Resolución de la Agencia ...re de 2023

Última revisión
07/10/2023

Texto

Resolución de la Agencia Española de Protección de Datos PS-00080-2023 de 20 de septiembre de 2023

Resolución

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Legislación

Tiempo de lectura: 66 min

Órgano: Agencia Española de Protección de Datos

Fecha: 20/09/2023

Num. Resolución: PS-00080-2023

Cuestión

1 / 31

Expediente N.º: EXP202211953 (PS/00080/2023)

RESOLUCION DEL PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes:

ANTECEDENTES

PRIMERO: Con fecha 30/09/22, D. A.A.A. (en adelante, la parte reclamante) interpuso...

Contestacion

1/31

? Expediente N.º: EXP202211953 (PS/00080/2023)

RESOLUCION DEL PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes:

ANTECEDENTES

PRIMERO: Con fecha 30/09/22, D. A.A.A. (en adelante, la parte reclamante) interpuso

reclamación ante la Agencia Española de Protección de Datos. La reclamación se

dirigía contra la entidad CHATWITH.IO WORLDWIDE, S.L. con CIF B88184239,

titular de la página web ***URL.1 (la parte reclamada), por la presunta vulneración de

la normativa de protección de datos: Reglamento (UE) 2016/679, del Parlamento

Europeo y del Consejo, de 27/04/16, relativo a la Protección de las Personas Físicas

en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de

estos Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de

Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y contra la Ley

34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio

Electrónico (LSSI).

Los motivos en que basaba la reclamación son:

?La empresa IURIS MARKETING S.L. (actual CHATWITH.IO WORLDWIDE

S.L.) es propietaria de la web ***URL.1.

La empresa reclamada, trata los datos de carácter personal de los visitantes

que acceden al sitio web, obteniéndolos tanto directamente de los interesados

mediante solicitudes de información cuando estos intentar contactar con los

abogados que se publicitan en la página, como mediante la utilización cookies

que se instalan en el equipo informático del visitante al consultar la página web.

Así lo informa, el propio responsable del tratamiento mediante un mensaje que

aparece al acceder a iurisnow.com, en una ventana emergente que se

superpone a la ventana principal y que bajo el título ?Privacidad y

transparencia? informa al usuario de que tanto el propietario del sitio web como

sus socios realizan el tratamiento de los datos de carácter personal de los

interesados.

Concretamente, se indica en la primera parte del texto informativo, que

?Nosotros y nuestros socios utilizamos cookies para Almacenar o acceder a

información en un dispositivo. Nosotros y nuestros socios usamos datos para

Anuncios y contenido personalizados, medición de anuncios y del contenido,

información sobre el público y desarrollo de productos?, al mismo tiempo, hacia

la mitad del texto, se puede leer, que ?Algunos de nuestros socios pueden

procesar sus datos como parte de su interés comercial legítimo sin solicitar su

consentimiento. Para ver los propósitos que creen que tienen interés legítimo u

oponerse a este procesamiento de datos, utilice el enlace de la lista de

proveedores a continuación?. Se adjunta copia de la ventana emergente (Doc.

probatorio 4).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/31

El responsable del tratamiento utiliza los patrones oscuros de sobrecarga

(overloading) y ocultación (skipping) en el diseño de la interfaz de usuario

mediante la que se configuran las opciones de privacidad que se van a aplicar

al tratamiento de los datos del visitante de la página web, concretamente

cuando el interesado manifiesta su oposición al tratamiento de datos basado

en el interés legítimo del responsable y de terceros, a los que este denomina

?socios?.

El patrón oscuro de sobrecarga, se observa claramente cuando se accede al

apartado de la ventana emergente ?Lista de proveedores?, una vez allí, el

interesado se encuentra con una lista de 1.522 empresas, de las cuales, según

la estimación realizada por el reclamante, 338 tienen marcada por defecto la

casilla de ?Interés legítimo?, lo que obliga, en el caso de querer mostrar la

oposición al tratamiento a marcar una a una a lo largo de toda la lista, cada una

de las 338 casillas, sin que exista la opción de poder oponerse indicándolo una

sola vez o un número de veces que resulte razonable y no genere fatiga en el

afectado. A las 338 casillas anteriores, hay que sumar otras nueve que se

encuentran en el apartado de ?Administrar configuración?.

Al acceder, se puede observar que aparecen un conjunto de nueve finalidades

de tratamiento bajo el título de ?Propósitos?, cada una de ellas, con su casilla

correspondiente marcada con la opción por defecto a favor del tratamiento

basado en el interés legítimo, siendo necesario seleccionar una a una las

casillas para poder oponerse a cada una de las finalidades que establece el

responsable. Igual que en la situación anterior, no existe una opción en la

ventana que permita oponerse a todas ellas al mismo tiempo, o un número

razonable de veces.

Se aporta a efectos probatorios, copia del apartado ?Lista de proveedores?

(Doc. probatorio 5), copia del apartado ?Administrar configuración? a efectos

probatorios (Doc. probatorio 6) y las fórmulas utilizadas para el cálculo de

empresas de la lista y estimación de las casillas con opciones de privacidad

afectadas (Doc. probatorio 17). Por otro lado, el patrón oscuro de ocultación se

utiliza en la ?Lista de proveedores?. Si se accede a este apartado, se podrá

observar con cierta dificultad que existe un conjunto estimado de 32 empresas

que tienen marcada la casilla de consentimiento con la opción bloqueada, sin

que el interesado pueda revocar el mismo.

Estás casillas, aparecen en un color grisáceo que se confunde con el blanco

utilizado como fondo de la pantalla, lo que dificulta su localización y sirve como

mecanismo de camuflaje, evitando la detección si no se realiza un esfuerzo

visual incrementado (Documentos probatorios 5 y 17). La Información que

facilita el responsable, relativa a los intereses legítimos de terceros y a los fines

del tratamiento a los que se destinan los datos personales no resulta

transparente.

Los intereses legítimos de terceros y los fines del tratamiento, no se

determinan ni explicitan de manera clara ni comprensible en la información

ofrecida a los interesados. Dentro de la política de privacidad del responsable,

no se indican los fines para los que realiza el tratamiento, ni siquiera en el título

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/31

?Procedencia, finalidad y legitimidad de los datos ofrecidos?, se puede

encontrar referencia alguna a los fines para los que se recopilan los datos.

