En este blog, es habitual que os contemos y analicemos resoluciones de nuestra autoridad de control, la Agencia Española de Protección de Datos (en adelante AEPD), las cuales, en numerosas ocasiones, llevan aparejadas cuantiosas multas. Hoy, vamos a analizar una resolución a través de la cual, vamos a observar numerosos incumplimientos en materia de protección de datos que van a dar lugar a una muy elevada sanción dineraria.
Esta resolución tiene su origen en el expediente E/02426/2021, mediante el cual, la directora de la AEPD instó a la Inspección de Datos el inicio de oficio de actuaciones previas de investigación en relación con una entidad, como responsable de un sitio web con contenido para adultos, para analizar el cumplimiento de la normativa de protección de datos en relación con los menores de catorce años, considerando la sensibilidad de los datos personales relativos a la navegación que se podrían tratar en estos sitios para el perfilado de los usuarios, relativos a la vida y orientación sexuales.
Por tanto, la entidad reclamada se trata de una página web para adultos a la que se investiga por unos determinados hechos constitutivos de múltiples infracciones que vamos a ir analizando a lo largo del presente artículo. La resolución tiene número de expediente 202207932.
Finalizadas las actuaciones de investigación propias de la Agencia, la misma llega a las siguientes conclusiones:
1.- No consta en los sistemas de la AEPD la inclusión del Delegado de Protección de Datos (en adelante DPD) que la propia reclamada alega tener.
2.- La entidad reclamada, mantiene un contrato de prestación de servicios con dos entidades:
– Proveedor de hosting de la web.
Entre las partes hay suscrito un contrato de encargado de tratamiento, de cuál:
Consta acreditado que en el contenido del mismo no se concreta en qué consiste el tratamiento, apareciendo un apartado con un listado de posibles operaciones de tratamiento junto a una casilla para marcar las que correspondan en el contrato, no obstante, todas se han dejado sin marcar. No se especifican los tipos de datos afectados por el contrato ni las categorías de interesados. En relación con la duración del contrato se especifica la duración es indeterminada.
– Empresa con sede en Malta que presta el servicio de gestión de suscriptores y pasarela de pagos a los servicios que ofrece el responsable de tratamiento en su web.
Consta acreditado que entre las partes no existe un contrato de encargado de tratamiento.
3.- Sobre los cuatro portales web con contenido para adultos de los que la entidad reclamada es responsable de tratamiento. La Agencia, al respecto, detecta determinados incumplimientos:
- Portal web número 1: se detecta por la AEPD varias disconformidades en la web a nivel normativo:
1.- El mecanismo utilizado para declarar la edad del usuario que accede es una ventana emergente que se muestra al acceder a la página con un botón y el texto “Soy mayor de 18 años – entrar en xxxxxx.com”. Así, cuando se pulsa el botón por parte del usuario se guarda esta acción en una variable javascript denominada sessionstorage que no sale del dispositivo del usuario y que permanece en este mientras no se cierre la pestaña del navegador que se está utilizando. Así, la Agencia detecta varias maneras de eludir el mecanismo de declaración de mayoría de edad.
2.-Respecto a las cookies que almacena la web, se constata por nuestra autoridad de control que se utilizan dos para obtener la localización del usuario y que almacenan información del país y la región.
3.-Por otro lado, la entidad trata datos personales de los usuarios que se registran en la web tales como: nombre y apellidos, mail, usuario y contraseña encriptada, dirección IP, titular de la tarjeta, código postal y país. Estos datos son almacenados en los servidores con sede en España del servicio de hosting que hemos comentado anteriormente.
4.-Asimismo, ha quedado constatado por la Agencia la existencia de un formulario de contacto que solicita los datos personales nombre y email del usuario sin recabar el consentimiento informado.
5.-Por último, respecto de este portal web, el responsable de tratamiento utiliza a una empresa con sede en Malta, para gestionar las suscripciones de los usuarios y actuar como pasarela de los pagos a los servicios de visualización de contenidos, sin existir un contrato de encargo de tratamiento con este tercero.
