 400.000 euros de beneficioC/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

66/72

directo a cada responsable en un plazo de dos años y los tratamientos se producendurante al menos 6 años, y para la organización que lideraban los responsables unbeneficio de casi 3 millones de euros) y (ii) originando un perjuicio grave para losusuarios de servicios de telecomunicaciones en general ( de más de 4.000.000 deeuros) y en particular para las víctimas de la estafa producida.

A lo que hay que añadir la concurrencia de un elemento subjetivo noimprudente, en el sentido de que no estamos ante unas conductas que suceden comonegligencia o falta de diligencia debida, sino que las infracciones responden a la previaplanificación del tipo de tratamiento que se iba a llevar a cabo, para obtener elbeneficio económico que satisficiera el afán de lucro de los responsables deltratamiento.

No hay duda de que los responsables del tratamiento cometieron los actoscon absoluta consciencia e intencionalidad, mediante un plan preconcebido y diseñadopara obtener beneficio económico.

Finalmente indicar que se hallaron en el disco duro intervenido por laGuardia Civil datos personales de menores de edad, y que eran también sometidos almismo procedimiento de estafa, se les hacía creer una determinada realidad y conposterioridad se derivaba el contenido de los SMS el ámbito sexual para seguircaptando la atención de los usuarios y que remitieran más SMS. En este sentido, deberecordarse que los menores de edad son un colectivo de especial vulnerabilidadacreedores de una mayor protección en todos los ámbitos y precisamente por dichacircunstancia, los hechos aquí valorados en relación con el tratamiento de daospersonales de menores de edad se instituye como una circunstancia agravantecualificada que aumenta el reproche sancionador.

Por todo lo expuesto, es conforme a derecho imponer, a cada imputado, lassiguientes sanciones, y determinar su cuantía en la mitad superior de la horquilla queestablece el precepto para cada tipo de infracción:

1. Por la infracción del artículo 4.7 de la LOPD tipificada como muy grave,una sanción en la cuantía de 500.000 euros.

2. Por la infracción del artículo 7 de la LOPD tipificada como muy grave,una sanción en la cuantía de 500.000 euros.

3. Por la infracción del artículo 6 de la LOPD tipificada como grave, unasanción en la cuantía de 150.000 euros.

4. Por la infracción del artículo 9 de la LOPD tipificada como grave, unasanción en la cuantía de 150.000 euros.

X


67/72

Dispone el artículo 21 de la LSSI, bajo la rúbrica “Prohibición decomunicaciones comerciales realizadas a través de correo electrónico o medios decomunicación electrónica equivalentes” lo siguiente:

1. Queda prohibido el envío de comunicaciones publicitarias opromocionales por correo electrónico u otro medio de comunicación electrónicaequivalente que previamente no hubieran sido solicitadas o expresamente autorizadaspor los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando existauna relación contractual previa, siempre que el prestador hubiera obtenido de formalícita los datos de contacto del destinatario y los empleara para el envío decomunicaciones comerciales referentes a productos o servicios de su propia empresaque sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad deoponerse al tratamiento de sus datos con fines promocionales mediante unprocedimiento sencillo y gratuito, tanto en el momento de recogida de los datos comoen cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico,dicho medio deberá consistir necesariamente en la inclusión de una dirección decorreo electrónico u otra dirección electrónica válida donde pueda ejercitarse estederecho, quedando prohibido el envío de comunicaciones que no incluyan dichadirección.

En el presente caso ha resultado que al menos los destinatarios de 21.378mensajes no figuraban en las bases de datos intervenidas como posibles clientes.

A efectos aclaratorios respecto de los SMS enviados entre los responsablesy los usuarios, debe indicarse que en los servicios de tarificación a través de SMS, seproducen dos estadios claramente diferenciados: uno consistente en que el usuariorecibe el primer mensaje se le ofrece el servicio ( en este caso un servicio de chat yfotos) que es el que debe cumplir los requisitos del artículo 21.1 y 2 LSSI, y otrocuando el usuario envía la respuesta, y que son los que van a ser objeto defacturación y respecto de los cuales deben cumplirse previamente otros requisitosprevistos, entre otras normas, en la Orden ITC/308/2008, de 31 de enero, por la quese dictan instrucciones sobre la utilización de recursos públicos de numeración para laprestación de servicios de mensajes cortos de texto y mensajes multimedia.

En este caso, la naturaleza de los SMS recibidos por los usuarios tiene elcarácter comercial, ofrecían un servicio de chat y de descarga de fotos, así losusuarios recibían mensajes desde rango de numeraciones 25xxxx y 27xxxx que sondel tipo “entretenimiento y usos profesionales”, dónde no habían sido autorizados surecepción, pues no constaba información alguna al respecto (ni con carácter previo, ni


68/72

posteriormente) y tampoco incluían un medio de oposición para dejar de recibir losmismos.

