Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00185-2022 de 27 de marzo de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 134 min
Órgano: Agencia Española de Protección de Datos
Fecha: 27/03/2023
Num. Resolución: PS-00185-2022
Cuestión
1 / 56Expediente N.º: PS/00185/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en adelante, la parte reclamante) con fecha 26 de febrero de 2021
interpuso...
Contestacion
1/56
? Expediente N.º: PS/00185/2022
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) con fecha 26 de febrero de 2021
interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra la entidad MINISTERIO DE CULTURA Y DEPORTE, con
NIF S2800237F (en adelante, la parte reclamada, el Ministerio o MCD), como
responsable de la plataforma ?eBiblio?. Los motivos en que basa la reclamación son
los siguientes:
a) Cuestiona que se le obligue a registrarse como usuario de Adobe si desea utilizar
?eBiblio? en su ?ereader?, y lo interpreta como una cesión de datos a Adobe.
b) Manifiesta que sus comentarios y puntuaciones se comparten con la empresa
?Babelio?.
c) Seguidamente, detalla una serie de anomalías que deduce de la información que se
incluye en los documentos ?Condiciones de uso y privacidad de eBiblio? y ?Política de
Privacidad de eBiblio? (señala los enlaces que conducen a estos documentos, que
manifiesta haber obtenido en fecha 28/01/2021), e indica el incumplimiento normativo
que se produce, a su juicio, para cada una de esas anomalías:
1. ?El rol del adjudicatario (Distribuidora Digital de Libros, S.A.U., en lo sucesivo
LIBRANDA; empresa perteneciente al grupo empresarial canadiense ?De Marque?) es
de encargado del tratamiento y no deco-controlador o corresponsable?, según la Ley
9/2017, de 8 de noviembre, de Contratos del Sector Público, disposición adicional
vigésima quinta. Supone un incumplimiento del artículo 28.10 del RGPD, por cuanto el
encargado del tratamiento determina medios y fines del tratamiento.
En este mismo punto, advierte que de existir corresponsabilidad en el tratamiento de
datos personales entre la entidad MCD y las Comunidades y Ciudades Autónomas,
estas entidades incumplen lo establecido en el artículo 26 del RGPD, que obliga a
publicar el acuerdo de corresponsabilidad y a identificar a todos los corresponsables.
2. ?La identificación del responsable del tratamiento es incorrecta e incompleta?.
Entiende la parte reclamante que se incumple el artículo 13 del RGPD al no informar
de todos los datos del responsable y corresponsables, en su caso. Y añade que ?en el
supuesto de considerarse a Libranda corresponsable del tratamiento también se
incumpliría la LSSICE al ser Libranda un prestador ubicado en España? (artículo 10.1
b)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/56
3. ?Para prestar los servicios se hace necesaria la participación de Adobe (crear una
cuenta) y Babelio en calidad de responsables del tratamiento puesto que hay que
entregar datos y aceptar condiciones y políticas de privacidad independientes?.
Entiende que se trata de cesiones de datos que el usuario se ve obligado a aceptar
para poder utilizar el servicio.
Y si aquellas entidades son encargados no pueden recoger datos como responsables.
Además, señala la parte reclamante que el Ministerio dispone de medios para no tener
que obligar al usuario a registrarse en Adobe.
4. ?Se indica que pueden recoger datos de ubicación sin especificar finalidad,
legitimación, plazo de conservación, etc.?, en contra de lo dispuesto en el artículo 13
del RGPD.
5. ?Utilización de cookies estadísticas de terceros sin cumplir con las obligaciones de
consentimiento para su instalación?, lo que vulnera, según la parte reclamante, los
artículos 7 y 13 del RGPD y artículo 22 de la LSSICE, en caso de que fuera de
aplicación.
6. ?Utilización de cookies estadísticas de terceros con posible alojamiento en EEUU
sin informar de las debidas garantías aplicadas?. Se indica que la información
?generalmente? se almacena en servidores seguros en Europa, lo que da a entender
que en algunos casos puede alojarse fuera, sin especificarlo. Se incumplen los
artículos 13, 6, 7 y 44 del RGPD.
7. El consentimiento no es la base que legitima la recopilación, transferencia,
almacenamiento, uso y control de la información personal, como se dice en la Política
de Privacidad: las causas de legitimación en AAPP son otras y, en concreto, en este
caso. Se incumple al artículo 6 del RGPD.
8. No se puede acceder al servicio si no se acepta la Política de Privacidad en su
conjunto; no hay un consentimiento granular que valide cada cuestión de forma
independiente, en contra de lo dispuesto en el artículo 7 del RGPD.
9. Almacenamiento en EEUU y/o Canadá sin especificar las medidas adoptadas para
cumplir el RGPD en materia de transferencias internacionales, de conformidad con el
artículo 44 de dicho Reglamento.
Sobre las medidas de seguridad, señala que al ser proveedores de Administraciones
Públicas deben aplicarse las medidas de seguridad contenidas en el Esquema
Nacional de Seguridad (disposición final primera de la LOPDGDD).
10. Plazo de conservación de 6 años no justificado.
11. El documento ?Términos y condiciones? no parece redactado originariamente en
castellano, lo que dificulta la comprensión (artículo 12.1 del RGPD).
12. En el apartado ?Tu contenido? del documento ?Términos y condiciones? se presta
una ?licencia irrevocable, perpetua, no exclusiva, transferible y gratuita para copiar,
modificar, mostrar o usar su contenido?: se incumplen los artículos 7 (consentimiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/56
revocable) y 13 (no indica los posibles destinatarios) del RGPD.
Aporta impresiones de pantalla sobre la creación de un usuario en Adobe desde el
apartado ?Ayuda? de la web ?eBiblio? y de la información sobre ?Babelio? que se ofrece
antes de insertar un comentario o crítica.
Asimismo, aporta copia de los documentos ?Plataforma eBiblio. Condiciones de Uso? y
?Plataforma eBiblio. Política de Privacidad?, cuyo contenido consta reseñado en
Anexos 2 y 3.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada y a la
entidad adjudicataria LIBRANDA, para que procediesen a su análisis e informasen a
esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a
los requisitos previstos en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido por ambas entidades en fecha
25/05/2021 como consta en el acuse de recibo que obra en el expediente.
1. Con fecha 11/06/2021 se recibe en esta Agencia escrito de respuesta del Ministerio
reclamado, en el que informó lo siguiente:
?eBiblio? es un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a
través de las bibliotecas públicas españolas. Está coordinado e impulsado por el MCD
en colaboración con los servicios de bibliotecas de las Comunidades Autónomas. Se
basa en la cooperación entre administraciones por el cuál, el Ministerio ofrece a las
CC.AA. la plataforma encargada de la gestión del servicio y un fondo de títulos
comunes. Las Comunidades adaptan e incrementan la colección en función de los
intereses y particularidades de sus usuarios. Esto permite a las CCAA ofrecer un
servicio de préstamo de documentos electrónicos (libros, revistas y audiolibros), a
través de sus respectivas redes de bibliotecas públicas.
El servicio es accesible ?24x7? a través de internet y permite la lectura tanto en línea
como a través de descarga. Además, dispone de una aplicación gratuita para
dispositivos móviles que gestiona todas las actividades relacionadas con el préstamo y
la lectura de documentos.
Señala que para utilizar el servicio ?no se requiere en ningún momento la aportación
de datos de carácter personal?, sino que sería suficiente con disponer de un dispositivo
de lectura compatible con el formato de publicación de los contenidos, acceso a
internet y el carnet de cualquiera de las bibliotecas públicas que participan en el
servicio o equivalente.
Para hacer uso del servicio, el usuario deberá autenticarse mediante el número de
carnet de la biblioteca y una contraseña. Para ello, la plataforma utiliza un sistema web
ya desarrollado por el Ministerio con el que cuentan los diferentes sistemas integrados
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/56
de gestión bibliotecaria utilizados por las redes de bibliotecas de las CCAA
participantes en el servicio ?eBiblio?. Este sistema se conecta con la base de datos que
contiene los datos de identificación de los usuarios de bibliotecas públicas en cada red
para validarlos y son utilizados únicamente para que dichos usuarios realicen el
servicio de préstamos.
El MCD adquiere la plataforma de gestión del servicio ?eBiblio? a través de
procedimiento abierto, con el fin de adjudicarlo a un licitador que, cumpliendo los
requisitos de los Pliegos de Prescripción Técnica y del Pliego de Cláusulas
Administrativas Particulares, proporcione una plataforma comercial de gestión de
licencias de libros electrónicos y contenidos digitales.
En cuanto al servicio ?eBiblio?, se pone de manifiesto que desde el Ministerio no se
requiere al usuario del mismo ningún dato de carácter personal y por tanto no
almacena en sus servidores información sujeta al RGPD. Los datos de los usuarios
son recabados por las bibliotecas al solicitar el carnet y estos datos son incorporados a
la base de datos de la red de bibliotecas autonómicas.
Entiende el citado Ministerio que no es responsable del tratamiento de los datos de los
usuarios del servicio, puesto que no posee dichos datos.
Respecto a la función del Ministerio, además de la contratación de la plataforma y la
adquisición de la mayor parte de los contenidos, esta consiste en facilitar el contacto
entre la empresa adjudicataria y las CCAA, que son las competentes en la materia.
El MCD, con su respuesta al traslado aporta copia del Contrato suscrito por dicho
Ministerio con la entidad LIBRANDA, de fecha 16/12/2020, por el que se encarga a
esta entidad la ?implementación del sistema de gestión informático del servicio de
préstamos de libros electrónicos ?eBiblio? que permita los préstamos de los
documentos electrónicos alojados en aquél (ebook, audio, publicaciones periódicas,
video, etc.?, así como copia del Pliego de Cláusulas Administrativas Particulares y
Pliego de Prescripciones Técnicas que rigen esta contratación (Hechos Probados
Tercero a Quinto). El contenido del Pliego de Prescripciones Técnicas consta
reseñado en Anexo 1.
2. Con fecha 26/06/2021, se recibió respuesta al traslado de la entidad LIBRANDA, en
la que manifiesta lo siguiente:
. Política de Privacidad
En el mes de marzo de 2021 se realizó una revisión y actualización de la Política de
Privacidad que resolvió algunas de las deficiencias puestas de manifiesto en la
reclamación. Señala que la reclamación se basa en una Política de Privacidad
desactualizada.
. Rol de LIBRANDA como adjudicataria
De acuerdo con la contratación formalizada, LIBRANDA proporciona la plataforma
?eBiblio? con una serie de particularidades técnicas y funcionales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/56
LIBRANDA debe contar con un sistema para identificar a un usuario con la biblioteca o
red de bibliotecas, por lo que accede a los sistemas de gestión bibliotecaria para
contrastar los números de carné de biblioteca con los insertados por los usuarios al
registrarse en la plataforma ?eBiblio?. Utiliza este número de carné para realizar la
autenticación a través de los sistemas de gestión bibliotecaria, pero en ningún
momento almacena dicho dato.
Señala que ha ajustado el contenido de la Política de Privacidad para reflejar con
mayor claridad del rol de LIBRANDA como encargado del tratamiento de datos
personales, teniendo en cuenta la Disposición adicional vigesimoquinta segunda de la
Ley 9/2017 de 8 de noviembre de Contratos del Sector Público (?LCSP?), la cual
establece que ?2. Para el caso de que la contratación implique el acceso del
contratista a datos de carácter personal de cuyo tratamiento sea responsable la
entidad contratante, aquel tendrá la consideración de encargado del tratamiento?.
. Identificación de LIBRANDA en la Política de Privacidad
En la Política de Privacidad se identifican claramente los datos sociales de LIBRANDA,
con indicación de su denominación social, dirección postal, dirección de correo
electrónico y un teléfono.
Añade que ha incluido en la repetida Política de Privacidad los datos de cada
biblioteca como responsable del tratamiento de datos, mediante una remisión al sitio
web de la biblioteca correspondiente.