- Portal web número 2:
La AEPD detecta una ventana emergente como mecanismo para obtener la declaración de mayoría de edad del usuario mediante una casilla de aceptación o checkbox que da la opción de “recordar la decisión” en el dispositivo del usuario.
Para ello se utiliza la cookie “age_gate” la cual entra dentro del tipo de “sesión” que permanece en el dispositivo del usuario hasta que este cierra el navegador. Sin embargo, la AEPD detecta que cuando el usuario activa la opción “recordar decisión” esta cookie pasa a tener una duración de almacenamiento de 365 días, permaneciendo durante todo este tiempo en el dispositivo del usuario incluso cuando se cierra el navegador.
- Portal web número 3:
Nuestra autoridad de control confirma que, para acceder a este portal, se utiliza una ventana emergente con un texto informativo que contiene la frase en inglés “By using the site, you acknowledge you are at least 18 years old”, y los botones “Continuar” y “Salir” a través de los cuales el usuario declara ser mayor de edad.
Se utiliza la cookie “kt_agecheck” para almacenar la declaración del usuario, la cual tiene una duración de 365 días permaneciendo almacenada en el dispositivo del usuario ese intervalo de tiempo independientemente de que se cierre el navegador (salvo que sean borradas de forma expresa por el usuario haciendo uso de las opciones que ofrece el navegador).
Asimismo, al acceder a la web aparece una ventana emergente para gestionar la instalación de cookies por parte del usuario, mostrando tres categorías distintas:
- Cookies técnicas (se instalan siempre). Entre ellas cookie “kt_ips” que recopila y almacena la dirección IP del usuario que está accediendo al portal.
- Cookies analíticas (se instalan a petición del usuario)
- Cookies de publicidad (se instalan a petición del usuario).
Por último, existe un formulario de contacto para aquellas personas que deseen trabajar como actores porno, mediante el cual se recaban los siguientes datos, entre los cuales hay especialmente protegidos: orientación sexual del usuario, en concreto se pide textualmente los siguientes datos: nombre, edad, email, teléfono, ciudad, país, rol gay (activo/pasivo/versátil), tamaño del pene, fotografías…etc.
Este formulario obliga a aceptar la política de privacidad, activando casilla de aceptación donde se indica que la base que legitima el tratamiento de dichos datos es el propio consentimiento del usuario, sin embargo, no consta la revocación del consentimiento en la política de privacidad de dicho portal web.
Asimismo, y de forma similar a los anteriores portales web, tras acceder a la web y aceptar la declaración de edad se tiene acceso a contenidos pornográficos sin necesidad de suscribirse al servicio.
- Portal web número 4:
En este caso, la web no contiene material pornográfico y su finalidad es la venta de libros y comics.
La Agencia constata que existe un formulario que permite al usuario crear una cuenta en el portal y que obtiene datos personales tales como nombre, apellidos, email y contraseña, sin recabar el consentimiento informado del usuario. Por último, la política de privacidad no está adaptada a la nueva normativa y hace referencia a la Ley 15/1999.
Por todo lo expuesto la Agencia constata como hechos probados:
1.- La entidad sancionada es responsable de tratamiento de los portales web anteriormente descritos.
2.- Como consecuencia, queda acreditado que la entidad trata los siguientes datos personales de los usuarios: nombre y apellidos, email, usuario y contraseña encriptada, dirección IP, titular de la tarjeta utilizada para el pago, código postal, país, orientación sexual.
3.- Respecto a los portales web objeto de investigación quedan acreditadas todas las disconformidades encontradas siendo, posteriormente, objeto de sanción.
4.- No hay constancia de la designación de un DPD por parte de la entidad.
5.- Existe un contrato de encargado de tratamiento con la empresa de hosting, no obstante, sin todos los requisitos exigidos por la normativa. Por otro lado, no existe contrato de encargo de tratamiento con la empresa que habilita formulario para la suscripción y pasarela de pago de los servicios ofrecidos por una de las webs.
Los anteriores hechos son constitutivos de infracciones del Reglamento Europeo de Protección de Datos (en adelante RGPD) y de la Ley de Sociedad de Servicios de la Información (en adelante LSSI), las cuales pasamos a detallar a continuación:
- Infracción del artículo 6.1.a) del RGPD
Como consecuencia de la existencia de un formulario de contacto en el portal web número 1 que solicita los datos personales nombre y email del usuario sin recabar el consentimiento informado.