Tampoco, se puede encontrar información sobre los intereses legítimos de

terceros en el título ?Destinatarios de los datos o cesión a terceros?, ni en otras

partes de la política de privacidad, siendo necesario acceder de forma

individual a las diferentes políticas de privacidad de cada una de las 1.522

empresas que aparecen en la denominada? Lista de proveedores?, para lo cual

si aparece un enlace URL dentro de la información desplegable de cada

?proveedor?. La única información que aparentemente puede referirse tanto a

los fines, como a los intereses legítimos de terceros, se puede encontrar de

forma poco clara en el texto que aparece dentro de la ventana emergente, en

el que se menciona que se usan los datos para ?anuncios y contenido

personalizados, medición de anuncios y del contenido, información sobre el

público y desarrollo de productos?, sin aportar más información. (Documentos

probatorios 2 y 4).

El responsable del tratamiento no hace mención alguna en la información que

facilita al interesado, tanto en la ventana emergente como en la política de

privacidad, de la intención o posibilidad de que se efectúen transferencias de

datos a países terceros, ajenos a la Unión Europea, ni a la existencia o

ausencia de una decisión de adecuación de la Comisión, ni a las garantías

adecuadas o apropiadas que puedan adoptarse para que el interesado pueda

ejercer sus derechos independientemente de la transferencia internacional.

Todo ello a pesar, de que una parte relevante de las empresas que aparecen

en la ?Lista de proveedores?, si informan en sus respectivas políticas de

privacidad, de que los datos recopilados por ellas pueden ser transferidos fuera

de la Unión Europea.

SEGUNDO: Con fecha 15/11/22, de conformidad con lo estipulado en el artículo 65.4

de la LOPDGDD, por parte de esta Agencia, se dio traslado de dicha reclamación a la

parte reclamada, para que procediese a su análisis e informase, en el plazo de un

mes, sobre lo que se exponía en el escrito de reclamación.

Según certificado del Servicio de Notificaciones Electrónicas y Dirección Electrónica, el

escrito de solicitud enviado a la parte reclamada, el día 18/11/22, a través del servicio

de notificaciones electrónicas ?NOTIFIC@?, fue rechazado en destino el día 29/11/22.

Aunque la notificación se practicó válidamente por medios electrónicos, dándose por

efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP, a título

informativo se intentó el envío por correo postal que fue devuelto a destino con fecha

14/12/22 con el mensaje de ?desconocido?.

TERCERO: Con fecha 30/12/22, por parte de la Directora de la Agencia Española de

Protección de Datos se dicta acuerdo de admisión de trámite de la reclamación

presentada, de conformidad con el artículo 65 de la Ley LPDGDD, al apreciar posibles

indicios racionales de una vulneración de las normas en el ámbito de las competencias

de la Agencia Española de Protección de Datos.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/31

CUARTO: Con fecha 08/02/23, por parte de esta Agencia se accede a la página

web***URL.1, constatándose las siguientes características sobre el su ?Política de

Privacidad? y sobre su ?Política de Cookies?:

a).- Sobre el tratamiento de datos personales:

a.1.- Se comprueba como, en la página web se pueden obtener datos personales a

través del enlace >, situado en la parte superior de la página principal,

donde se pueden introducir datos personales como, el nombre, teléfono, correo

electrónico y asunto.

Antes de enviar el formulario, el usuario debe marcar la casilla:

?_ He leído y acepto la > y las >?

a.2.- También se pueden introducir datos personales cuando se realiza el registro en la

web, a través del enlace existente en la parte superior de recha de la página principal

>, a partir del cual se despliega un formulario ***FORMULARIO.1

donde se deben introducir datos personales como el nombre, apellidos dirección

teléfono, correo electrónico. También existe la posibilidad de adjuntar una foto.

Antes de enviar el formulario, el usuario debe marcar la casilla:

?_ He leído y acepto la > y las >?

a.3.- En las páginas de los dos formularios anteriores existe un banner con la siguiente

información:

En virtud de lo establecido en la L.O. 3/18 Iuris NOW le informa que los datos de

carácter personal que nos pueda ofrecer forman parte de un tratamiento de datos

que le es de aplicación lo siguiente:

Responsible: IURIS MARKETING S.L.

Finalidad: Registrarse en la plataforma para estar en el listado como profesional y

recibir contactos de clientes

Legitimación: Consentimiento del interesado o su representante legal.

Destinatarios: Iuris Marketing S.L. y los servicios contratados.

Derechos: Acceder, rectificar y suprimir los datos, tal como se explica en nuestra

política de privacidad

b).- Sobre la ?Política de Privacidad?:

Si se accede a la ?Política de Privacidad? a través de los enlaces existentes en los

formularios anteriores o a través del enlace existente en la parte inferior de la página

principal, la web redirige al usuario a una nueva página ***URL.2 donde se

proporciona la siguiente información:

b.1.- Sobre el ?aviso legal? se informa sobre:

- El responsable de la web

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/31

- Condiciones de acceso y utilización del portal

- Contenidos de terceros

- Uso de enlaces

- Exención de responsabilidad

- Legislación aplicable y jurisdicción

b.2.- Sobre la Política de privacidad se informa de:

RESPONSABLE DEL TRATAMIENTO DE LOS DATOS

La titularidad de la presente página web, con dominio ***DOMINIO.1 es de Iuris

Marketing S.L., en adelante ?Iuris NOW?, y domicilio en ***DIRECCIÓN.1, con

correo electrónico de contacto ***EMAIL.1

Todo lo anterior, como Responsable del Tratamiento se le informa que:

DERECHOS DE PROTECCIÓN DE DATOS:

Los usuarios de Iuris NOW pueden dirigir cualquier comunicación, ya sea por

escrito al domicilio facilitado con anterioridad, o bien, mediante correo

electrónico (***EMAIL.1), siendo más rápida y efectiva la comunicación por vía

electrónica. El usuario siempre podrá ejercer los siguientes derechos:

Derecho de acceso: Los usuarios de Iuris NOW podrán solicitar el acceso a los

datos personales que tenemos sobre los mismos.

Derecho a solicitar su rectificación: En los casos en que los datos sean

incorrectos o haya que actualizarlos, por el motivo pertinente, se podrá solicitar

su rectificación.

Derecho de supresión: El interesado podrá solicitar a Iuris NOW la supresión

en cualquier momento, la supresión de cualquier dato personal que le

concierna.

Derecho a solicitar la limitación de su tratamiento: Se podrá solicitar a Iuris

NOW la limitación de los datos obtenidos ya sea porque no se necesita los

datos personales para los fines del tratamiento, pero sean necesarios para el

interesado.

Derecho a oponerme al tratamiento: Iuris NOW dejará de tratar los datos que

hayan sido facilitados por el usuario, salvo que se acredite motivos legítimos e

imperiosos para poder seguir con el tratamiento.