. Tratamiento de datos personales por terceros
Respecto al acceso al servicio DRM (Digital Rights Manager) de Adobe, el cual
permite la descarga de contenidos para lectura en ?ereader? y en PC con el programa
?Adobe Digital Editions?, aseguran que fue una función solicitada por el Ministerio y las
diferentes comunidades para los usuarios que prefieren ese método de lectura.
El registro en Adobe no es una condición indispensable para acceder al servicio
prestado por LIBRANDA, puesto que es posible acceder a los contenidos de la
plataforma en streaming, a través de cualquier navegador con conexión a internet, y
utilizando teléfonos inteligentes o tabletas, para lo cual el usuario debe descargarse la
aplicación móvil correspondiente.
En cuanto a Babelio, informa de que es una herramienta para la calificación de libros
que cuenta con su propia política de privacidad, cuya aceptación no es obligatoria para
acceder al servicio de ?eBiblio?. Además, en marzo de 2021 se ajustó el formulario
para publicar evaluaciones relativas a los títulos de ?eBiblio?, añadiendo una casilla sin
premarcar para que el usuario pueda aceptar las condiciones de ?Babelio?, así como
un enlace a la política de privacidad de esa entidad.
. Datos de ubicación
Los datos de ubicación se recogen únicamente mediante las cookies de Google
Analytics, para generar estadísticas e informes sobre la navegación en la plataforma.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/56
Advierte que se ha añadido un enlace a la política de privacidad de Google Analytics.
. Uso de cookies
Sobre el uso de cookies estadísticas de terceros, manifiesta que al proporcionar la
identidad de Google y con la remisión a la política de privacidad de esta entidad se da
cumplimiento a la obligación de información prevista en el artículo 13 del RGPD.
Asimismo, añade que ha adoptado un sistema que posibilita la aceptación, rechazo o
revocación del consentimiento para el uso de cookies de Google Analytics.
. Transferencias internacionales
Señala LIBRANDA que la Política de Privacidad se remite a la de Google Analytics, y
que informa sobre las garantías adoptadas respecto a los datos almacenados en
EEUU por parte de Google Analytics y sobre el uso de cláusulas contractuales tipo
redactadas por la Comisión Europea en los contratos suscritos entre las partes que
transfieren datos personales.
Por otro lado, señala LIBRANDA que informa expresamente de la ubicación de los
servidores donde se almacenan los datos personales recopilados en el apartado
?Medidas de Seguridad? de la Política de Privacidad de la plataforma. Se ha clarificado
en dicha Política que los datos recopilados se almacenan en Europa y se especifica
cuándo se almacenan fuera de ella.
. Base legítima del tratamiento
Indica LIBRANDA que nada impide que el tratamiento pueda basarse en más de una
de las opciones establecidas en el artículo 6 del RGPD, ni tampoco que una
administración pública no pueda basarse exclusivamente en el consentimiento para
tratar datos personales de un servicio de acceso a bibliotecas públicas.
Entiende que el consentimiento es la base jurídica que legitima el tratamiento de los
datos, puesto que es la misma base jurídica que utilizan las bibliotecas públicas en
calidad de responsables del tratamiento. LIBRANDA ostenta el rol de encargado del
tratamiento, y, en consecuencia, no decide sobre la base que legitima el tratamiento
de los datos.
. Consentimiento por finalidades
La finalidad ?para facilitar el préstamo de los documentos incluidos en la plataforma?
prevista en el ?Cuadro-Resumen? del Pliego de Cláusulas Administrativas Particulares
es la única finalidad para la cual se requiere el consentimiento del usuario, no
habiendo otras finalidades distintas que requieran un consentimiento adicional.
Informa que ha ajustado la Política de Privacidad para clarificar la finalidad y explicar
los concretos tratamientos de datos personales que se llevan a cabo.
. Medidas de seguridad
Realizó una autoevaluación respecto al cumplimiento de los esquemas nacionales de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/56
seguridad e interoperabilidad siguiendo la Guía de Seguridad de las TIC CCN-STIC
803, que está a disposición de la AEPD en caso de que sea necesaria.
. Plazo de retención de datos
Consideran que cometieron un error al indicar un plazo de conservación de datos de
seis años, que ha sido modificado en la actualización de la Política de Privacidad
realizada en marzo de 2021, habiendo previsto que una vez finalizado el servicio
LIBRANDA devolverá o destruirá los datos personales, según la petición de cada
biblioteca.
. Claridad y sencillez en el lenguaje de la Política de Privacidad
Considera LIBRANDA que, aunque la Política de Privacidad ?original? se redactó en un
idioma extranjero, ?la información proporcionada es correcta, clara y sencilla,
permitiendo al usuario comprenderla?. No obstante, han revisado el leguaje, mejorando
determinadas definiciones y expresiones.
. Retirada del consentimiento
El apartado ?Tu contenido? de las Condiciones de Uso se refiere ?a la cesión de una
licencia sobre los posibles derechos de propiedad intelectual que recaigan sobre el
contenido compartido por el usuario en la plataforma?. No significa que el
consentimiento para el tratamiento de datos no se pueda retirar.
De la documentación que LIBRANDA aporta con su respuesta, cabe destacar la
siguiente:
A) ?Documentación acreditativa de la vinculación entre los gestores de la plataforma
eBiblio y el Ministerio de Cultura y Deporte en el caso de que exista una relación de
encargado-responsable??.
?De acuerdo con la Disposición adicional vigesimoquinta segunda de la LCSP, Libranda al
actuar como contratista, asumiría la posición de ?encargada del tratamiento?. Por ello,
entendemos que existe una relación de encargado-responsable entre Libranda y el Ministerio
de Cultura y Deporte.
Asimismo, se cumple con lo dispuesto en el artículo 28.3 RGPD a través del Contrato suscrito
entre Libranda y el Ministerio de Cultura y Deporte de fecha 16 de diciembre de 2020 (en
adelante el ?Contrato?), en el cual hace referencia a la prestación de los servicios por parte de
Libranda de acuerdo con el Pliego de Cláusulas Administrativas Particulares y el Pliego de
Prescripciones Técnicas?, documentos que en su conjunto rigen la contratación del servicio?
Los Pliegos establecen que el encargo del tratamiento se realizará de conformidad con la
normativa nacional y de la Unión Europea en materia de protección de datos. En particular, los
Pliegos proporcionan la siguiente información:
i. El objeto del tratamiento encargado a Libranda se estipula en el apartado 3.3. del pliego
técnico, en particular, se trata de la identificación del usuario de una biblioteca, pudiendo
constituir dato personal tanto el número de carné de biblioteca como cualquier otro equivalente.
ii. La duración del tratamiento de datos por parte de Libranda lo determina el contrato de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/56
prestación de servicios adjudicado a la misma. Es decir, que, una vez finalizado el servicio,
Libranda devolverá o destruirá los datos personales, a discreción de cada biblioteca.
iii. La naturaleza y finalidad del tratamiento se indican, además de en el apartado 3.3 del pliego
técnico, en el apartado 17.bis del Cuadro-resumen del pliego administrativo. En éste,
claramente se describe que la finalidad del tratamiento de los datos cedidos es ?para facilitar el
préstamo de los documentos incluidos en la plataforma?.
iv. Asimismo, el tipo de datos objeto de tratamiento y la categoría de interesados se indican en
el pliego técnico, en concreto en su apartado 3.3 cuando se especifica que los datos serán ?su
número de carné de biblioteca o equivalente?, en consecuencia, se trata de datos de
identificación, y que los interesados son ?los usuarios de cada red de bibliotecas?.
v. Finalmente, las particularidades del artículo 28.3 a) a h) se incluyen en el pliego
administrativo, cláusula 16 bis, por remisión al RGPD??.
B) Política de Privacidad, según su versión actualizada en fecha 23/06/2021. El
contenido de esta versión consta reproducido en ANEXO 4.
TERCERO: Con fecha 30/07/2021, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: Con fecha 13/05/2022, la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a
lo dispuesto en los artículos 63 y 64 de la LPACAP, por la presunta infracción de los
artículos 28.3 y 13 del RGPD, tipificada, respectivamente, en los artículos 83.4.a) y
83.5.b) del mismo Reglamento; y calificadas como grave y leve a efectos de
prescripción en los artículos 73.k) y 74.a) de la LOPDGDD.
En el acuerdo de apertura se determinó que las sanciones que pudieran corresponder,
de confirmarse las infracciones, sería de apercibimiento; y se advertía que las
infracciones imputadas podrán conllevar la imposición de medidas, según el citado
artículo 58.2 d) del RGPD.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en
la LPACAP, la parte reclamada presentó escrito de alegaciones en el que solicita el
archivo del procedimiento en base a las consideraciones siguientes:
1. En relación con el cumplimiento del artículo 28.3 del RGPD.
La entidad MCD no es el responsable del tratamiento de los datos recopilados por el
acceso y uso de la plataforma eBiblio. Dicha responsabilidad es asumida por las
Comunidades Autónomas que gestionan el servicio de forma única y exclusiva en sus
respectivos territorios, haciéndose responsables de los datos al incorporar dentro de la
?Política de Privacidad? de la página eBiblio de cada territorio un enlace al sitio web de
la biblioteca correspondiente.
Es decir, no se da la relación dual habitual de contratante-ejecutante, que se
correspondería con responsable y encargado de tratamiento, sino unos órganos
intermedios sobre los que recae la relación con los ciudadanos y el préstamo de los
libros (con el soporte técnico del ejecutante del contrato), que son las Comunidades y
Ciudades Autónomas.
Siguiendo la doctrina de la AEPD de 20/11/2019 y la STS 772/2020, el concepto de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/56
responsable del tratamiento no es formal sino funcional, y el Informe 0064/2020 del
Gabinete Jurídico de la AEPD que se cita en la notificación: ?en la mayoría de los
supuestos deba atenderse a las circunstancias del caso concreto (case by case)
atendiendo a sus necesidades reales?. En este caso concreto, el responsable del
tratamiento, desde un punto de vista funcional, no puede ser el MCD pues ni accede ni
necesita acceder a dato alguno relacionado con los usuarios del servicio.
El papel del MCD es de ?financiador? de una plataforma de gestión de préstamo de
contenidos electrónicos que ofrece de forma voluntaria a las CC.AA., que son en
última instancia las que deciden o no utilizarla y en qué términos.
Señala el informe de la AEPD en ese mismo Fundamento II que ?la entidad MCD es
responsable del tratamiento de estos datos incluso aunque no tenga acceso a ellos?.
Indica que es así, siguiendo las Directrices 7/2020 del Comité Europeo de Protección
de Datos que se refiere al caso de que se hubiera externalizado una actividad de
tratamiento, caso que no se da en este supuesto.
El MCD considera que son las Comunidades y Ciudades Autónomas participantes en
el servicio eBiblio quienes son responsables de los datos, como se establece
directamente en las páginas web del servicio dentro de sus respectivos ámbitos
territoriales y puede comprobarse, según el Ministerio, en el documento que
acompaña, el cual corresponde a la información disponible en ?eBiblio Andalucía?
(seleccionada según orden alfabético). En este documento aportado se indica:
En la Política de privacidad de eBiblio diseñada por LIBRANDA, SA [disponible en:
https://guiadeuso.ebiblio.es/confluence/ebiblio-user/es/preguntas-frecuentes/condicionesgenerales
/plataforma-web/plataforma-web-politica-de-privacidad], se expone:
?La administración local de su biblioteca (la Biblioteca) es la responsable del tratamiento de sus
datos personales. Puede encontrar la identidad y datos de su Biblioteca, así como los datos del
delegado de protección de datos que corresponda, accediendo al sitio web de la misma?.
eBiblio Andalucía
En la pestaña de ?Información? del portal eBiblio Andalucía [disponible en:
https://andalucia.ebiblio.es/about], aparece el siguiente apartado:
1.1. Datos de acceso
¿Cómo puedo hacerme usuario?
Los requisitos para acceder a eBiblio Andalucía son:
? Tener tarjeta de usuario (carné de lector) de alguna biblioteca de la Red de Bibliotecas
Públicas de Andalucía. Si aún no dispone de la tarjeta de usuario puede dirigirse a la biblioteca
más cercana de la Red o tramitar la solicitud online, si tiene certificado digital.