XI

Determina el artículo 38.3 c) de la LSSI, que son infracciones graves: (…)c)El envío masivo de comunicaciones comerciales por correo electrónico u otro mediode comunicación electrónica equivalente, o su envío insistente o sistemático a unmismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitosestablecidos en el artículo 21.(…)

En el presente caso se enviaron comunicaciones comerciales de formamasiva incumpliendo el artículo 21 de la LSSI, por lo que se considera que***NOMBRE.2 y ***NOMBRE.1 han incurrido en la conducta descrita y por tanto hancometido una infracción grave prevista en el citado artículo.

XII

Determina el articulo 39.1 b) de la LSSI, lo siguiente (…)1. Por la comisiónde las infracciones recogidas en el artículo anterior, se impondrán las siguientessanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000euros.(…)

Determina el artículo 40 de la LSSI, bajo la rúbrica “Graduación de la cuantíade las sanciones”, lo siguiente: La cuantía de las multas que se impongan se graduaráatendiendo a los siguientes criterios:

a) La existencia de intencionalidad.

b) Plazo de tiempo durante el que se haya venido cometiendo la infracción.

c) La reincidencia por comisión de infracciones de la misma naturaleza,cuando así haya sido declarado por resolución firme.

d) La naturaleza y cuantía de los perjuicios causados.

e) Los beneficios obtenidos por la infracción.

f) Volumen de facturación a que afecte la infracción cometida.

g) La adhesión a un código de conducta o a un sistema de autorregulaciónpublicitaria aplicable respecto a la infracción cometida, que cumpla con lo dispuesto en


69/72

el artículo 18 o en la disposición final octava y que haya sido informadofavorablemente por el órgano u órganos competentes.

En el presente caso, atendiendo a las circunstancias previstas en losapartados a), b), d), e), y f) expresadas en términos similares en el Fundamento deDerecho VIII, ( pues hay intencionalidad, la infracción es continuada en el tiempo,existen perjuicios importantes, se han obtenido beneficios por la infracción y elvolumen de facturación que afecta a la infracción es de gran cuantía ) y que operaríancomo cinco circunstancias agravantes. También ha de valorarse que precisamente elenvío de SMS era el medio habitual de la primera obtención de datos, es decir, a partirde que el usuario recibiera el primer SMS ( que ofrecía un servicio de chat encubierto,y por tanto es una comunicación comercial que debe cumplir de los requisitos delartículo 21 LSSI) era cuando se iniciaba la fase de recogida de datos personales através de los SMS de respuesta, y que a su vez, eran objeto de facturación en favor dela organización instrumental de ***NOMBRE.2 y ***NOMBRE.1.

De haberse cumplido los requisitos previstos en el artículo 21.1 y 2 de laLSSI, en cuanto a la autorización previa y expresa, probablemente en un buen númerode usuarios no se hubieran producido los hechos, pues serian conscientes del costedel servicio y de la finalidad del mismo. De lo que cabe deducir que el fraude y laafección al patrimonio de los usuarios hubiera sido de menor cuantía. A lo que hay queañadir también, que si los SMS hubieran ofrecido un medio de oposición sencillo ygratuito, se hubieran reforzado las posibilidades de éxito de la estafa producida, pueslos usuarios hubieran podido tenido a su alcance un medio de limitar o poner fin a larecepción de los SMS.

El contenido del artículo 21 de la LSSI se concreta en dos obligacionesprincipales, las referidas a la autorización previa y expresa o existencia de relacióncomercial previa, de un lado, y de otro, la de ofrecer un medio de oposición sencillo ygratuito, y que el precepto impone “en todo caso”, es decir, con independencia decumplirse el primer requisito.

Por eso en el presente caso, se han incumplido tanto el primer apartadocomo lo referido al medio de oposición, siendo dos conductas independientes una dela otra, pues se puede cometer una sin la otra, y viceversa. En el presente caso,***NOMBRE.2 y ***NOMBRE.1 han incumplido las dos obligaciones fundamentales delprecepto, por lo que atendiendo a las restantes circunstancias expuestas en elpresente fundamento de Derecho, la sanción que corresponde debe imponerse en sucuantía máxima.

En definitiva, a través del envío de las comunicaciones comerciales pormedios electrónicos, se establecía el canal de comunicación principal para laobtención ilícita y posterior tratamiento de los datos de los usuarios, siendo conforme aderecho imponer a cada imputado, por la infracción del artículo 21.1 y 2 de la LSSI unasanción en la cuantía de 150.000 euros.C/ Jorge Juan, 6 www.agpd.es28001 – Madrid sedeagpd.gob.es

70/72

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a ***NOMBRE.2, con NIF ***NIF.1 las siguientes sanciones:

1- Por la infracción del artículo 6 de la LOPD tipificada como grave en el artículo44.3 c), una sanción de 150.000 euros (ciento cincuenta mil euros) de conformidad conlo establecido en el artículo 45 de la LOPD.