Derecho a la portabilidad de los datos ofrecidos: En el caso de que quiera que

sus datos sean tratados por otra empresa o persona, Iuris NOW se

compromete a facilitar dicha portabilidad de los datos al nuevo responsable

siempre que sea solicitado. En aplicación a la precitada legislación que hemos

mencionado al inicio de este texto ofrecemos a los usuarios, el modelo,

formulario y demás información interesante que ofrece la Agencia Española de

Protección de Datos en el siguiente enlace

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/31

Asimismo, dentro de los derechos de los usuarios, ofrecemos la posibilidad de

retirar el consentimiento que haya sido otorgado por cualquiera de las vías que

fuese obtenida, pues el usuario de la web tiene el derecho a retirar en

consentimiento otorgado en cualquier momento, sin alegar justa causa, no

obstante, la retirada del consentimiento otorgado no invalidará el tratamiento

basado en el consentimiento previo a su retirada.

Por último, queremos subrayar la importancia del ejercicio de estos derechos, y

cualquier problema o desavenencia que pueda ocurrir con Iuris NOW en el

tratamiento de los datos, podrán presentarse las reclamaciones que a su

derecho convenga a la autoridad de protección de datos que corresponda,

siendo en España la Agencia Española de Protección de Datos

CONSERVACIÓN DE LOS DATOS OFRECIDOS

Los datos desagregados, serán conservados sin plazo de supresión.

Datos de los usuarios: El periodo de conservación de los datos personas que

se ofrezcan a Iuris NOW variará en función del servicio que el usuario contrate

con Iuris NOW, no obstante, la conservación de los datos será el mínimo

requerido para el caso concreto, con carácter general:

Clientes: Desde que se empieza la relación de prestación de servicios con el

cliente, hasta que pasan 4 años desde la finalización de la prestación de

servicios

Comentarios en blog: Desde que el usuario deja su comentario en el blog hasta

que solicita su supresión

Suscriptores a la newsletter: Desde que el usuario se suscribe a la newsletter

hasta que retira su consentimiento

Formulario de contacto: Desde que el usuario acepta el envío de sus datos

mediante el formulario de contacto hasta que retira su consentimiento.

Descarga un documento: Desde que el usuario se descarga el documento y

presta su consentimiento para enviarle comunicaciones.

PRINCIPIOS DE APLICACIÓN A LA INFORMACIÓN PERSONAL

En el tratamiento de los datos personales que ofrezcas a través de los medios

establecidos, Iuris NOW aplicará los siguientes principios que exige la

legislación de aplicación:

Principio de licitud, lealtad y transparencia: Para poder realizar un tratamiento

de tus datos, siempre voy a requerir un consentimiento expreso, inequívoco,

informado y anterior al tratamiento, la información y tratamiento de la misma

será destinada de forma específica al fin que hayas solicitado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/31

Principio de minimización de datos: Sólo voy a requerirte la información

necesaria para el caso concreto, no quiero manejar más información de la

necesaria, sino aquella que sea imprescindible para poder responder.

Principio de limitación del plazo de conservación: Los datos que me ofrezcas,

serán mantenidos en el fichero titularidad de Iuris NOW por el plazo

imprescindible y necesario.

Principio de integridad y confidencialidad: Los datos serán tratados de una

manera que garanticen la seguridad de los mismos y su confidencialidad,

tomando las precauciones necesarias para acceder a los mismos, solamente

las personas autorizadas o terceros autorizados.

PROCEDENCIA, FINALIDAD Y LEGITIMIDAD DE LOS DATOS OFRECIDOS

Como base a todo lo anterior, la categoría de los datos solicitados a los

usuarios es una categoría básica, no se trata de ninguna categoría de datos

especialmente protegidos.

Alojamiento web: La página de Iuris NOW se encuentra alojada en OVH (OVH

HISPANO SL NIF: B-83834747) Empresa con sede en Madrid, siendo de

aplicación lo establecido en el RGPD y LOPDyGDD

Datos recabados a través de la web: Los datos recabados a través de la

página web, serán incorporados en el correspondiente fichero, además de la

información facilitada, también se recoge la dirección IP, que en la gran

mayoría de ocasiones esta información no es utilizada.

Redes sociales: Iuris NOW tiene presencia en diferentes redes sociales,

reconociéndonos como responsables de los datos que los usuarios traten a

través de las redes sociales de forma privada con Iuris NOW, con el fin de ser

extraídos para ofrecer la información solicitada.

La finalidad y legitimación del tratamiento de los datos que Iuris NOW realice

en las redes sociales, será la permitida por la red social

RECOGIDA DE DATOS

El usuario garantiza que los datos personales que ha facilitado por diferentes

medios ofrecidos y mencionados con anterioridad son exactos y veraces,

responsabilizándose de comunicar a Iuris NOW cualquier tipo de modificación

que surja en los datos personales.

Si los datos que se han ofrecido pertenecen a un tercero, el usuario garantiza

que ha obtenido el consentimiento de dicho tercero para poder facilitar los

datos.

A la hora de proporcionar los datos, el usuario declara y acepta haber leído la

presente política de privacidad, consintiendo de forma expresa el tratamiento

de datos personales de acuerdo a lo establecido en la presente página.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/31

Asimismo, cuando un usuario solicita información, está facilitando una mínima

información de carácter personal de la que será responsable Iuris NOW.

Al solicitar información, se recoge información de la dirección IP, nombre,

dirección de correo electrónico, Nº de teléfono y otra información. Será

gestionada y utilizada por Iuris NOW.

DESTINATARIOS DE LOS DATOS O CESIÓN A TERCEROS

Para un correcto desarrollo de la actividad que realiza Iuris NOW, es necesario

contar con diferentes profesionales o herramientas con las que se puedan

desarrollar las actividades descritas con anterioridad, por ello, Iuris NOW

comparte los datos estrictamente necesarios bajo sus correspondientes

condiciones de privacidad con los siguientes prestadores:

Google Analytics: La página web de Iuris NOW utiliza un sistema de servicio

analítico ofrecido por la empresa Google Inc, es una compañía situada en el

1600 de Amphithreare Parkway, Mountain View (California), CA 94043,

Estados Unidos. Este programa utiliza ?cookies? que son archivos de texto

ubicados en tu ordenador al visitar la página web, la finalidad es ayudar a Iuris

NOW a conocer que hacen los usuarios que visitan su web. La información que

ofrece Google Analytics incluye la dirección IP del visitante que será

transmitida y archivada por Google en sus servidos situados en Estados

Unidos.