? Disponer de una cuenta de correo electrónico activa y única (una por lector), que habrá
comunicado a su biblioteca para que la asocien a su tarjeta de usuario.
? Una contraseña, que seguramente le facilitaron en su biblioteca cuando se inscribió como
lector (es la misma que se utiliza para entrar en el Catálogo de la Red de Bibliotecas Públicas
de Andalucía).
Al acceder al trámite online de tarjeta de usuario, nos dirige a la siguiente página de
información de la Red de Bibliotecas de Andalucía:
(se inserta la imagen de la página ?Red de bibliotecas públicas de Andalucía?, que incluye
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/56
enlaces para solicitar la tarjeta de usuario).
En la parte inferior de la página, encontramos una cláusula de protección de datos que indica:
?En cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos, le
informamos que:
a) El Responsable del tratamiento de sus datos personales es: Dirección General de
Patrimonio Histórico y Documental cuya dirección es: C/ Levíes, 27. -- 41004 -- Sevilla
b) Podrá contactar con el Delegado de Protección de Datos en la dirección electrónica
dpd.ccul@juntadeandalucia.es
c) Los datos personales que nos proporciona son necesarios para: gestión de los servicios de
préstamo y consulta de la Red de Bibliotecas Públicas de Andalucía, cuya base jurídica se
sustenta en: Orden 24 de septiembre de 2001 (BOJA núm. 129, de 8.11.2001), que regula el
acceso, servicios y servicio de préstamo de la Red de Bibliotecas Públicas de Andalucía,
modificada por: Orden de 30 de julio de 2007, por la que se modifica la de 24 de septiembre de
2001, por la que se regula el acceso, servicios y servicio de préstamo de las Bibliotecas de la
Red de Bibliotecas Públicas de Andalucía (BOJA núm. 170 de 29.8.2007) y Orden de 29 de
diciembre de 2008, por la que se establecen los requisitos para la obtención de la tarjeta de
usuario de la Red de Bibliotecas Públicas de Andalucía (BOJA núm. 17 de 27.1.2009)?>>.
El hecho de que las CC.AA. aparezcan como responsables en sus páginas web
eBiblio, pone de manifiesto esta disociación de competencias y, por tanto, de
responsabilidades. Es decir, por una parte, el MCD ofrece a las CC.AA. la plataforma
encargada de la gestión del servicio, no teniendo en ningún caso, acceso a los datos
de carácter personal de los usuarios ni expresando por tanto cualquier información
sobre el tratamiento de los mismos.
La Comunidad Autónoma actúa como responsable del tratamiento de los datos que
alberga y conecta con los sistemas de gestión integradas de sus respectivas redes de
bibliotecas, dado que es quien determina en última instancia los fines y los medios de
los mismos, como gestor del carné de usuario de las respectivas redes de bibliotecas
que ofrecen exclusivamente en sus respectivos territorios.
Considera que la confusión sobre la determinación del Ministerio como responsable de
los datos puede deberse a una interpretación de los Pliegos y Cláusulas
Administrativas Particulares para la contratación de la plataforma de gestión del
servicio a través de procedimiento abierto. Para evitar esta interpretación, que no
obedece al espíritu ni al objeto perseguido, vamos a mejorar la redacción de dichos
pliegos y cláusulas futuras.
Si bien, en los pliegos y cláusulas administrativas particulares queda claro que el
objetivo es la implementación del sistema de gestión del servicio de préstamo de
contenidos digitales con el fin de que el servicio a nivel nacional no quede nunca
interrumpido, no apareciendo en ningún momento mención sobre la gestión de los
datos personales de los usuarios, que se realizan, como ya se ha indicado, entre las
bibliotecas de las Comunidades y Ciudades Autónomas y la empresa actualmente
adjudicataria.
Las CC.AA. tienen competencia sobre las bibliotecas de interés para las mismas y son
responsables de la gestión de los servicios que ofrecen en sus territorios (Artículo
148.1.15 de la Constitución Española) y no el Estado. El MCD no puede, dado que no
tiene competencias para ello, imponer ningún fin sobre lo que no tiene competencias.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/56
Las actividades de tratamiento se producen en las páginas web eBiblio territoriales
porque son las propias bibliotecas las responsables legales de sus servicios y los
datos de sus usuarios y la aportación del Ministerio consiste en facilitarles la
continuidad de la infraestructura necesaria para su extensión al mundo virtual.
2. En relación con el cumplimiento del artículo 13 del RGPD, en relación con los
artículos 4 y 12.1 del RGPD
.
El MCD sostiene, de acuerdo con las normas que conforman el bloque de
constitucionalidad, que las comunidades autónomas participantes en eBiblio son las
responsables tanto de la gestión del servicio (ex lege) como del tratamiento de datos
en sus respectivos territorios. En este sentido, las CCAA son quienes se encargan de
emitir los carnés de usuarios de sus redes de bibliotecas y recogen los datos del
usuario necesarios para este fin y para el uso del servicio de préstamo de contenidos
digitales eBiblio, siendo por tanto las responsables de los datos y de proporcionar la
información que debe facilitarse en cumplimiento del artículo 13 del RGPD.
Dicha información, aparece recogida en las webs de cada servicio eBiblio autonómico,
tal y como se puede comprobar a través de sus links de acceso (indica estos links
correspondientes a cada una de las CCAA).
La responsabilidad en el tratamiento de los datos recopilados por el acceso y uso de la
plataforma eBiblio es asumida por las Comunidades Autónomas que gestionan el
servicio de forma única y exclusiva en sus respectivos territorios, haciéndose
responsables de los datos al incorporar dentro de la ?Política de Privacidad? de la
página eBiblio de cada territorio un enlace al sitio web de la biblioteca correspondiente.
Es, como se señalaba en el apartado primero de este escrito de alegaciones, un
trasunto digital de una biblioteca física. La competencia de esa gestión no varía.
No obstante, dos cuestiones a tener en cuenta:
En cuanto al lenguaje e información de protección de datos personales que se facilita
al usuario, la página web se ha ido actualizando desde el año 2021, tomándose las
medidas oportunas para subsanar cualquier de las deficiencias descritas en el
expediente de la AEPD y que son públicas actualmente desde la web eBiblio. Dicha
web es la herramienta de información principal al usuario y utiliza un lenguaje
transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo que puede
ser leída y comprendida por un menor, ya que es parte del posible público objetivo del
servicio al contar con contenido dirigido a público adulto, juvenil e infantil.
Se puede comprobar el cambio de estilo de lenguaje comparando las versiones web
que estaban vigentes en el momento de la reclamación (2021) y la actual. A este
respecto, acompaña copia de una ?comparativa de la apariencia web a fecha de la
reclamación (mayo de 2021) y a la fecha actual (julio de 2022?, que recoge el detalle
de la información ofrecida en mayo de 2021 en las pestañas ?¿Qué es?? y ?Hazte
socio? (?¿Quién puede utilizar eBiblio??, ?Comienza a usar eBiblio? y ?¿Qué ofrece
eBiblio??) y la ofrecida en julio de 2022 en las pestañas ?¿Qué es?? y ?¿Cómo usarlo??
(?¿Qué necesito??, ?A través de la web o la App?, ?Comienza a usarlo?). Ninguno de los
apartados mencionados incluye información en materia de protección de datos
personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/56
También puede comprobarse el cambio realizado para el cumplimiento de
accesibilidad web con un estilo más contrastado, informativo y limpio.
Asimismo, con la finalidad de contar con un documento legal que establezca de forma
clara y transparente la responsabilidad por parte de las Comunidades Autónomas
como responsables de los datos, el Ministerio ha iniciado el contacto con ellas a fin de
informarles sobre la necesidad de incorporar cláusulas informativas más claras de
acuerdo con el articulado del RGPD. También, desde el Ministerio hemos comenzado
a trabajar en un modelo de documento legal para que sirva de base a las CCAA que
utilicen eBiblio para, en su caso, suscribir los contratos oportunos en materia de
protección de datos con la empresa adjudicataria del servicio.
3.- En relación con la gestión del backoffice de eBiblio por parte del Ministerio de
Cultura.
La SDG de Coordinación Bibliotecaria de la Dirección General del Libro y Fomento de
la Lectura del MCD, con fecha de 1 de julio de 2022 y en aras del mejor cumplimiento
de lo establecido en el RGPD y en la doctrina de la AEPD, ha solicitado a la
adjudicataria del servicio eBiblio, LIBRANDA, que el usuario global que utiliza el
Ministerio en la plataforma de gestión o backoffice de eBiblio no tenga acceso a datos
de ningún tipo acerca de los usuarios, ya que son datos proporcionados por las
comunidades autónomas y a los que el Ministerio no accede, no ha accedido nunca y
no necesita acceder.
SEXTO: Con fecha 21/10/2022, durante la fase de prueba, el instructor del
procedimiento acordó incorporar a las actuaciones la información y/o documentación
siguiente:
a) Copia de la información siguiente, disponible en el sitio web ?madrid.ebiblio.es?:
. En el menú principal, apartado ?Información?.
?eBiblio es un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a través de
las bibliotecas públicas españolas, está coordinado e impulsado por la Subdirección General
de Coordinación Bibliotecaria del Ministerio de Cultura y Deporte en colaboración con
los Servicios de Bibliotecas de las Comunidades y Ciudades Autónomas?
Para utilizar eBiblio Madrid se necesita el carné de usuario de las bibliotecas y servicios de
lectura pública de la Comunidad de Madrid??.
. En el menú a pie de página, documentos ?Términos y condiciones? y ?Política de
Confidencialidad?.
Condiciones de Uso:
?Al usar el Servicio, usted acepta celebrar un contrato que lo compromete con su biblioteca, y
con DISTRIBUIDORA DIGITAL DE LIBROS, S.A.U., ("Libranda") (cada uno individualmente un
"Gerente" o colectivamente los "Gerentes"), bajo las condiciones establecidas en estos
Términos??.
?Tu privacidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/56
Los gerentes se preocupan por la protección de su información personal y el respeto de su
privacidad. La información sobre el tipo de información recopilada durante su uso del Servicio,
los motivos por los que se recopila dicha información y el uso que se hace de ella está
disponible en el siguiente enlace: "Política de privacidad", que usted es responsable de revisar
y reconocer haber leído y entendido su aceptación de estos Términos?.
?Contenido de Libranda o de terceros
Se le informa y reconoce que Libranda es el propietario de: (a) el Servicio, incluido cualquier
texto, imagen, sonido, video, modelo, plan, mapa, imagen, icono, software, diseño,
aplicaciones, datos, presentaciones gráficas, marcas registradas, logotipos y lemas creados o
utilizados por Libranda y sobre el cual posee los derechos de propiedad intelectual; (b)
cualquier herramienta, hardware informático y software utilizado para ofrecer el Servicio; y (c)
diseño gráfico, interfaz de usuario y la apariencia del Servicio?.
Política de Privacidad
El contenido de esta información coincide con la versión de la Política de Privacidad
de 23/06/2021, aportada por LIBRANDA en su respuesta al trámite de traslado de la
reclamación, cuyo contenido consta reseñado en Anexo 4.
b) A través del enlace ?Catálogo Regional? insertado en el documento anterior
?madrid.ebiblio.Información?, se accede a la web de la Red de Bibliotecas de la
Comunidad de Madrid y se incorpora a las actuaciones el documento denominado
?Aviso Legal?, disponible en el pie de página. Incluye un apartado ?Privacidad? con
información general de la Comunidad de Madrid en relación con los datos personales
que se recojan a través de sus sitios web. No es una información específica en esta
materia en relación con el servicio eBiblio.
c) Copia de la información siguiente, disponible en el sitio web ?canarias.ebiblio.es?:
. En el menú principal, apartado ?Información?.
?eBiblio es un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a través de
las bibliotecas públicas españolas, está coordinado e impulsado por la Subdirección General
de Coordinación Bibliotecaria del Ministerio de Cultura y Deporte en colaboración con
los Servicios de Bibliotecas de las Comunidades y Ciudades Autónomas?