2- Por la infracción del artículo 9 de la LOPD tipificada como grave en el artículo44.3 h), una sanción de 150.000 euros. (ciento cincuenta mil euros) de conformidadcon lo establecido en el artículo 45 de la LOPD.

3- Por la infracción del artículo 4.7 de la LOPD tipificada como muy grave en elartículo 44.4 a), una sanción de 500.000 (quinientos mil euros) de conformidad con loestablecido en el artículo 45 de la LOPD.

4- Por la infracción del artículo 7 de la LOPD tipificada como muy grave en elartículo 44.4 c), una sanción de 500.000 euros (quinientos mil euros), de conformidadcon lo establecido en el artículo 45 de la LOPD.

5- Por la infracción del artículo 21.1 y 2 de la LSSI, tipificada como grave en elartículo 38.3 de la misma norma, una sanción de 150.000 euros (ciento cincuenta mileuros) de conformidad con lo establecido en el artículo 40 de la citada LSSI.

SEGUNDO: IMPONER a ***NOMBRE.1, con NIF ***NIF.2 las siguientes sanciones:

1- Por la infracción del artículo 6 de la LOPD tipificada como grave en el artículo44.3 c), una sanción de 150.000 euros (ciento cincuenta mil euros) deconformidad con lo establecido en el artículo 45 de la LOPD.

2- Por la infracción del artículo 9 de la LOPD tipificada como grave en el artículo44.3 h), una sanción de 150.000 euros. (ciento cincuenta mil euros) deconformidad con lo establecido en el artículo 45 de la LOPD.

3- Por la infracción del artículo 4.7 de la LOPD tipificada como muy grave en elartículo 44.4 a), una sanción de 500.000 (quinientos mil euros) de conformidadcon lo establecido en el artículo 45 de la LOPD.

4- Por la infracción del artículo 7 de la LOPD tipificada como muy grave en elartículo 44.4 c), una sanción de 500.000 euros (quinientos mil euros), deconformidad con lo establecido en el artículo 45 de la LOPD.

5- Por la infracción del artículo 21.1 y 2 de la LSSI, tipificada como grave en elartículo 38.3 de la misma norma, una sanción de 150.000 euros (ciento


71/72

cincuenta mil euros) de conformidad con lo establecido en el artículo 40 de lacitada LSSI.

TERCERO: NOTIFICAR la presente resolución a ***NOMBRE.2, y a ***NOMBRE.1.

Advertir al sancionado que la sanción impuesta deberá hacerla efectiva unavez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en elartículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento AdministrativoComún de las Administraciones Públicas, en el plazo de pago voluntario que señala elartículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 dediciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 00000000, abierta a nombre de la Agencia Española de Protección de Datos en el BancoCAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en períodoejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad seencuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar elpago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y sise encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo delpago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de laLOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre,de medidas fiscales, administrativas y del orden social, la presente Resolución se harápública, una vez haya sido notificada a los interesados. La publicación se realizaráconforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la AgenciaEspañola de Protección de Datos sobre publicación de sus Resoluciones y con arregloa lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobadopor el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 dela LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley39/2015, de 1 de octubre, del Procedimiento Administrativo Común de lasAdministraciones Públicas, los interesados podrán interponer, potestativamente,recurso de reposición ante la Directora de la Agencia Española de Protección de Datosen el plazo de un mes a contar desde el día siguiente a la notificación de estaresolución o directamente recurso contencioso administrativo ante la Sala de loContencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en elartículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo dedos meses a contar desde el día siguiente a la notificación de este acto, según loprevisto en el artículo 46.1 del referido texto legal.


72/72

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley39/2015, de 1 de octubre, del Procedimiento Administrativo Común de lasAdministraciones Públicas, se podrá suspender cautelarmente la resolución firme envía administrativa si el interesado manifiesta su intención de interponer recursocontencioso-administrativo. De ser éste el caso, el interesado deberá comunicarformalmente este hecho mediante escrito dirigido a la Agencia Española de Protecciónde Datos, presentándolo a través del Registro Electrónico de la Agencia[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantesregistros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. Tambiéndeberá trasladar a la Agencia la documentación que acredite la interposición efectivadel recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de lainterposición del recurso contencioso-administrativo en el plazo de dos meses desde eldía siguiente a la notificación de la presente resolución, daría por finalizada lasuspensión cautelar.

Mar España MartíDirectora de la Agencia Española de Protección de Datos


ps-00258-2016 resolución de fecha 12-09-2019 artículo 4.7 6 7.1 … · 2019-12-10 · 2/72...

Documents