La página de Iuris NOW se encuentra alojada en OVH. La web de Iuris NOW

cuenta con un cifrado SSL que permite el envío seguro de sus datos

personales a través de los distintos medios que recabamos datos en nuestra

web, web desarrollada utilizando WordPress, más información en Automattic.

Google Adsense: La anterior empresa mencionada Google Inc, ofrece servicios

de publicidad que están siendo utilizados en esta página web, para ello, se

utiliza una cookie que publica una serie de anuncios en nuestra página web. El

usuario puede inhabilitar el uso de estas cookies siguiendo las instrucciones

que se indican en la propia sección de Google.

Para este sistema de publicidad, Google ofrece una plataforma a diferentes

empresas asociadas para publicar anuncios a través de su plataforma, por lo

que, se utiliza cierta información para ofrecer anuncios sobre productos y

servicios que sean de interés, pero en ningún momento se recoge el nombre,

dirección, dirección de correo electrónico o teléfono- Si deseas obtener más

información sobre esta práctica y conocer sus diferentes opciones, consulta el

siguiente enlace

Google Maps: Es un servicio de visualización de mapas prestados por Google

Inc, que nos permite aportar un mapa interactivo a nuestra página web ?

Política de privacidad de Google

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/31

Abogados: Como objeto de nuestra principal actividad, cuando nos dejes tus

datos y solicites asesoramiento, ofreceremos tus datos al mejor abogado o al

abogado que nos hayas solicitado.

CONFIDENCIALIDAD

Iuris NOW se compromete en el uso y tratamiento de los datos personales que

sean recogidos a través de la página web, respetando en todo momento la

confidencialidad y a utilizarlos con la finalidad que hayan sido recogidos.

Nos comprometemos a llevar a cabo todas las acciones necesarias en materia

de protección de datos.

ACEPTACIÓN Y CONSENTIMIENTO

El usuario acepta haber sido informado de las condiciones sobre protección de

datos inherentes a la legislación que es de aplicación, aceptando y

consintiendo el tratamiento de los mismos por parte de Iuris NOW.

MEDIDAS DE SEGURIDAD

Esta página web incluye un certificado SSL, es un protocolo de seguridad que

hace que los datos entre el usuario y Iuris NOW, se produzca una transmisión

segura de la misma, también contamos con un servicio de seguridad específico

y actualizamos de forma constante todas las tecnologías que utilizamos en

nuestra página.

Asimismo, Iuris NOW mantendrá actualizado y aplicará todas las medidas

necesarias para poder ofrecer la mayor seguridad posible a los usuarios, no

obstante, la inexpugnabilidad absoluta en internet no existe,

comprometiéndonos a que cualquier incidente que pueda afectar a los

usuarios, será comunicado como viene establecido en la legislación.

Las medidas de seguridad serán revisadas de forma periódica, para comprobar

que siguen siendo útiles a la finalidad con la que fueron recogidas.

CAMBIOS EN LA POLÍTICA DE PRIVACIDAD

Iuris NOW se reserva el derecho a modificar la presente política para adaptarla

a futuras modificaciones legislativas o jurisprudenciales, así como cambios que

se hagan en los servicios de Iuris NOW. Iuris NOW anunciará los cambios que

se produzcan y sean esenciales.

c).- Sobre la Política de Cookies:

1.- Sobre la utilización de cookies antes de que el usuario preste su consentimiento:

Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de

navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre

la página web, se ha comprobado, que se utilizan cookies que no son técnicas o

necesarias, con las siguientes características:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/31

Cookies de rendimiento ( 3): Estas cookies nos permiten cuantificar el número de visitas

y fuentes de tráfico para poder evaluar el rendimiento del sitio. Nos ayudan a saber

qué páginas son las más o las menos visitadas y de qué manera los visitantes navegan

por el sitio.

cookies Dominio Descripción

_gid ***DOMINIO.1 Esta cookie está configurada por

Google Analytics. Almacena y actualiza

un valor único para cada

página visitada y se usa para contar

y rastrear páginas vistas.

_ga_BHX4LX8C4J ***DOMINIO.1 Google Analytics utiliza esta

cookie para mantener el estado

de la sesión.

_ga ***DOMINIO.1 Este nombre de cookie está asociado

con Google Universal Analytics

, que es una actualización importante

del servicio de análisis

más utilizado de Google. Esta

cookie se utiliza para distinguir

usuarios únicos mediante la asignación

de un número generado

aleatoriamente como identificador

de cliente. Se incluye en cada solicitud

de página en un sitio y se

usa para calcular los datos de visitantes

, sesiones y campañas

para los informes de análisis de

sitios.

Cookies de orientación (1): incluyen cookies de redes sociales que se colocan en sitios

para rastrear a los usuarios en la web y proporcionarles anuncios.

cookies Dominio Descripción

_gat_gtag_UA_

181162822_9

***DOMINIO.1 Esta cookie es parte de Google

Analytics y se utiliza para limitar

las solicitudes (tasa de solicitud

de aceleración).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/31

2.- Sobre el banner de información sobre cookies en la primera capa:

Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de

navegación y de cookies, sin realizar ninguna acción sobre la página web, aparece un

banner de información sobre cookies en la parte inferior de la página principal con el

siguiente mensaje:

Te damos la bienvenida a iurisnow.com

iurisnow.com solicita tu consentimiento para usar tus datos personales con estos

objetivos:

Anuncios y contenido personalizados, medición de anuncios y del contenido,

información sobre el público y desarrollo de productos devices.

Almacenar o acceder a información en un dispositivo

Más información ?

Tus datos personales se tratarán y la información de tu dispositivo (cookies,

identificadores únicos y otros datos del dispositivo) podrá ser almacenada,

consultada y compartida con > o utilizada específicamente

por este sitio web o aplicación.

Es posible que algunos proveedores traten tus datos personales en virtud de un

interés legítimo, algo a lo que puedes oponerte gestionando tus opciones a

continuación. Busca un enlace al final de esta página o en nuestra política de

privacidad para revocar el consentimiento.

> >

a).- Si se accede al listado de proveedores, aparece una nueva página con la siguiente

información:

¿Qué proveedores externos pueden acceder a mis datos?

Estos proveedores externos pueden usar tus datos para proporcionar servicios:

Exponential Interactive, Inc d/b/a VDX.tv

Index Exchange, Inc.

Vodafone

Netfix

> de 200

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/31

b).- Si se accede al panel de control, a través de la opción >, la

web despliega una nueva página con la siguiente información:

Preferencias sobre los datos. Gestionar tus datos

Puedes elegir el modo en que se utilizan tus datos personales. Los proveedores solicitan

tu permiso para hacer lo siguiente:

Almacenar o acceder a información en un dispositivo

Se puede almacenar o acceder a cookies, identificadores de dispositivo u otra información

en su dispositivo para las finalidades que se le presentan. Ver detalles

Consentimiento OFF?