Si es socio de alguna de las bibliotecas de la Red de Bibliotecas de Canarias (BICA) ya es
usuario de eBiblioCanarias. Si no lo es, puede dirigirse a la biblioteca pública más cercana que
forme parte de dicha Red y darse de alta como socio o puede darse de alta de forma online en
el OpacWeb de la Red BICA (Bibliotecas de Canarias)??.
. En el menú a pie de página, documentos ?Términos y condiciones? y ?Política de
Confidencialidad?. El contenido de estos documentos es similar al reseñado para el
caso de ?madrid.ebiblio.es?.
d) Se accede a la web de la Red de Bibliotecas del Gobierno de Canarias y se obtiene
el documento denominado ?Aviso Legal?, disponible en el pie de página. Incluye un
apartado ?Política de Privacidad? con información dirigida a ?personas usuarias de
bibliotecas públicas?. No es una información específica en relación con el servicio
eBiblio.
SÉPTIMO: Con fecha 02/12/2022, se formuló propuesta de resolución en el sentido
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/56
siguiente:
1. Que por la Directora de la Agencia Española de Protección de Datos se sancione
con apercibimiento a la entidad MCD, por la infracción de los artículos 28.3 y 13 del
RGPD, tipificadas en los artículos 83.4.a) y 83.5.b) del mismo Reglamento, y
calificadas como grave y leve en los artículos 73.k) y 74.a) de la LOPDGDD,
respectivamente.
2. Que por la Directora de la AEPD se requiera a la entidad reclamada para que, en el
plazo que se determine, adopte las medidas necesarias para adecuar su actuación a
la normativa de protección de datos personales, con el alcance expresado en los
Fundamentos de Derechos de la propuesta de resolución.
OCTAVO: Notificada al MCD la citada propuesta de resolución, se recibe escrito de
dicha entidad en el que solicita el archivo del procedimiento sancionador. La citada
entidad basa su petición en las consideraciones siguientes:
. Comienza el MCD señalando dos cuestiones previas relacionadas con la
organización competencial en materia de bibliotecas.
En primer término, refiere lo establecido en la Constitución Española, artículos
148.1.15ª y 149.1.28ª, para concluir que la gestión del MCD en este ámbito se
extiende los edificios y fondos de las bibliotecas de titularidad estatal y la cooperación
bibliotecaria.
Además, indica que impulsó el sistema eBiblio, proporcionando la plataforma y un
conjunto de licencias de libros digitales, para permitir a todas las bibliotecas españolas
poder ofrecer contenidos digitales en base a las funciones que en materia de
cooperación bibliotecaria le confiere la Ley 10/2007, de 22 de junio, de la lectura, del
libro y de las bibliotecas, contribuyendo a los fines recogidos en su artículo 14.3:
promover el desarrollo de las bibliotecas españolas y fomentar la igualdad en el
acceso al servicio público en el conjunto del Estado.
. Para impulsar aquellos servicios y después ofrecerlos a las Comunidades y Ciudades
Autónomas, el MCD adquirió la plataforma mediante contrato del sector público, a
través de una convocatoria en procedimiento abierto, cuyos pliegos se elaboraron de
conformidad con lo dispuesto en la Ley 9/2017, de Contratos del Sector Público.
Así, se menciona en el Pliego de Cláusulas Administrativas Particulares la obligación
del contratista de respetar la normativa vigente en materia de protección de datos, de
acuerdo con el artículo 122 de la citada Ley, según los detalles que constan reseñados
en el Hecho Probado Tercero de la propuesta de resolución. Considerando este
contenido del Pliego de Cláusulas Administrativas Particulares, admite el MCD que
define los fines del tratamiento de los datos.
En lo que se refiere al Pliego de Prescripciones Técnicas, hace referencia el MCD al
módulo de generación de estadísticas que figura entre los requisitos funcionales
exigidos a la plataforma de gestión del servicio ?eBiblio?, señalando que en este
módulo solo se encuentran los datos finales estadísticos anonimizados y que al MCD
no se le permite acceder a datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/56
El MCD, en calidad de impulsor y coordinador del contrato, se encargará a través de la
Subdirección General de Coordinación Bibliotecaria de realizar un seguimiento de la
prestación del servicio, asegurándose de que todos los requisitos exigidos a la
plataforma se prestan correctamente a lo largo todo el período de duración del
contrato
. En el presente caso, y siguiendo las Directrices 07/2020 del Comité Europeo de
Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y
encargado del tratamiento en el RGPD?, el MCD establece el fin del tratamiento, pero
no los medios esenciales del mismo. En ningún caso el MCD establece qué tipo de
datos se tratarán, cuál será la duración del tratamiento o quién tendrá acceso a esos
datos.
Tanto el documento ?Plataforma eBiblio. Condiciones de uso? como el documento
?Plataforma eBiblio. Política de Privacidad? no han sido elaborados con la participación
del MCD, pues este Ministerio determina los fines del tratamiento de datos de acuerdo
a lo establecido en la LCSP, pero no los medios esenciales
En la versión de ?Plataforma eBiblio. Política de Privacidad? vigente en el momento en
el que se formuló la reclamación, se señalaba qué datos se recababan directamente
del usuario (nombre, apellido, dirección de correo electrónico, historial de navegación,
datos de ubicación?). Estos medios esenciales no fueron establecidos por el MCD.
En la versión de ?Plataforma eBiblio. Política de Privacidad? de fecha 23/06/2021 se
señala a la administración local de la biblioteca como la responsable del tratamiento de
los datos, siendo ella, como administración pública, la que determina fines y medios.
Por tanto, el MCD solamente establece los fines y el software (medio no esencial) con
el que será llevado a cabo el tratamiento, pero en ningún caso establece los medios
esenciales. El MCD impulsa y coordina la plataforma, facilitando a las Comunidades
Autónomas que lo deseen un servicio de préstamo de documentos electrónicos, pero
son las Comunidades Autónomas las que gestionan íntegramente el servicio.
De acuerdo con las citadas Directrices 07/2020, la corresponsabilidad existe cuando
diferentes partes determinan conjuntamente los objetivos y los medios del tratamiento.
En este caso, aunque los fines son comunes (facilitar el préstamo de los documentos
incluidos en la plataforma), los medios no se determinan de forma conjunta por las dos
partes, sino solo por las Comunidades Autónomas en virtud de sus competencias.
. En los próximos Pliegos de Prescripciones Técnicas, el MCD se compromete a
establecer que los responsables del tratamiento de los datos deberán regular un acto
jurídico previo a la utilización del servicio en el que se regule el tratamiento de los
datos.
. Declara el MCD estar de acuerdo con lo indicado en la propuesta de resolución sobre
la obligación del responsable del tratamiento de facilitar a los interesados la
información en materia de protección de datos, evitando que la Política de privacidad
sea redactada por la adjudicataria. El MCD se compromete, en los futuros Pliegos de
Prescripciones Técnicas, a establecer que los responsables del tratamiento de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/56
datos deberán dar instrucciones a la empresa adjudicataria sobre los medios del
tratamiento y, por tanto, sobre la redacción de la Política de privacidad.
. Termina el MCD detallando las acciones que pretende llevar a cabo en próximas
contrataciones, comprometiéndose a incluir en los pliegos:
. Una definición clara de las figuras del responsable de los datos y del encargado, de
acuerdo con la Ley.
. La obligatoriedad de que los responsables de los datos firmen un acuerdo jurídico
con el adjudicatario, previo a la utilización del servicio, en el que se regule el
tratamiento de los datos.
. La obligatoriedad de los responsables de los datos de redactar la Política de
Privacidad del servicio.
Asimismo, añade que, en el próximo contrato, el MCD acordará junto con las
Comunidades Autónomas los medios esenciales para el tratamiento de datos,
convirtiéndose en corresponsables. Así, en los próximos contratos que se formalicen
de esta plataforma, tanto el MCD como las Comunidades Autónomas que quieran
hacer uso del servicio de préstamo electrónico eBiblio deberán:
. Establecer un mecanismo jurídico en el que se regule el tratamiento de los datos.
. Establecer la Política de Privacidad que aparecerá en la página del servicio eBiblio,
que incluirá las modificaciones recogidas en los apartados IV y V de los Fundamentos
de Derecho de la Propuesta de resolución.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: ?eBiblio? es un servicio en línea de préstamo de libros electrónicos y otros
contenidos digitales (como revistas o audiolibros) impulsado, coordinado y gestionado
por el MCD. Incluye un sistema de gestión informático o plataforma de préstamo y una
aplicación para dispositivos móviles que el MCD pone a disposición de las Ciudades y
Comunidades Autónomas (todas, a excepción de País Vasco).
SEGUNDO: El MCD adquiere la plataforma de gestión del servicio ?eBiblio? y la app
mediante contrato del sector público, en procedimiento abierto. En el año 2020, el
MCD realizó una convocatoria para la contratación e implementación de la plataforma
de préstamo de libros y app actuales.
TERCERO: El Pliego de Cláusulas Administrativas Particulares que rige la
convocatoria reseñada en el Hecho Probado Segundo contempla, entre otras, las
siguientes obligaciones de las partes:
. El adjudicatario no podrá utilizar para sí, ni proporcionar a terceros, dato alguno
de los trabajos contratados ni publicar, total o parcialmente, el contenido de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/56
mismos sin autorización escrita del órgano de contratación.
. El adjudicatario adquiere el compromiso de custodia fiel y cuidadosa de toda la
información que se le facilite para la realización del servicio y, con ello, la
obligación de que ni la documentación ni la información que ella contiene llegue
en ningún caso a poder de terceras personas
. En el supuesto de la ejecución del contrato implique la cesión de datos al
contratista:
. El contratista estará sujeto, en todo caso, a la normativa nacional y de la
Unión Europea en materia de protección de datos.
. La empresa adjudicataria debe presentar antes de la formalización del
contrato una declaración en la que ponga de manifiesto dónde van a estar
ubicados los servidores y desde dónde se van a prestar los servicios asociados
a los mismos.
. Según la Cláusula 28 se indica que el adjudicatario quedará obligado al
cumplimiento de todas las obligaciones que, en materia de seguridad y protección
de datos, establece la LOPDGDD.
Por otra parte, en el ?Cuadro-Resumen? que acompaña al Pliego se estipula:
?16. Lugar de entrega de los trabajos o de prestación de los servicios incluidos en el contrato:
Las prestaciones relativas a la gestión del sistema informático para el préstamo de los libros y
contenidos digitales se desarrollarán en la sede del empresario adjudicatario?.
?17.bis. Finalidad del tratamiento de los datos cedidos: Para facilitar el préstamo de los
documentos incluidos en la plataforma?.
El contenido íntegro del Pliego de Cláusulas Administrativas Particulares fijado por el
MCD, que consta incorporado a las actuaciones, se declara reproducido en este acto a
efectos probatorios.
CUARTO: De acuerdo con el Pliego de Prescripciones Técnicas que rige la
convocatoria reseñada en el Hecho Probado Segundo, el objeto de la misma es:
?El objeto del presente pliego de prescripciones técnicas es la contratación e implementación
de un sistema de gestión informático o plataforma de préstamo de libros electrónicos y otros
contenidos digitales en bibliotecas públicas de las Ciudades y Comunidades Autónomas, que
asegure el mantenimiento ininterrumpido del actual servicio ?eBiblio?, impulsado por el
Ministerio de Cultura y Deporte?
El sistema de gestión informático incluirá aplicaciones móviles, al menos para iOS y Android.
Su gestión corresponderá a la Subdirección General de Coordinación Bibliotecaria del
Ministerio de Cultura y Deporte (a partir de ahora, el órgano gestor)?.
Según lo indicado en este Pliego, el sistema que se pretende contratar ?incluirá un
conjunto de aplicaciones informáticas, así como los recursos de hardware y
comunicaciones necesarias, capaces de gestionar el alojamiento y el acceso a
contenidos electrónicos, así como el préstamo temporal de los mismos a usuarios de
las bibliotecas públicas??, correspondiendo al contratista aportar todos los recursos
necesarios para cumplir los requisitos funcionales detallados en el mismo Pliego y el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/56
mantenimiento de la plataforma.