Por ende, la Agencia alega que el responsable del tratamiento pudo obtener datos personales de los usuarios sin haber obtenido previamente su consentimiento para el tratamiento de los mismos, mediante un acto afirmativo claro y voluntario; lo que, es constitutivo de una infracción al artículo 6.1 del RGPD.
Del balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida, al vulnerar lo establecido en su artículo 6.1 del RGPD, permite fijar la sanción de 50.000€. No obstante, habiendo reconocido la entidad su responsabilidad dentro del plazo otorgado para la formulación de alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en CUARENTA MIL EUROS (40.000€).
Esta reducción se va a producir en todas las sanciones que se han impuesto a la entidad, ya que la misma ha reconocido su responsabilidad sobre los hechos constitutivos de infracción.
- Infracción del artículo 13 del RGPD
La política de privacidad indica que el tratamiento de datos está legitimado en el consentimiento del interesado; esto es, conforme a lo dispuesto en el ya citado artículo 6.1 a) RGPD. Por otro lado, existe un formulario de contacto para aquellas personas que deseen trabajar como actores porno, este formulario obliga a aceptar la política de privacidad, activando casilla de aceptación donde se indica que la base legítima para el tratamiento de los datos recabados es el propio consentimiento del usuario, no obstante, entre la información recabada hay datos que revelan la orientación sexual del usuario, en concreto se solicitan datos especialmente protegidos por lo que el tratamiento se basa en el artículo 9.2.a) RGPD.
Sin embargo, en ningún momento consta la revocación del consentimiento en la política de privacidad de dicho portal web, lo que constituye una infracción del artículo 13 del RGPD. Dicha infracción lleva aparejada una sanción de 2.000 mil euros que se queda en MIL SEISCIENTOS EUROS (1.600€) con la reducción.
- Infracción del artículo 28.3 del RGPD
En primer lugar, como hemos analizado anteriormente, el contrato de encargado de tratamiento existente entre la entidad sancionada y la empresa que les proporciona el servicio de hosting no contiene los mínimos legalmente establecidos en el articulo 28.3 del RGPD.
- Por esta primera infracción la AEPD impone a la entidad una sanción de 40.000 euros, que con reducción se queda en TREINTA Y DOS MIL EUROS (32.000€).
En segundo lugar, no existe siquiera contrato de encargado de tratamiento con el proveedor de gestión de suscripciones de los usuarios y que actúa a su vez como pasarela de los pagos de los servicios de visualización de contenidos.
- Por esta segunda infracción la Agencia impone una sanción inicial de 50.000 euros que con reducciones se queda finalmente en CUARENTA MIL EUROS (40.000€).
- Infracción del artículo 32 del RGPD
Cuando el servicio va dirigido de manera exclusiva a mayores de edad y cuando el responsable del tratamiento auto limite su tratamiento a dicho sector, respecto de servicios que pueden comportar un riesgo para los menores, entonces, también sus esfuerzos, derivados de sus obligaciones, deben ir dirigidos a garantizar que sólo se traten datos de mayores de edad.
Las cautelas previstas en la web son claramente insuficientes para limitar el acceso a los menores, tanto de forma directa (usuarios no registrados) como para registrarse en la misma (usuarios registrados). Si bien hay presentes mecanismos para “declarar” la edad, no existe ninguno para comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría una medida apropiada para evitar la materialización de los altos riesgos en los derechos y libertades de los menores que están presentes.
La Agencia constata que los mecanismos establecidos por el responsable del tratamiento para declarar la edad no sólo son ineficaces porque no sirven para impedir que accedan menores de edad, sino que además no funcionan al poder ser fácilmente eludidos. Por tanto, la entidad no disponía de las medidas de seguridad razonables en función de los posibles riesgos estimados.
Por la infracción del articulo 32 RGPD la AEPD impone una sanción de 60.000€ que con reducción se queda en CUARENTA Y OCHO MIL EUROS (48.000€).