Seleccionar anuncios básicos

Los anuncios se pueden mostrar en función del contenido que se esté visualizando, la

aplicación que se esté utilizando, su localización aproximada o su tipo de dispositivo. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Crear un perfil publicitario personalizado

Se puede elaborar un perfil sobre usted y sus intereses para mostrarle anuncios personalizados

que sean pertinentes para usted. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Seleccionar anuncios personalizados

Se pueden mostrar anuncios personalizados basándose en su perfil. Ver detalles

Consentimiento OFF?

Crear un perfil para la personalización de contenidos

Se puede crear un perfil sobre usted y sus intereses para mostrarle contenido personalizado

que le fuera pertinente. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Seleccionar contenido personalizado

Se puede mostrar contenido personalizado basado en su perfil. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Medir el rendimiento de los anuncios

Se puede medir el rendimiento y eficacia de los anuncios que usted ve o con los que

interactúa. Ver detalles

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/31

Consentimiento OFF?

Interés legítimo ?ON

Medir el rendimiento del contenido

Se puede medir el rendimiento y la eficacia del contenido que ve o con el que interactúa. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Utilizar estudios de mercado a fin de generar información sobre el público

La investigación de mercado puede utilizarse para obtener más información sobre el

público que visita sitios webs/aplicaciones y visualiza los anuncios. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Desarrollar y mejorar productos

Sus datos pueden utilizarse para mejorar los sistemas y/o el software existente, así

como para desarrollar nuevos productos. Ver detalles

Consentimiento OFF?

Interés legítimo ?ON

Garantizar la seguridad, evitar fraudes y depurar errores

Sus datos pueden utilizarse para supervisar y evitar actividades fraudulentas, y para

asegurar que los sistemas y procesos funcionen de forma correcta y segura. Ver detalles

Servir técnicamente anuncios o contenido

Su dispositivo puede recibir y enviar información que le permita ver e interactuar con

anuncios y contenido. Ver detalles

Cotejar y combinar fuentes de datos off line

Los datos obtenidos de fuentes de datos off line pueden combinarse con su actividad

on line para respaldar una o más finalidades. Ver detalles

Vincular diferentes dispositivos

Se puede determinar que diferentes dispositivos pertenecen a usted o a su hogar para

una o más finalidades. Ver detalles

Recibir y utilizar para su identificación las características del dispositivo que se

envían automáticamente

Su dispositivo puede distinguirse de otros dispositivos a partir de la información que

envía automáticamente, como la dirección IP o el tipo de navegador. Ver detalles

Utilizar datos de localización geográfica precisa

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/31

Sus datos de localización geográfica precisa se pueden utilizar para una o más finalidades.

Esto significa que su ubicación puede tener una precisión de varios metros. Ver detalles

Consentimiento OFF?

Si se accede al panel de control sobre proveedores, aparece una nueva página:

Aceptar a nuestros proveedores

Los proveedores pueden utilizar tus datos para ofrecerte servicios. Si rechazas a un

proveedor, no podrá seguir utilizando los datos que hayas compartido con él.

Exponential Interactive, Inc d/b/a VDX.tv

Duración de la cookie: 90 días. La duración de las cookies se restablece después de

cada sesión. Ver detalles

Consentimiento OFF?

Interés Legítimo ?ON

Roq.ad Inc.

Duración de la cookie: 365 (days). La duración de las cookies se restablece después

de cada sesión.

Consentimiento OFF?

> >

3º.- Sobre la información suministrada en la ?Política de Cookies?:

No existe ninguna página o enlace que redirija al usuario a la ?Política de Cookies?. La

única información existente sobre cookies es la que se proporciona en el banner de la

página principal cuando se accede por primera vez y la información que se ofrece a

través del panel de control

4º.- Sobre como retirar el consentimiento de la utilización de cookies después de

haberlo ofrecido:

Existe un enlace en la parte inferior de la página web Cookies>> a través del cual se puede acceder al panel de control en cualquier

momento de la navegación web.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

15/31

QUINTO: Con fecha 14/04/23, la Directora de la Agencia Española de Protección de

Datos acordó iniciar procedimiento sancionador al reclamado, por las presuntas

infracciones de:

a).- Infracción del artículo 13 del RGPD, por las deficiencias observadas en su

?Política de Privacidad?, con una sanción inicial de 2.000 euros, sin perjuicio de

lo que resulte de la instrucción. Asimismo, se advertía que las infracciones

imputadas, de confirmarse, podrán conllevar la imposición de medidas, según

el citado artículo 58.2 d) del RGPD.

b).- Infracción del artículo 5.1.a) del RGPD, por la utilización de patrones

oscuros de sobrecarga (overloading) y de ocultación (skipping), con una

sanción inicial de 5.000 euros, sin perjuicio de lo que resulte de la instrucción.

Asimismo, se advertía que las infracciones imputadas, de confirmarse, podrán

conllevar la imposición de medidas, según el citado artículo 58.2 d) del RGPD.

c).- Infracción del artículo 22.2 de la LSSI, por las deficiencias detectadas en su

página web respecto de la ?Política de Cookies?, con una sanción inicial de

5.000 euros, sin perjuicio de lo que resulte de la instrucción

La notificación del acuerdo de inicio se intentó conforme a las normas establecidas en

la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (LPACAP). Según Certificado de la Sociedad Estatal

Correos y Telégrafos, S.A., el escrito de incoación de expediente enviado a la

dirección CHATWITH.IO WORLDWIDE, S.L. C/ ***DIRECCIÓN.1, fue devuelto a

origen por Sobrante (No retirado en oficina) el 03/05/23. Teniendo la siguiente

información asociada, (Unidad: XXXXXXX):

- 1º Intento de entrega el 21/04/23 a las 12:05, por el empleado 282402 ha

resultado 03 ?Ausente?.

- 2º Intento de entrega el 24/04/23 a las 20:20, por el empleado 186402 ha

resultado 03 ?Ausente?. (Se dejó Aviso en buzón).

Con fecha 09/05/23 se realizó la notificación del acuerdo de inicio mediante anuncio en

el Tablón Edictal único del Boletín Oficial del Estado, de acuerdo con el artículo 44 de

la LPACAP. En dicho anuncio se informa a la parte reclamada sobre la posibilidad de

obtener copia del acuerdo de apertura.

SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en

la LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha

constatado que no se ha recibido alegación alguna por la parte reclamada.