Entre los requisitos funcionales se mencionan la habilitación de un módulo de
generación de estadísticas, que debe contar con un usuario por cada Comunidad y
otro global, y la configuración de un máximo de 18 sectores independientes ?para dar
servicio a las bibliotecas públicas de las distintas Comunidades y Ciudades
Autónomas, en cuya gestión intervendrán los servicios técnicos responsables de
bibliotecas de estas administraciones?.
Asimismo, deberá utilizar el ?sistema web service? ya desarrollado por el MCD o
cualquier otro que proporcione el contratista para autentificar al usuario mediante su
número de carné de biblioteca o equivalente y una contraseña. Este ?sistema de
autentificación de usuarios de la plataforma deberá conectarse con la base o bases de
datos que contengan los datos de identificación de los usuarios autorizados en cada
red con el fin de validarlos?.
El propio MCD, a través de la Subdirección General de Coordinación Bibliotecaria, es
el responsable del seguimiento de la prestación del servicio.
El contenido íntegro del Pliego de Prescripciones Técnicas fijado por el propio MCD se
declara reproducido en este acto a efectos probatorios. Parte del contenido de este
Pliego se incorpora a este acto como Anexo 1.
QUINTO: En la convocatoria reseñada en el Hecho Probado Segundo resultó
adjudicataria la entidad LIBRANDA.
Para formalizar la adjudicación, el MCD y LIBRANDA suscribieron el correspondiente
contrato en fecha 16/12/2020. En materia de protección de datos personales, este
contrato incluye únicamente una mención a la obligación de confidencialidad de
LIBRANDA y en materia de seguridad:
?Decimotercera. El adjudicatario adquiere el compromiso de custodia fiel y cuidadosa de toda la
información que se le facilite para la realización del servicio contratado, así como la obligación
de que ni la documentación ni la información que ella contiene llegue en ningún caso a poder
de terceras personas.
Asimismo, el adjudicatario tendrá la obligación de guardar sigilo, durante un plazo de cinco
años desde su conocimiento, respecto a los antecedentes o datos que, no siendo públicos o
notorios, estén relacionados con el objeto del contrato o de los que tenga información con
ocasión del mismo?.
El contenido íntegro de este contrato se declara reproducido en este acto a efectos
probatorios.
SEXTO: La plataforma ?eBiblio? se muestra de forma independiente para cada Ciudad
y Comunidad Autónoma, con una URL de acceso para cada una de ellas
(?https://andalucia.ebiblio.es?, ?https://madrid.ebiblio.es? o ?https://canarias.ebiblio.es?,
etc.).
SÉPTIMO: La plataforma ?eBiblio? incluye el documento ?Plataforma eBiblio.
Condiciones de Uso? accesible para los usuarios de todas las Ciudades y
Comunidades Autónomas. Este documento ha sido elaborado por la entidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/56
LIBRANDA, que se menciona como uno de los responsables de la plataforma:
??Al usar el Servicio, usted acepta celebrar un contrato que lo compromete con su biblioteca, y
con DISTRIBUIDORA DIGITAL DE LIBROS, S.A.U., (?Libranda?) (cada uno individualmente un
?Gerente? o colectivamente los ?Gerentes?)??.
En cuanto a la información sobre protección de datos personales y privacidad, incluye
un enlace que conduce a la ?política de Privacidad? disponible en la web.
?La información sobre el tipo de información recopilada durante su uso del Servicio eBiblio, los
motivos por los que se recopila dicha información y el uso que se hace de ella está disponible
en el siguiente enlace: "Política de privacidad", que usted es responsable de revisar y
reconocer haber leído y entendido su aceptación de estos Términos??.
El contenido íntegro del documento ?Plataforma eBiblio. Condiciones de Uso? se
declara reproducido en este acto a efectos probatorios. Parte de este contenido se
incorpora a este acto como Anexo 2.
OCTAVO: La plataforma ?eBiblio? incluye el documento ?Plataforma eBiblio. Política de
Privacidad?, accesible para los usuarios de todas las Ciudades y Comunidades
Autónomas. Este documento, en su versión vigente en el momento en que se formuló
la reclamación que ha motivado las actuaciones, consta elaborado por la entidad
LIBRANDA, que se identifica como uno de los responsables de la plataforma:
?Bienvenido a la plataforma de lectura y préstamo de libros electrónicos (individualmente, la
"Plataforma eBiblio" o la "Aplicación eBiblio", según sea el caso, y colectivamente el "Servicio
eBiblio"), desarrollado y operado conjuntamente por Libranda/De Marque Inc. y el Ministerio de
Cultura y Deporte junto con las comunidades y ciudades autónomas de España, su biblioteca
pública (cada individualmente un "Gerente" o colectivamente los "Gerentes"), todos los
Gerentes son co-controladores de sus datos personales?.
Para el ejercicio de derechos y como datos de contacto (?Para obtener más
información sobre nuestras políticas y prácticas??) se indica una dirección postal, una
dirección de correo electrónico y un número de teléfono, todos ellos pertenecientes a
LIBRANDA.
En este documento se describe cómo se recopila, usa y divulga la información que se
obtiene sobre los usuarios y los diferentes medidos para que éstos puedan contactar.
Se estructura con los apartados siguientes:
. Introducción
. Recolección de información personal
. Compartir y transferir información personal
. Derecho de veto y expulsión (exclusión)
. Derecho de acceso
. Almacenaje y seguridad
. Duración de la retención de la información personal recopilada
. Enlaces externos y formularios
. Contáctenos
. Cambios en esta Política de Privacidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/56
Son múltiples las referencias contenidas en la Política de Privacidad a la recogida de
datos personales de los usuarios que conlleva la utilización de la plataforma ?eBiblio?.
Seguidamente se incluyen algunos ejemplos:
. ?En esta Política de privacidad, describimos cómo recopilamos, usamos y divulgamos la
información que obtenemos sobre los usuarios de la Plataforma eBiblio?.
. ?Recopilamos la siguiente información personal, que nos proporciona directamente y de forma
voluntaria??.
. ?Utilizamos la información que recopilamos para los siguientes propósitos??.
. ??usted acepta la recopilación, transferencia, almacenamiento, uso y control de su
información recopilada por la Plataforma eBiblio??.
Y se detallan los datos personales que se recaban, tanto directamente del usuario
(nombre, apellido, dirección de correo electrónico, historial de navegación, datos de
ubicación, etc.) como de forma automática (dirección IP, sistema operativo, vistas de
páginas y solicitudes, fecha y hora de acceso, enlaces en los que hace clic, origen del
usuario, geolocalización (Google Analytics), idioma del navegador).
El contenido íntegro de este documento ?Plataforma eBiblio. Política de Privacidad?,
que se incorpora a este acto como Anexo 3, se declara reproducido a efectos
probatorios.
NOVENO: Consta incorporada a las actuaciones, aportada por la entidad LIBRANDA,
una nueva versión del documento ?Plataforma eBiblio. Política de Privacidad? de fecha
23/06/2021.
Al igual que el documento reseñado en el Hecho Probado Noveno, esta Política de
Privacidad de 23/06/2021 está elaborada por la entidad LIBRANDA (?Libranda se
reserva el derecho de cambiar esta política de privacidad en cualquier momento?), y no
contine ninguna mención al MCD. Si bien, en este caso, se identifica como encargada
del tratamiento, señalando como responsable del tratamiento a la Administración Local
responsable de la ?Biblioteca? en la que consta registrado el usuario:
?Bienvenido a la plataforma de lectura y préstamo de libros electrónicos (individualmente, la
"Plataforma" o la "Aplicación", según sea el caso, y colectivamente el "Servicio"), desarrollado y
operada por DISTRIBUIDORA DIGITAL DE LIBROS, S.A.U., ("Libranda"), como adjudicataria
del servicio público de implementación y gestión de la Plataforma. Esto significa que la
administración pública determina por qué motivos (es decir, los fines) se procesan sus datos,
así como los recursos (es decir, los medios) asignados a dicho procesamiento. En
consecuencia, Libranda es la encargada del tratamiento de sus datos personales?.
Para el ejercicio de derechos y como datos de contacto (?Todas las preguntas y
comentarios sobre esta política de privacidad o las solicitudes relacionadas con la
misma deben ser enviadas a Libranda??), incluso par la revocación del
consentimiento al tratamiento de datos personales, se indica una dirección postal, una
dirección de correo electrónico y un número de teléfono, todos ellos pertenecientes a
LIBRANDA.
Son múltiples las referencias contenidas en esta Política de Privacidad a la recogida y
utilización de datos personales de usuarios de ?eBiblio? por parte de LIBRANDA.
Seguidamente se incluyen algunos ejemplos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/56
?Esta política de privacidad sintetiza (1) los tipos de información personal recogida por
Libranda, (2) las razones por las que Libranda recopila información personal, (3) la forma en
que Libranda utiliza y protege la información personal, y (4) las circunstancias en las que la
información personal se comparte con los socios de Libranda y terceros??.
?Como parte de la operatividad de la Plataforma, Libranda recogerá y/o procesará información
sobre usted??.
?De vez en cuando, usted puede proporcionar más información a Libranda para los propósitos
de administrar su cuenta ya sea con la Plataforma o para la administración de su cuenta con su
Biblioteca?.
?Utilizamos la información recogida para ?Facilitar el préstamo de los documentos incluidos en
la plataforma?, ello significa:
. Permitirle utilizar nuestra Plataforma y los servicios ofrecidos en ella??.
El contenido íntegro de este documento ?Plataforma eBiblio. Política de Privacidad?,
versión de 23/06/2021, que se incorpora a este acto como Anexo 4, se declara
reproducido a efectos probatorios.
DÉCIMO: Con fecha 21/10/2022, por el instructor del procedimiento se accedió a los
sitios web ?madrid.ebiblio.es? y ?canarias.ebiblio.es?. Ambos incluyen un apartado
?Información? en el menú principal en el que se indica lo siguiente:
?madrid.ebiblio.es?:
?eBiblio es un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a través de
las bibliotecas públicas españolas, está coordinado e impulsado por la Subdirección General
de Coordinación Bibliotecaria del Ministerio de Cultura y Deporte en colaboración con
los Servicios de Bibliotecas de las Comunidades y Ciudades Autónomas??.
?canarias.ebiblio.es?:
?eBiblio es un servicio gratuito de préstamo de libros electrónicos en línea ofrecido a través de
las bibliotecas públicas españolas, está coordinado e impulsado por la Subdirección General
de Coordinación Bibliotecaria del Ministerio de Cultura y Deporte en colaboración con
los Servicios de Bibliotecas de las Comunidades y Ciudades Autónomas??.
El contenido de los documentos ?Términos y condiciones? y ?Política de
Confidencialidad? insertados en ?madrid.ebiblio.es? y ?canarias.ebiblio.es? es similar al
reseñado en los Hechos Probados anteriores.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/56
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos?.
Por último, la Disposición adicional cuarta ?Procedimiento en relación con las
competencias atribuidas a la Agencia Española de Protección de Datos por otras
leyes? establece que: ?Lo dispuesto en el Título VIII y en sus normas de desarrollo
será de aplicación a los procedimientos que la Agencia Española de Protección de
Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por
otras leyes?.
II
El presente caso está relacionado con el Servicio ?eBiblio?. Se trata de un servicio
gratuito de préstamo de libros electrónicos (libros, revistas y audiolibros) en línea
(permite la lectura tanto en línea como a través de descarga) impulsado por el MCD. El
Ministerio ofrece a las Ciudades y Comunidades Autónomas (todas, a excepción de
País Vasco) la plataforma encargada de la gestión del servicio, que fue habilitada en
2014, y una aplicación gratuita para dispositivos móviles.
El objeto de las presentes actuaciones tiene que ver con los tratamientos de datos que
conlleva el uso de la plataforma ?eBiblio?. Por tanto, no alcanza a las bases de datos
de las redes de bibliotecas públicas.