Respecto de este tema, esta misma semana la AEPD ha publicado un decálogo de principios sobre la verificación de edad y protección de personas menores de edad ante contenidos inadecuados el cual, en un futuro, será muy útil para cumplir con las medidas de seguridad del articulo 32 RGPD y ser más garantistas respecto a la seguridad de los menores.
- Infracción del artículo 37 del RGPD
El artículo 37.1 c) RGPD hace referencia a lo siguiente: “Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”
En este mismo sentido, el artículo 34 c) de la LOPDGDD estipula que “Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.”
En el presente caso y dada la actividad de la entidad, la Agencia estima evidente la obligación de designar un Delegado de Protección de Datos; además, consta, por afirmación del propio responsable del tratamiento que actúa como Delegado de Protección de Datos. No consta este Delegado de Protección de Datos en los sistemas de la Agencia.
Por esta infracción la AEPD impone una sanción inicial de 10.000€ que queda reducida a OCHO MIL EUROS (8.000€).
- Infracción del artículo 38.6 del RGPD
“En relación con las partes que suscriben el contrato se especifica: “De una parte, B.B.B. , con DNI ***NIF.2 , como representante legal de la empresa Comvive Servidores S.L. , con CIF B91315804 y con domicilio en C/ ***DIRECCIÓN.2, de ahora en adelante ENCARGADO DEL TRATAMIENTO, y de otra, A.A.A., con DNI ***NIF.1, como Delegado de protección de datos de la empresa RAMONA FILMS S.L.U, con CIF B87763405 y con domicilio en ***DIRECCIÓN.1, de ahora en adelante RESPONSABLE DEL TRATAMIENTO”
**extracto contrato.
A la vista del contrato de encargado de tratamiento se infiere una clara confusión entre las figuras del responsable del tratamiento y la del DPD. El Delegado de Protección de datos está actuando y firmando como responsable del tratamiento lo cual entra en conflicto con lo estipulado el art. 39 del RGPD. El DPD no puede asumir funciones encomendadas específicamente al mismo por el RGPD, y a la vez suscribir aquello sobre lo que hay que informar, asesorar y supervisar, porque supone un conflicto de intereses, tal y como ha sucedido.
Por la mencionada infracción la AEPD impone la sanción de 15.000€ la cual queda finalmente en DOCE MIL EUROS (12.000€).
- Infracción del artículo 22.2 de la LSSI
La última infracción cometida por la entidad versa sobre la falta de información sobre la utilización de los dispositivos de almacenamiento y sobre los fines del tratamiento de datos en la política de cookies de los portales web de la entidad y sobre las que hemos hablado anteriormente.
Respecto a esta infracción, nuestra autoridad de control considera procedente imponer una sanción inicial de 15.000€ que se verá reducida a DOCE MIL EUROS (12.000€).
Asimismo, además de todas las sanciones impuestas, la AEPD también exige la adopción de una serie de medidas consistentes en solventar todos los incumplimientos cometidos por la entidad en el plazo de un mes desde la notificación de esta resolución.
Finalmente, la suma de todas las sanciones da lugar a un montante de 193.600 euros.
Esta resolución es un buen ejemplo de cómo una aglomeración de incumplimientos en materia de protección de datos se puede traducir en sanciones pecuniarias muy elevadas además de la pésima imagen a nivel reputacional en que incurre la empresa.
A mayor abundamiento esta resolución nos demuestra los riesgos claros que existen en los actuales sistemas de verificación de edad que se emplean actualmente en Internet como es la autodeclaración de la mayoría de edad fácilmente eludibles y dando acceso a menores de edad a todo tipo de contenidos pornográficos sin siquiera suscribirse al servicio.
Respecto de este tema, esta misma semana la AEPD ha publicado un decálogo de principios sobre la verificación de edad y protección de personas menores de edad ante contenidos inadecuados el cual, en un futuro, será muy útil para cumplir con las medidas de seguridad del articulo 32 RGPD y ser más garantistas respecto a la seguridad de los menores. Se trata de una propuesta práctica y efectiva de sistema de verificación de edad y protección de las personas menores de edad en Internet ante el acceso a contenidos para adultos.