El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada

en el acuerdo de apertura del procedimiento- establece que si no se efectúan

alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando

éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,

podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de

inicio del expediente sancionador determinaba los hechos en los que se concretaba la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

16/31

imputación, la infracción atribuida a la reclamada y la sanción que podría imponerse.

Por ello, tomando en consideración que la parte reclamada no ha formulado

alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el

artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el

presente caso propuesta de resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS.

Primero: La información que se suministra en la ?Política de Privacidad? ***URL.2, y

en relación con lo estipulado en el artículo 13 RGPD citado, el responsable del

tratamiento de los datos personales obtenidos a través de la web no ofrece

información sobre o por lo menos no detallada sobre los siguientes puntos:

- Los fines del tratamiento a que se destinan los datos personales y la base jurídica

del tratamiento, tiene una ambigua redacción, o no de la claridad exigible.

- No se detallan de forma clara los intereses legítimos de terceros a los que el

responsable del tratamiento hace referencia en el banner de información existente

en la página principal, siendo necesario acceder de forma individual a las

diferentes políticas de privacidad de cada una de las más de 1.000 empresas

que aparecen en la ? Lista de proveedores?, apareciendo después la información

de forma poco clara en el texto de la ventana emergente de cada proveedor.

- No se hace referencia a la intención del responsable de transferir datos personales

a un tercer país u organización internacional fuera de la Unión Europea,

todo ello a pesar, de que una parte de las empresas (proveedores) que aparecen

en la ?Lista de proveedores?, se encuentran fuera de la UE.

Segundo: Sobre la utilización de patrones oscuros de sobrecarga (overloading) y de

ocultación (skipping), en el caso que nos ocupa, el patrón oscuro de sobrecarga (overloading

) y de ocultación (skipping), se observa cuando se accede al apartado ?Lista de

proveedores?, una vez allí, el interesado se encuentra con una lista de unas 130 empresas

(proveedores), de las cuales, más de la mitad tienen marcada por defecto la

casilla de ?aceptar tratamiento de datos por Interés legítimo?, lo que obliga, en el caso

de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la

lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número

de veces que resulte razonable y no genere fatiga en el afectado.

Tercero: Sobre la Política de Cookies en la página web en cuestión se han detectado

las siguientes irregularidades:

- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción

sobre la página, se ha comprobado que se utilizan cookies que no son técnicas

o necesarias: 3 Cookies de rendimiento: _gid; _ga_BHX4LX8C4J y _ga y

una Cookie de orientación: _gat_gtag_UA_181162822_9

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

17/31

- En el panel de control sobre cookies se ha detectado que, los grupos de

cookies están divididos en dos opciones, aceptar las cookies por ?Consentimiento?

que están premarcadas en la opción ?no aceptadas? y aceptar las

cookies por ?Interés Legítimo? que están premarcadas en la opción de ?aceptadas?.

No obstante, si se desmarcan todas las opciones marcadas ?aceptadas?

se comprueba que siguen utilizando las mismas cookies detectadas al entrar

en la web sin haber prestado el consentimiento.

- No existe ninguna información sobre cookies en la segunda capa o enlace que

posibilite al usuario redirigirse a la ?Política de Cookies? de la web. La información

sobre cookies aparece de forma dispersa en cada una de las opciones del

panel de control.

FUNDAMENTOS DE DERECHO

I.-

Competencia:

- Sobre el tratamiento de los datos personales y la ?Política de Privacidad?:

Es competente para resolver este procedimiento, la Directora de la Agencia Española

de Protección de Datos, en virtud de los poderes que el art 58.2 del RGPD reconoce a

cada Autoridad de Control y, según lo establecido en los arts. 47, 64.2 y 68.1 de la Ley

LOPDGDD.

- Sobre la ?Política de Cookies?:

Es competente para resolver este procedimiento, la Directora de la Agencia Española

de Protección de Datos, de conformidad con lo establecido en el art. 43.1, párrafo

segundo, de la de la Ley LSSI.

II.-1

Sobre el tratamiento de los datos personales de la web y la ?Política de Privacidad?

En la comprobación realizada en la página web, ***URL.1 se constata que en la misma

se pueden obtener datos personales a través del enlace >, destinado para

realizar consultas y también se pueden introducir datos personales cuando se realiza

el registro en la web, a través del enlace existente en la parte superior de recha de la

página principal >.

Se puede acceder a la ?Política de Privacidad? a través de los enlaces existentes en

los formularios citados anteriormente o a través del enlace existente en la parte inferior

de la página principal, >.

Pues bien, el artículo 13 del RGPD, detalla, la información que se debe facilitar al

interesado cuando los datos son recogidos directamente de él, estableciendo que:

?1.Cuando se obtengan de un interesado datos personales relativos a él, el

responsable del tratamiento, en el momento en que estos se obtengan, le

facilitará: a) la identidad y los datos de contacto del responsable y, en su caso,

de su representante; b) los datos de contacto del delegado de protección de

datos, en su caso; c) los fines del tratamiento a que se destinan los datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

18/31

personales y la base jurídica del tratamiento; d) cuando el tratamiento se base

en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de

un tercero; e) los destinatarios o las categorías de destinatarios de los datos

personales, en su caso; f) en su caso, la intención del responsable de transferir

datos personales a un tercer país u organización internacional y la existencia o

ausencia de una decisión de adecuación de la Comisión, o, en el caso de las

transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1,

párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los

medios para obtener una copia de estas o al hecho de que se hayan prestado.

2.Además de la información mencionada en el apartado 1, el responsable del

tratamiento facilitará al interesado, en el momento en que se obtengan los

datos personales, la siguiente información necesaria para garantizar un

tratamiento de datos leal y transparente: a) el plazo durante el cual se

conservarán los datos personales o, cuando no sea posible, los criterios

utilizados para determinar este plazo; b) la existencia del derecho a solicitar al

responsable del tratamiento el acceso a los datos personales relativos al

interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a

oponerse al tratamiento, así como el derecho a la portabilidad de los datos; c)

cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el

artículo 9, apartado 2, letra a), la existencia del derecho a retirar el

consentimiento en cualquier momento, sin que ello afecte a la licitud del

tratamiento basado en el consentimiento previo a su retirada; d) el derecho a

presentar una reclamación ante una autoridad de control; e) si la comunicación

de datos personales es un requisito legal o contractual, o un requisito

necesario para suscribir un contrato, y si el interesado está obligado a facilitar

los datos personales y está informado de las posibles consecuencias de que

no facilitar tales datos; f) la existencia de decisiones automatizas, incluida la

elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al

menos en tales casos, información significativa sobre la lógica aplicada, así

como la importancia y las consecuencias previstas de dicho tratamiento para el

interesado?.