Resulta necesario, en primer término, precisar el carácter bajo el que actúan las
entidades que intervienen, desde el punto de vista de la protección de datos
personales, el cual ha sido puesto de manifiesto en la reclamación que motiva las
actuaciones.
El MCD adquiere la plataforma de gestión del servicio ?eBiblio? y la app mediante
contrato del sector público y la pone a disposición de las Ciudades y Comunidades
Autónomas. En el año 2020 se realizó una convocatoria para la contratación e
implementación de un sistema de gestión informático o plataforma de préstamo de
libros electrónicos y otros contenidos digitales en bibliotecas públicas de las Ciudades
y Comunidades Autónomas, que asegurase el mantenimiento ininterrumpido del
servicio ?eBiblio? vigente en ese momento, así como la implementación de
aplicaciones móviles. Esta convocatoria se impulsa por el MCD, al que corresponde el
seguimiento de la prestación del servicio, como órgano gestor.
La entidad LIBRANDA es la empresa que resultó adjudicataria de la contratación
convocada por el MCD, habiéndose formalizado el correspondiente contrato por
ambas entidades en fecha 16/12/2020. En virtud de esta contratación, LIBRANDA
aporta todos los recursos necesarios para la gestión interna de la plataforma y es
responsable de su mantenimiento. Asimismo, se compromete a la no explotación de
los datos personales de los usuarios de la plataforma.
De acuerdo con lo expuesto anteriormente, y según resulta de los documentos que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/56
rigen la citada contratación, la entidad MCD interviene bajo la condición de
responsable del tratamiento de los datos recopilados por el acceso y uso de la
plataforma ?eBiblio? por parte de los usuarios y LIBRANDA lo hace como encargada
del tratamiento
Las figuras de ?responsable del tratamiento? y ?encargado del tratamiento? se definen
en el artículo 4 del RGPD como sigue:
. ?Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios
del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento
podrá establecerlos el Derecho de la Unión o de los Estados miembros?.
. ?Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable del
tratamiento?.
El artículo 24 del RGPD, referido a la ?Responsabilidad del responsable del
tratamiento?, establece lo siguiente:
?1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como
los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas
físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a
fin de garantizar y poder demostrar que el tratamiento es conforme con el presente
Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las
medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del
tratamiento, de las oportunas políticas de protección de datos??.
El Informe 0064/2020 del Gabinete Jurídico de la AEPD ha expresado con rotundidad
que ?El RGPD ha supuesto un cambio de paradigma al abordar la regulación del
derecho a la protección de datos personales, que pasa a fundamentarse en el
principio de ?accountability? o ?responsabilidad proactiva? tal y como ha señalado
reiteradamente la AEPD (Informe 17/2019, entre otros muchos) y se recoge en la
Exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD)?.
Sigue diciendo el citado informe lo siguiente:
??los criterios sobre cómo atribuir los diferentes roles siguen siendo los mismos (apartado 11),
reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades
de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría
de los supuestos deba atenderse a las circunstancias del caso concreto (case by case)
atendiendo a sus actividades reales en lugar de la designación formal de un actor como
"responsable" o "encargado" (por ejemplo, en un contrato), así como de conceptos autónomos,
cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de
datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una
evaluación fáctica también significa que el papel de un responsable del tratamiento no se
deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades
concretas en un contexto específico??.
Asimismo, el informe jurídico de la AEPD de fecha 20/11/2019, con referencia interna
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/56
0007/2019, y STS 772/2020 (por todas), analizan la figura jurídica de encargado del
tratamiento desde la perspectiva del RGPD, que regula esta figura en su artículo 28.
Los conceptos de responsable y encargado de tratamiento no son formales, sino
funcionales y deben atender al caso concreto.
El responsable del tratamiento lo es desde el momento que decide los fines y los
medios del tratamiento, no perdiendo tal condición por el hecho de dejar cierto margen
de actuación al encargado del tratamiento o por no tener acceso a las bases de datos
del encargado.
Así se expresa indubitadamente en las Directrices 07/2020 del Comité Europeo de
Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y
encargado en el RGPD:
?Un responsable del tratamiento es quien determina los propósitos y los medios del
tratamiento, es decir, el porqué y el cómo del tratamiento. El responsable del tratamiento debe
decidir sobre ambos propósitos y medios. Sin embargo, algunos aspectos más prácticos de la
implementación ("medios no esenciales") se pueden dejar en manos del encargado del
tratamiento. No es necesario que el responsable tenga realmente acceso a los datos que se
están tratando para calificarse como responsable? (la traducción es nuestra).
En el presente caso, consta que la entidad MCD es responsable de los tratamientos de
datos personales que tienen causa en el uso de la plataforma ?eBiblio?, toda vez que,
conforme define el artículo 4.7 del RGPD, es la entidad que determina la finalidad y
medios de los tratamientos realizados
El MCD no solo decidió, a iniciativa propia, la adquisición y puesta en marcha de la
plataforma de gestión del servicio ?eBiblio? y la aplicación para dispositivos móviles,
sino que, además, determina los fines y los medios de del tratamiento de forma
autónoma, es decir, al margen de las Ciudades y Comunidades Autónomas que
posteriormente se valen de este servicio de préstamos de libros electrónicos en línea
?eBiblio? para ofrecerlo a los usuarios de bibliotecas públicas en sus respectivas redes.
Determinar quién decide los medios y los fines del tratamiento de datos es crucial para
establecer quién es responsable del cumplimiento de las normas de protección de
datos personales, y en particular quién debe facilitar información a las personas
interesadas, cuáles van a ser sus derechos, quién va a ser responsable en caso de
violación de la seguridad de los datos personales, etc.
La condición de responsable del tratamiento obliga, asimismo, a cumplir con lo
dispuesto en el transcrito artículo 24 del RGPD y, en especial, lo relativo al
establecimiento de las políticas de protección de datos personales y al control efectivo
y continuado de las ?medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento es conforme con el presente Reglamento?, entre
las que se encuentran las dispuestas en el artículo 28 del RGPD en relación con los
encargados de los tratamientos que actúen en nombre y por cuenta del responsable.
Ahora bien, el MCD no solo es responsable del tratamiento en tanto que concepto
funcional, sino que lo es, además, como entidad pública que actúa en el ejercicio de
las competencias que tiene atribuidas por una norma. Hemos de destacar la peculiar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/56
situación de las Administraciones Públicas, dónde el responsable del tratamiento es
aquel órgano administrativo que tenga atribuidas las competencias por una norma
jurídica, para cuyo ejercicio sea preciso realizar tratamientos de datos de carácter
personal. Si no se ostenta la competencia para realizar una determinada actividad,
tampoco se tiene para llevar a cabo los tratamientos que de la misma se derivarían. La
competencia determinará, por tanto, la legitimación para realizar el tratamiento. Y todo
ello, partiendo de la premisa de que, frente a lo que sucede en el ámbito privado, en el
que se puede hacer todo lo que no está prohibido, las Administraciones Públicas solo
pueden acometer lo que el ordenamiento jurídico les permite, con sometimiento pleno
a la Ley y al Derecho (artículos 9.1 y 103.1 de la Constitución Española).
Si la determinación de los fines y medios por el MCD no concordase con la
competencia que tiene atribuida, estaría actuando como responsable sin serlo y los
tratamientos de datos que realizase serían ilícitos.
En este caso, el MCD es competente para la gestión e impulso de la plataforma
?eBiblio?, según se deduce de lo dispuesto en el Real Decreto 509/2020, de 5 de
mayo, por el que se aprueba la estructura orgánica básica del Ministerio de Cultura y
Deporte, que incluye entre sus funciones el fomento y mejora de las bibliotecas, la
coordinación y promoción de la cooperación bibliotecaria y la oferta de servicios
técnicos y asesoramiento en materia bibliotecaria, además de la obtención,
explotación y utilización de datos de bibliotecas; todas ellas desarrolladas a través de
la Dirección General del Libro y Fomento de la Lectura, Subdirección General de
Coordinación Bibliotecaria (artículo 3 del Real Decreto 509/2020).
Por otra parte, la existencia de un encargado del tratamiento depende de una decisión
adoptada por el responsable del tratamiento, que podrá decidir realizar por si mismo
determinadas operaciones de tratamiento o contratar la totalidad o parte del
tratamiento con un encargado.
La esencia de la función del encargado el tratamiento es que los datos personales
sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica,
es el responsable el que determina la finalidad y los medios, al menos los esenciales,
mientras que el encargado del tratamiento tiene la función de prestar servicios a los
responsables del tratamiento. En otras palabras, ?actuando en nombre y por cuenta
del responsable del tratamiento? significa que el encargado del tratamiento está al
servicio del interés del responsable del tratamiento en llevar a cabo una tarea
específica y que, por tanto, sigue las instrucciones establecidas por éste, al menos en
lo que se refiere a la finalidad y a los medios esenciales del tratamiento encomendado.
El responsable del tratamiento es quien tiene la obligación de garantizar la aplicación
de la normativa de protección de datos y la protección de los derechos de los
interesados, así como ser capaz de demostrarlo (artículos 5.2, 24, 28 y 32 del RGPD).
El control del cumplimiento de la legalidad se extiende durante todo el tratamiento,
desde el principio hasta el final. El responsable del tratamiento debe actuar, en
cualquier caso, de forma diligente, consciente, comprometida y activa.
Ese mandato del legislador es independiente de que el tratamiento lo realice
directamente el responsable del tratamiento o de que lo efectúe valiéndose de un
encargado del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/56
Además, el tratamiento ejecutado materialmente por un encargado de tratamiento por
cuenta del responsable del tratamiento pertenece a la esfera de actuación de éste
último, de igual forma que si lo realizara directamente él mismo. El encargado de
tratamiento, en el supuesto examinado, es una extension del responsable del
tratamiento.
A la luz del principio de responsabilidad proactiva (art 5.2 RGPD), el responsable del
tratamiento debe poder demostrar que ha tomado en cuenta todos los elementos
previstos en el RGPD.
El responsable del tratamiento debe tener en cuenta si el encargado del tratamiento
aporta documentación adecuada que demuestre dicho cumplimiento, políticas de
protección de la intimidad, las políticas de gestión de archivos, las políticas de
seguridad de la información, los informes de auditoría externa, las certificaciones,
gestión de los ejercicios de derechos, etc.
Asimismo, antes de externalizar un tratamiento y a fin de evitar posibles vulneraciones
de derechos y libertades de los afectados, el responsable del tratamiento debe
celebrar un contrato, otro acto jurídico o un acuerdo vinculante con la otra entidad que
establezca obligaciones claras y precisas en materia de protección de datos.
El encargado del tratamiento solo puede realizar tratamientos sobre las instrucciones
documentadas del responsable, a menos que esté obligado a hacerlo por el Derecho
de la Unión o de un Estado miembro, que no es el caso. A este respecto, el artículo 29
del RGPD se refiere al ?Tratamiento bajo la autoridad del responsable o del encargado
del tratamiento? en los términos siguientes:
?El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable
o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo
instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la
Unión o de los Estados miembros?.
El encargado del tratamiento tiene también la obligación de colaborar con el
responsable en garantizar los derechos de los interesados y cumplir las obligaciones
del responsable del tratamiento de conformidad con lo dispuesto en el citado art 28 del
RGPD (y conexos).
Por tanto, el responsable del tratamiento debe establecer modalidades claras para
dicha asistencia y dar instrucciones precisas al encargado del tratamiento sobre cómo
cumplirlas de forma adecuada y documentarlo previamente a través de un contrato o
bien en otro acuerdo (vinculante) y comprobar en todo momento del desarrollo del
contrato su cumplimiento en la forma establecida en el mismo.
Solo el encargado del tratamiento será plenamente responsable cuando sea
enteramente responsable de los perjuicios ocasionados en cuanto a los derechos y
libertades de los interesados afectados.
Al establecer la responsabilidad del encargado del tratamiento en la comisión de
infracciones al RGPD, su artículo 28.10 también atiende al criterio de la determinación
de los fines y medios del tratamiento. De acuerdo con este artículo, si el encargado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/56
determina los fines y medios del tratamiento será considerado responsable del mismo:
?10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento
infringe el presente Reglamento al determinar los fines y medios del tratamiento, será
considerado responsable del tratamiento con respecto a dicho tratamiento?.
En el presente caso, la correcta calificación jurídica con arreglo al RGPD de la entidad
LIBRANDA, a la que el MCD encargó la implementación de la plataforma ?eBiblio?, es
de encargada del tratamiento, toda vez que actúa plenamente en nombre y por cuenta
del MCD, en beneficio de este Ministerio, que es la entidad responsable del
tratamiento a todos lo efectos en materia de protección de datos.
Los argumentos expuestos se estiman suficientes para dar respuesta a las cuestiones
alegadas por la entidad MCD en su respuesta al trámite de traslado de la reclamación.
La citada entidad entiende que no es responsable del tratamiento de los datos de los
usuarios del servicio, puesto que no posee dichos datos, y señala que desde el
Ministerio no se requiere a dichos usuarios ningún dato personal y, por tanto, no
almacena en sus servidores información sujeta al RGPD.
Sin embargo, lo cierto es que es el Ministerio la entidad que impulsa y coordina la
plataforma de gestión del servicio ?eBiblio?, y la entidad que adquiere dicha plataforma
a través de procedimiento abierto, con el fin de adjudicarlo a un licitador que,
cumpliendo los requisitos de los Pliegos de Prescripción Técnica y del Pliego de
Cláusulas Administrativas Particulares fijados por el propio MCD, proporcione esa
plataforma comercial de gestión de licencias de libros electrónicos y contenidos
digitales y de préstamos online.
Es el MCD quien decide implementar el sistema de gestión informático de préstamos
de libros electrónico, que incluye, según consta en el Pliego de Prescripciones
Técnicas, ?un conjunto de aplicaciones informáticas, así como los recursos de
hardware y comunicaciones necesarias, capaces de gestionar el alojamiento y el
acceso a contenidos electrónicos, así como el préstamo temporal de los mismos?; y
?un módulo de generación de estadísticas que mida la actividad de la plataforma:
adquisiciones por comprador, tipos de acceso de lectura, préstamos por título, autor,
biblioteca, editorial, materias, reservas y descargas. Deberá contar con un usuario por
cada Comunidad Autónoma y uno global, asignado al órgano gestor, que podrá
consultar todas las estadísticas de forma global y/o por Comunidades Autónomas?.
La entidad MCD es también el órgano gestor del mismo, a través de la Subdirección
General de Coordinación Bibliotecaria; y la entidad que decide contratar la
implementación del sistema con un tercero, LIBRANDA, la cual se obliga a ?aportar
todos los recursos necesarios para cumplir los requisitos funcionales descritos?
detallados en el Pliego citado.
Por otra parte, la información que se ofrece a los usuarios en la Política de Privacidad
insertada accesible en la propia plataforma detalla los datos personales que se
recaban como consecuencia del uso de la plataforma, tanto directamente del usuario
(nombre, apellido, dirección de correo electrónico, etc.) como de forma automática
(dirección IP, sistema operativo, vistas de páginas y solicitudes, fecha y hora de
acceso, enlaces en los que hace clic, origen del usuario, geolocalización (Google
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/56
Analytics), idioma del navegador); todos ellos recabados para finalidades relacionadas
con la prestación del servicio y con finalidades estadísticas, de investigación y análisis
dispuestas por el MCD.
En definitiva, es el MCD quien determina las operaciones de tratamiento de datos
personales que se llevarán a cabo. Es lo mismo que decir que el MCD es la entidad
que determina por qué (la finalidad) y cómo (los medios) se tratan los datos personales
para alcanzar el propósito que se pretende.
En cuanto a los ?medios del tratamiento?, las Directrices 07/2020 del Comité Europeo
de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y
encargado en el RGPD, ya citadas, señalan lo siguiente:
?Por lo que respecta a la determinación de los medios, se puede hacer una distinción entre
medios esenciales y no esenciales. Los "medios esenciales" están tradicional e inherentemente
reservados al responsable del tratamiento. Mientras que los medios no esenciales también
pueden ser determinados por el encargado, los medios esenciales deben ser determinados por
el responsable del tratamiento. "Medios esenciales" son los medios que están estrechamente
relacionados con la finalidad y el alcance del tratamiento, como el tipo de datos personales que
se tratan ("¿qué datos se tratarán?"), la duración del tratamiento ("¿durante cuánto tiempo se
tratarán?"), las categorías de destinatarios ("¿quién tendrá acceso a ellos?") y las categorías
de interesados ("cuyos datos personales están siendo procesados"). Junto con la finalidad del
tratamiento, los medios esenciales también están estrechamente relacionados con la cuestión
de si el tratamiento es legal, necesario y proporcionado. Los "medios no esenciales" se refieren
a aspectos más prácticos de la aplicación, tales como la elección de un tipo particular de
software o las medidas de seguridad detalladas que pueden dejarse al encargado del
tratamiento para que decida? (la traducción es nuestra).
No queda duda alguna sobre la condición de responsable del tratamiento del MCD,
que no se ve afectada por el hecho de que convenga con otra entidad (la adjudicataria
de la contratación) la implementación del sistema según sus instrucciones.
Debe atribuirse la condición de responsable del tratamiento al MCD, incluso, en caso
de que no acceda a los datos. La norma no prevé si el responsable del tratamiento,
para serlo, accede o no a los datos sometidos a tratamiento. Y ello es así porque el
RGPD ya establece como suficiente para otorgar esa condición el hecho de que la
entidad interviniente determine los fines y medios del tratamiento, de modo que no
cabe añadir ninguna otra exigencia o condición que dicha norma no prevé y, menos
aún, considerar esa otra exigencia, el acceso o no a los datos personales, como
preponderante hasta el punto de anular lo que la norma sí establece.
La conclusión más acertada lleva a entender que la entidad que decide los fines y los
medios del tratamiento es responsable con independencia de si esa entidad accede o
no a los datos personales tratados. Esta es también la posición defendida por el
Comité Europeo de Protección de Datos en las Directrices 07/2020, sobre los
conceptos de responsable del tratamiento y encargado en el RGPD, en la que se
indica:
?42. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos
que se están procesando. Quien externalice una actividad de tratamiento y, al hacerlo, tenga
una influencia determinante en la finalidad y los medios (esenciales) del tratamiento (por
ejemplo, ajustando los parámetros de un servicio de tal manera que influya en cuyos datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/56
personales serán tratados), debe ser considerado como responsable aunque nunca tendrá
acceso real a los datos? (la traducción es nuestra).
Por otra parte, se da la circunstancia de que tampoco en este caso existe duda sobre
la condición de encargada del tratamiento que debe atribuirse a la entidad
adjudicataria, LIBRANDA, que es una entidad separada e independiente del
responsable que actúa en nombre y por cuenta del MCD, en beneficio de este
Ministerio y según sus instrucciones.
Las actuaciones no han puesto de manifiesto que LIBRANDA realice, en su propio
beneficio, tratamientos de datos personales de los usuarios de la plataforma ?eBiblio?,
que utilice los datos para usos propios, lo que, de producirse, le otorgaría la condición
de responsable del tratamiento, según lo dispuesto en el citado artículo 28.10 del
RGPD.
Como se ha indicado, todos los tratamientos de datos que se indican en la Política de
Privacidad tienen que ver con la finalidad de ?facilitar el préstamo de los documentos
incluidos en la plataforma? y con los servicios que ofrece la plataforma (como la
suscripción al boletín). Incluso los tratamientos con fines estadísticos fueron decididos
por el MCD.
Estas y no otras son las circunstancias que configuran los conceptos de responsable y
encargado del tratamiento y los criterios para el reparto de sus funciones respectivas,
que no han cambiado con la aprobación del RGPD.
Los argumentos anteriores, que ya fueron expuestos en el acuerdo de apertura del
presente procedimiento, no fueron tenidos en cuenta por MCD al formular sus
alegaciones a dicho acuerdo, en las que sigue negando su condición de responsable
del tratamiento, si bien por motivos distintos a los señalados en su respuesta al trámite
de traslado de la reclamación, que se resumen en el Antecedente Segundo.
Si en aquella respuesta argumentaba, básicamente, que la plataforma ?eBiblio? no
conlleva la realización de tratamientos de datos personales, al entender que no se
requiere al usuario ningún dato personal para utilizar el servicio, posteriormente, en
sus alegaciones a la apertura del procedimiento, alega que no es la entidad
responsable del tratamiento de los datos recopilados por el acceso y uso de la
plataforma, indicando que dicha responsabilidad es asumida por las Ciudades y
Comunidades Autónomas, que gestionan dicho servicio de forma única y exclusiva.
Sin embargo, consta acreditado que la plataforma, no solo se impulsa por el propio
Ministerio, sino que también se gestiona por esta entidad, para lo que se sirve de una
empresa externa prestadora de servicios, como es LIBRANDA.
Ya se ha dicho, y consta destacado en los Hechos Probados, que la plataforma
conlleva la recogida y utilización de datos personales. Así se reconoce en la Política
de Privacidad insertada en ?eBiblio?, sin que deba confundir el hecho de que esta
Política de Privacidad aluda a los tratamientos de datos personales que realiza
LIBRANDA, puesto que esta entidad actúa en nombre del MCD. De hecho, la
información contenida en la Política de Privacidad, señalando a LIBRANDA como
responsable de esos tratamientos, es una anomalía determinante de infracción, como
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/56
se indicará en los Fundamentos de Derecho que siguen.
Lo anterior viene a significar que si LIBRANDA, por un lado, actúa en nombre del
citado Ministerio y, por otro lado, realiza tratamientos de datos personales por razón de
la gestión de la plataforma, la conclusión es que la entidad MCD es responsable de
esos tratamientos de datos. Por este motivo, nada cambia el hecho anunciado en las
alegaciones en relación la posibilidad de que el MCD no acceda al backoffice de
?eBiblio?, si lo hace LIBRANDA en su nombre.
Por otra parte, tampoco deben confundirse los tratamientos de datos personales que
requiere la gestión de la plataforma con aquellos tratamientos realizados por las
Comunidades Autónomas para la gestión de sus respectivas redes públicas de
bibliotecas públicas.
Posteriormente, en las alegaciones a la propuesta de resolución, la entidad MCD
modifica nuevamente sus planteamientos anteriores, negando su condición de
responsable del tratamiento al considerar que establece los fines del tratamiento, pero
no los medios esenciales del mismo. Concreta la citada entidad que no establece qué
tipos de datos se tratarán, cuál será la duración del tratamiento o quién tendrá acceso
a esos datos; y defiende esta conclusión señalando que los documentos ?Condiciones
de Uso? y ?Política de Privacidad?, en la que se señalan los datos personales que se
recaban de los usuarios (medios esenciales), no han sido elaborados con su
participación.
Al plantear esta conclusión no tiene en cuenta el citado Ministerio los argumentos
señalados anteriormente para fundamentar su condición de responsable del
tratamiento, con independencia de que los citados documentos hayan sido elaborados
por la entidad LIBRANDA, que actúa siempre en nombre y por cuenta del MCD, de tal
forma que todo lo actuado por LIBRANDA debe considerarse, a todos los efectos,
como si lo realizar directamente el MCD. No puede admitirse, además, que el MCD se
sirva de una irregularidad determinante de infracción, como es el hecho de haber
permitido que una entidad tercera elabore la Política de Privacidad como si del
responsable del tratamiento se tratara, para negar que esta condición corresponde al
propio MCD, responsable, titular y órgano gestor de la plataforma eBiblio.
Este planteamiento recogido en las alegaciones a la propuesta elaboradas por el
Ministerio resulta, por otra parte, contradictorio con el reconocimiento que efectúa en el
mismo escrito de alegaciones, cuando admite que corresponde al responsable del
tratamiento la obligación de facilitar a los interesados la información en materia de
protección de datos, debiendo evitar que la Política de Privacidad sea redactada por la
empresa adjudicataria.