En el caso que nos ocupa, de la información que se suministra en la ?Política de

Privacidad? ***URL.1 y en relación con lo estipulado en el artículo 13 RGPD citado, se

constata que no ofrece información sobre los siguientes puntos:

- Los fines del tratamiento a que se destinan los datos personales y la base

jurídica del tratamiento, tiene una ambigua redacción, o no de la claridad y

precisión exigible.

- No se detallan de forma clara los intereses legítimos de terceros a los que el

responsable del tratamiento hace referencia en el banner de información

existente en la página principal, siendo necesario acceder de forma individual a

las diferentes políticas de privacidad de cada una de las más de 1.000

empresas que aparecen en la ? Lista de proveedores?, apareciendo después la

información de forma poco clara en el texto de la ventana emergente de cada

proveedor.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

19/31

- No se hace referencia a la intención del responsable de transferir datos

personales a un tercer país u organización internacional fuera de la Unión

Europea, todo ello a pesar, de que una parte de las empresas (proveedores)

que aparecen en la ?Lista de proveedores?, se encuentran fuera de la UE.

II.-2

Sanción

Las irregularidades detectadas en la ?Política de Privacidad? de la página web

***URL.1 pueden ser constitutivas de una infracción al artículo 13 RGPD.

Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.

En este sentido, el artículo 74.a) de la LOPDGDD, sobre las infracciones consideradas

leves, indica que:

Se consideran leves y prescribirán al año las restantes infracciones de carácter

meramente formal de los artículos mencionados en los apartados 4 y 5 del

artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:

a) El incumplimiento del principio de transparencia de la información o el

derecho de información del afectado por no facilitar toda la información exigida

por los artículos 13 y 14 del Reglamento (UE) 2016/679.

Con arreglo a lo anterior, se estima adecuado imponer una sanción de 2.000 euros,

(dos mil euros), por la infracción del artículo 13 RGPD.

II.-3.

Medidas

Confirmada la infracción, es preciso determinar si procede o no imponer al

responsable la adopción de medidas adecuadas para ajustar su actuación a la

normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo

58.2 d) del RGPD, según el cual cada autoridad de control podrá ?ordenar al

responsable o encargado del tratamiento que las operaciones de tratamiento se

ajusten a las disposiciones del presente Reglamento, cuando proceda, de una

determinada manera y dentro de un plazo especificado??. La imposición de esta

medida es compatible con la sanción consistente en multa administrativa, según lo

dispuesto en el art. 83.2 del RGPD.

En el texto de este acuerdo se establecen cuáles han sido las infracciones

presuntamente cometidas y los hechos que dan lugar a la vulneración de la normativa

de protección de datos, de lo que se infiere con claridad cuáles son las medidas a

adoptar, sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos

concretos para implementarlas corresponda a la parte sancionada, pues es el

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

20/31

responsable del tratamiento quien conoce plenamente su organización y ha de decidir,

en base a la responsabilidad proactiva y el enfoque de riesgos, cómo cumplir con el

RGPD y la LOPDGDD.

No obstante, en este caso, con independencia de lo anterior, procede requerir a la

entidad responsable para que, en el plazo que se indica en la parte dispositiva, adapta

la ?Política de Privacidad? de su página web a la normativa vigente, en concreto a lo

estipulado en el artículo 13 del RGPD.

Se advierte que no atender a los requerimientos de este organismo puede ser

considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,

tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la

apertura de un ulterior procedimiento administrativo sancionador.

III.-1

Sobre la utilización de patrones oscuros de sobrecarga (overloading) y de ocultación

(skipping)

Según el reclamante, el responsable del tratamiento utiliza los patrones oscuros de

sobrecarga (overloading) y ocultación (skipping) en el diseño de la interfaz de usuario

mediante la que se configuran las opciones de privacidad que se van a aplicar al

tratamiento de los datos del visitante de la página web, concretamente cuando el

interesado manifiesta su oposición al tratamiento de datos basado en el interés

legítimo del responsable y de terceros, a los que este denomina ?socios?.

El término ?patrones oscuros? hace referencia a los interfaces o implementaciones de

experiencia de usuario destinadas a influenciar en el comportamiento y en las

decisiones de las personas en su interacción con webs, apps y redes sociales, de

forma que tomen decisiones potencialmente perjudiciales para la protección de sus

datos personales.

Según marca el considerando (39) del RGPD:

Todo tratamiento de datos personales debe ser lícito y leal. Para las personas

físicas debe quedar totalmente claro que se están recogiendo, utilizando,

consultando o tratando de otra manera datos personales que les conciernen,

así como la medida en que dichos datos son o serán tratados.

El principio de transparencia exige que toda información y comunicación

relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de

entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere

en particular a la información de los interesados sobre la identidad del

responsable del tratamiento y los fines del mismo y a la información añadida

para garantizar un tratamiento leal y transparente con respecto a las personas

físicas afectadas y a su derecho a obtener confirmación y comunicación de los

datos personales que les conciernan que sean objeto de tratamiento, (?)?.

A este respecto, el artículo 5 RGDP, recoge los "Principios relativos al tratamiento" y

en el apartado 1.a) establece que:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

21/31

Los datos personales serán tratados de manera lícita, leal y transparente en

relación con el interesado «licitud, lealtad y transparencia».

Pues bien, en aplicación del principio de lealtad establecido en el artículo 5.1.a, los

responsables del tratamiento han de garantizar que no se emplean patrones oscuros,

al menos, con relación a las decisiones respecto del tratamiento de sus datos

personales.

El Comité Europeo de Protección de Datos (EDPB) adoptó para consulta pública sus

?Directrices sobre patrones oscuros (dark patterns) en interfaces de redes sociales,

Cómo reconocerlos y evitarlos?. Estas directrices, al igual que la guía de la AEPD,

toman como punto de partida el artículo 5.1.a del RGPD para evaluar cuando un

patrón de diseño en una interfaz de usuario corresponde con un patrón oscuro.

Los dark patterns pueden presentarse al usuario en operaciones de tratamiento de

diversa índole, como durante el proceso de registro o alta en una red social, al iniciar

sesión o también en otros escenarios como en la configuración de las opciones de

privacidad, en los banners de cookies, durante el proceso de ejercicio de derechos, en

el contenido de una comunicación informando sobre una brecha de datos personales o

incluso al intentar darse de baja de la plataforma.

De acuerdo con las Directrices del EDPB, los dark patterns pueden clasificarse en las

siguientes categorías:

Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la

persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el

usuario, que acaba compartiendo más información personal de la deseada. Las

técnicas más habituales para producir esa fatiga por sobrecarga son mostrar

preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas

opciones.

Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal

manera que el usuario no piense en algunos aspectos relacionados con la protección

de sus datos, o que lo olvide.

Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones

visuales en forma de efectos para influenciar en las decisiones.

Obstaculización (hindering): trata de poner trabas para que el usuario no pueda

realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como

poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy

complicado llegar hasta ellas o proporcionando información engañosa sobre los

efectos de algunas acciones.

Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no

permite realizar las acciones deseadas por el usuario.

Enturbiar (left in the dark): la información o las opciones de configuración de la

privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje

errático, información contradictoria o ambigua.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

22/31

En el caso que nos ocupa, el patrón oscuro de sobrecarga (overloading) y de

ocultación (skipping), se observa cuando se accede al apartado ?Lista de

proveedores?, una vez allí, el interesado se encuentra con una lista de unas 130

empresas (proveedores), de las cuales, más de la mitad tienen marcada por defecto la

casilla de ?aceptar tratamiento de datos por Interés legítimo?, lo que obliga, en el caso

de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la

lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número

de veces que resulte razonable y no genere fatiga en el afectado.

Tomando por ejemplo, el proveedor ?Amazon Advertising? vemos que en su apartado

aparece la siguiente información:

Duración de la cookie: 396 (days). La duración de las cookies se restablece después

de cada sesión. Utiliza otras formas de almacenamiento.

> |> | >

Consentimiento (OFF?)

Interés legítimo (?ON)

Si desplegamos la información >, aparece la siguiente información:

Amazon Advertising solicita lo siguiente:

Por Consentimiento:

Almacenar o acceder a información en un dispositivo

Seleccionar anuncios básicos

Crear un perfil publicitario personalizado

Seleccionar anuncios personalizados

Medir el rendimiento de los anuncios

Utilizar estudios de mercado a fin de generar información sobre el público

Desarrollar y mejorar productos

Por Interés legítimo:

Garantizar la seguridad, evitar fraudes y depurar errores

Servir técnicamente anuncios o contenido

Comprobando que, en este ejemplo en particular, se indica como interés legítimo tanto

el ?Garantizar la seguridad, evitar fraudes y depurar errores? como ?Servir

técnicamente anuncios o contenido?, situación que se repite para los más de 200

proveedores que aparecen en la web.

Pues bien, la situación es que existe un botón para aceptar todo (>) o

para confirmar las opciones elegidas (>), pero no para

rechazar todo u oponerte a todo, lo que puede constituir un patrón oscuro de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

23/31

sobrecarga (overloading). Todo ello sin perjuicio de que los tratamientos marcados en

la posición ON del ?interés legítimo? puedan justificarse o no en esta base de

legitimación, cuestión que no se analiza en el presente procedimiento.

III.-2

Sanción

Los hechos expuestos anteriormente pueden ser constitutivos de una infracción a lo

establecido en el artículo 5.1.a) del RGPD, con el alcance expresado en los

Fundamentos de Derecho anteriores.

Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por la

de mayor cuantía, de acuerdo con el artículo 83.5.a) del RGPD.

En este sentido, el artículo 72.1.a) considera como infracción ?muy grave? a efectos de

prescripción ?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquel y, en

particular, las siguientes: a) El tratamiento de datos personales vulnerando los

principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679?.

III.-3

Graduación de la Sanción

La determinación de la sanción que procede imponer en el presente caso exige

observar las previsiones de los artículos 83.1 y 2 del RGPD, preceptos que,

respectivamente, disponen lo siguiente:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del

presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso

individual efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias

de cada caso individual, a título adicional o sustitutivo de las medidas

contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la

imposición de una multa administrativa y su cuantía en cada caso individual se

tendrá debidamente en cuenta: a) la naturaleza, gravedad y duración de la

infracción, teniendo en cuenta la naturaleza, alcance o propósito de la

operación de tratamiento de que se trate, así como el número de interesados

afectados y el nivel de los daños y perjuicios que hayan sufrido; b) la

intencionalidad o negligencia en la infracción; c) cualquier medida tomada por

el responsable o encargado del tratamiento para paliar los daños y perjuicios

sufridos por los interesados; d) el grado de responsabilidad del responsable o

del encargado del tratamiento, habida cuenta de las medidas técnicas u

organizativas que hayan aplicado en virtud de los artículos 25 y 32; e) toda

infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

24/31

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso,

en qué medida; i) cuando las medidas indicadas en el artículo 58, apartado 2,

hayan sido ordenadas previamente contra el responsable o el encargado de

que se trate en relación con el mismo asunto, el cumplimiento de dichas

medidas; j) la adhesión a códigos de conducta en virtud del artículo 40 o a

mecanismos de certificación aprobados con arreglo al artículo 42, y k)

cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.?

Dentro de este apartado, la LOPDGDD contempla en su artículo 76, titulado

?Sanciones y medidas correctivas?:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del

Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de

graduación establecidos en el apartado 2 del citado artículo.

2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE)

2016/679 también podrán tenerse en cuenta: a) El carácter continuado de la

infracción. b) La vinculación de la actividad del infractor con la realización de

tratamientos de datos personales. c) Los beneficios obtenidos como

consecuencia de la comisión de la infracción. d) La posibilidad de que la

conducta del afectado hubiera podido inducir a la comisión de la infracción. e)

La existencia de un proceso de fusión por absorción posterior a la comisión de

la infracción, que no puede imputarse a la entidad absorbente. f) La afectación

a los derechos de los menores. g) Disponer, cuando no fuere obligatorio, de un

delegado de protección de datos. h) El sometimiento por parte del responsable

o encargado, con carácter voluntario, a mecanismos de resolución alternativa

de conflictos, en aquellos supuestos en los que existan controversias entre

aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando

proceda, de las restantes medidas correctivas a las que se refiere el artículo

83.2 del Reglamento (UE) 2016/679.?

De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la

instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a

imponer a la entidad reclamada, en una valoración inicial, se estiman concurrentes en

el presente caso los siguientes factores, en calidad de agravantes:

- El alcance o propósito de la operación de tratamiento de datos, así como los interesados

afectados, (apartado a).

Se considera además que, procede graduar la sanción a imponer de acuerdo con los

siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

25/31

- La vinculación de la actividad del infractor con la realización de tratamientos de

datos personales, (apartado b), considerando que en la actividad que se desarrolla

se ven implicados los datos personales de los clientes de ésta.

Considerando los factores expuestos, la valoración que alcanza la multa, por la

Infracción del artículo 5.1.a) del RGPD, es de 5.000 euros (cinco mil euros).

III.-4