Debe añadirse, finalmente, que no es cierto lo indicado por el MCD en sus alegaciones
a la apertura del procedimiento, cuando alega que en las páginas web del servicio
?eBiblio? en los respectivos territorios establecen que son las Comunidades
Autónomas las responsables de los datos personales. Según ha quedado probado, en
todos los sitios web respectivos la información que se ofrece en materia de protección
de datos son los documentos ?Términos de uso? y ?Política de Privacidad? elaborados
por LIBRANDA, con los detalles sobre la responsabilidad en la recogida y utilización
de los datos personales de usuarios que constan reseñados en los Hechos Probados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/56
Por otra parte, la entidad MCD advirtió en sus alegaciones a la apertura del
procedimiento que está elaborando un documento que sirva de base para que las
Comunidades Autónomas suscriban el contrato oportuno con la empresa adjudicataria,
pero sin aclarar si lo que pretende es trasladar toda la gestión de la plataforma
?eBiblio? a las Comunidades Autónomas o establecer la corresponsabilidad en el
tratamiento de datos.
En las posteriores alegaciones, las presentadas con motivo de la propuesta de
resolución, MCD informa de algunas modificaciones que incluirá en sus próximas
contrataciones, contemplando la posibilidad de que los tratamientos de datos se lleven
a cabo bajo la responsabilidad conjunta del propio MCD y las Comunidades
Autónomas (corresponsabilidad), si bien no aporta detalles suficientes para que
puedan valorarse las mejoras que enumera.
En todo caso, no es esa la situación que analiza el presente procedimiento, el cual
debe resolverse, obviamente, con los hechos y circunstancias fácticas comprobadas.
III
El artículo 28 del RGPD, ?Encargado del tratamiento?, en su apartado 3, establece:
?3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al
Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del
responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, y las obligaciones y derechos del
responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o
una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión
o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al
responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por
razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del
tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas
técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con
su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos
de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los
artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a
disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez
finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos
que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de
los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/56
cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y
contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de
otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los
Estados miembros?.
Estas obligaciones específicas podrán ser supervisadas por las autoridades de
protección de datos, sin perjuicio de la fiscalización que pueda realizarse en relación
con el cumplimiento del Reglamento o de la LOPDGDD por parte del responsable del
tratamiento.
De acuerdo con lo establecido en el artículo 28 RGPD, el responsable y el encargado
de tratamiento de datos deben regular el tratamiento de datos en un contrato u acto
jurídico que vincule al encargado respecto al responsable; ese contrato o acto jurídico
deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, las obligaciones y derechos del
responsable, etc.
Y es el responsable del tratamiento, en este caso el MCD, quien viene obligado al
establecimiento de las ?medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el presente
Reglamento?, entre ellas las dispuestas en el artículo 28 del RGPD en relación con los
encargados de los tratamientos (artículo 24 del RGPD).
En este caso, no consta que el MCD haya dispuesto la formalización de un contrato de
encargo del tratamiento o acto jurídico que regule el acceso a los datos personales de
los usuarios de ?eBiblio? por parte de LIBRANDA, que contenga todas las
estipulaciones exigidas en el citado artículo 28.3 del RGPD, lo cual hubiese contribuido
a la correcta definición de los roles bajo los que intervienen las entidades citadas.
Ambas entidades suscribieron un contrato para formalizar la adjudicación de la
contratación convocada, pero ni este contrato ni los documentos o Pliegos que rigen la
contratación contienen las estipulaciones señaladas, más allá de una referencia
genérica a la obligación de la adjudicataria LIBRANDA de someterse a la normativa
nacional y de la Unión Europea en materia de protección de datos personales, y una
mera mención a las obligaciones de no utilizar para sí ni proporcionar a terceros los
datos personales, de confidencialidad y en materia de seguridad, así como la finalidad
del tratamiento.
Este incumplimiento supone la comisión de una infracción tipificada en el apartado 4.a)
del artículo 83 del RGPD, que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone lo siguiente:
?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una
empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/56
43;?.
A este respecto, la LOPDGDD establece en su artículo 71 que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran
graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial
de los artículos mencionados en aquel y, en particular, las siguientes:
(?)
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u
otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE)
2016/679.
(?)?.
En este caso, el MCD ha vulnerado el artículo 28.3 del RGPD, motivado por la
ausencia de contrato de encargo del tratamiento con la entidad LIBRANDA.
IV
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción?.
De acuerdo con dichas definiciones, la recogida de datos de carácter personal a través
de la plataforma ?eBiblio? constituye un tratamiento de datos, respecto del cual el
responsable del tratamiento, en este caso la entidad MCD, ha de dar cumplimiento al
principio de transparencia, establecido en el artículo 5.1 del RGPD, según el cual los
datos personales serán ?tratados de manera lícita, leal y transparente en relación con
el interesado (licitud, lealtad y transparencia)?; y desarrollado en el Capítulo III,
Sección 1ª, del mismo Reglamento (artículos 12 y siguientes).
El artículo 12.1 del RGPD establece la obligación del responsable del tratamiento de
tomar las medidas oportunas para ?facilitar al interesado toda información indicada en
los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a
22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil
acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida a
un niño?.
Cuando los datos personales se recaben directamente del interesado, la información
deberá facilitarse en el momento mismo en que tiene lugar esa recogida de datos. El
artículo 13 del RGPD detalla esa información en los términos siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/56
?1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del
tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada
a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del
tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del
responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de la
Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49,
apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios
para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento
facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente
información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los
criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación de su
tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento,
sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito
necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos
personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el
artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica
aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales
para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con
anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información
adicional pertinente a tenor del apartado 2.
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en
que el interesado ya disponga de la información?.
De acuerdo con estas normas, el deber de informar corresponde al responsable del
tratamiento de los datos personales.
En este caso, la entidad MCD no ha cumplido esta obligación de informar a los
usuarios de la plataforma ?eBiblio?, al haber permitido que la única información en
materia de protección de datos personales se facilite por la entidad encargada del
tratamiento, LIBRANDA.
La información se facilita mediante los documentos ?Condiciones de uso? y ?Política de
Privacidad?, disponibles en la plataforma, que han sido elaborados como propios por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/56
LIBRANDA, como si fuese la titular del sitio web, y no por el Ministerio responsable.
Son múltiples las informaciones contenidas en aquellos documentos que dan cuenta
de esta circunstancia.
Así puede verse en el documento ?Condiciones de uso? cuando se indica al usuario
que ?Al usar este servicio, usted acepta celebrar un contrato que lo compromete con
su biblioteca y con Distribuidora? (Libranda)? o que ?reconoce que Libranda/De
Marque Inc. es el propietario de: (a) el Servicio eBiblio? (b) cualquier herramienta,
hardware informático y software utilizado para ofrecer el Servicio?; o cuando se hace
referencia a ?los Servicios eBiblios ofrecidos por Libranda/De Marque?. También
LIBRANDA facilita sus datos de contacto en la Política de Privacidad para el ejercicio
de derechos, a pesar de que no existe ninguna estipulación al respecto en el contrato
formalizado por dicha entidad y el MCD.
Este solo hecho, que no es controvertido y ha sido reconocido por la propia entidad
LIBRANDA, supone un incumplimiento de lo establecido en los preceptos antes
citados por parte de la entidad MCD, que justifica la declaración de la infracción
correspondiente.
Además, aquellos documentos contienen varias deficiencias, en relación con el
contenido mínimo de la información que debe facilitarse a los interesados según el
artículo 13 del RGPD.
a) La información sobre la identidad del responsable, sobre la que ya se ha tratado en
los Fundamentos de Derecho anteriores, es deficiente y confusa; y no se facilitan sus
datos de contacto (se indican los de la entidad encargada del tratamiento y no los del
MCD).
En la versión de Política de Privacidad aportada por la parte reclamante se identifica
como ?co-controladores? al Ministerio, las Ciudades y Comunidades Autónomas,
?Libranda/De Marquee Inc.? y las bibliotecas, pero sin definir el alcance de esa
supuesta corresponsabilidad y sin especificar suficientemente los roles bajo los que
intervienen todas estas entidades.
En la nueva versión de esta Política de junio de 2021, aportada a las actuaciones por
LIBRANDA, no se corrige esta deficiencia. En esta nueva versión, la información sobre
la entidad responsable se resuelve con una mención genérica a la ?Administración
Pública? para añadir posteriormente que ?La administración local de su biblioteca? es
la responsable del tratamiento de sus datos personales?. Por otra parte, aunque se
especifica la condición de LIBRANDA como encargada del tratamiento, también se
informa que ?Esta política de privacidad sintetiza (1) los tipos de información personal
recogida por Libranda, (2) las razones por las que Libranda recopila información
personal, (3) la forma en que Libranda utiliza y protege la información personal, y (4)
las circunstancias en las que la información personal se comparte con los socios de
Libranda y terceros, cuando las leyes aplicables lo requieren o permiten?.
b) No se facilitan los datos de contacto del delegado de protección de datos.
c) La base jurídica del tratamiento no es clara.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/56
En el documento ?Condiciones de uso? se alude la celebración de un contrato que
compromete al usuario con su biblioteca y con LIBRANDA; mientras que en la Política
de Privacidad aportada por la parte reclamante se indica al usuario que ?Al utilizar la
Plataforma eBiblio, así como todos los demás servicios disponibles en dicha
Plataforma eBiblio, usted acepta y consiente que su información, incluida la
información personal, se maneje de la manera descrita en esta Política de privacidad?.
Por otra parte, la nueva versión de la Política de Privacidad informa sobre el
consentimiento como base jurídica de los tratamientos de datos (?La base legal que
permite el tratamiento de sus datos por parte de Libranda es el consentimiento?).
d) En el apartado ?Almacenaje y Seguridad? de la Política de Privacidad aportada por
la parte reclamante se informa que los datos personales se almacenan en servidores
?generalmente? ubicados en Europa, si bien se advierte que ?los datos recopilados o
compartidos con terceros, incluidos, entre otros, Google Analytics y, en algunos casos,
su biblioteca, pueden almacenarse en servidores ubicados fuera de Europa,
especialmente en los Estados Unidos o Canadá?.
Los datos que podrían almacenarse en servidores fuera de Europa son aquellos
recopilados automáticamente mediante el uso de cookies de Google Analytics:
?recopila varios tipos de información con respecto a su navegación en la Plataforma
(por ejemplo, las páginas que navega, la fecha y la hora en que accede a dichas
páginas, los enlaces en los que hace clic). Google Analytics también recopila, entre
otra información, el tipo de sistema operativo en su dispositivo, el idioma configurado
para su navegador, el nombre de su proveedor de servicios de Internet o su ubicación
geográfica. Los datos recopilados, junto con su dirección IP anónima, son
almacenados por Google en servidores ubicados en Canadá, pero en ciertos casos
pueden transferirse a los Estados Unidos. Google utiliza dicha información con el
único propósito de generar estadísticas e informes sobre la navegación en la
Plataforma eBiblio. Dichos elementos nos permiten mejorar la Plataforma eBiblio al
comprender mejor el comportamiento de los Usuarios?.
Según el Apartado ?Compartir y transferir información personal?, la transferencia
internacional de información se basa en el consentimiento: ?Consentimiento para la
transferencia internacional de información. Al marcar el botón "Acepto", usted acepta
la recopilación, transferencia, almacenamiento, uso y control de su información
recopilada por la Plataforma eBiblio, de acuerdo con las condiciones y para los fines
descritos en esta sección de la política de privacidad?.
Sin embargo, no se informa adecuadamente sobre la existencia o ausencia de una
decisión de adecuación de la Comisión, o sobre las garantías adecuadas o apropiadas
y los medios para obtener una copia de estas o al hecho de que se hayan prestado, ni
sobre los posibles riesgos para el interesado.
Esta cuestión ha sido rectificada en la Política de Privacidad vigente, en la que se
señala lo siguiente:
?La información obtenida a través de las cookies
Al utilizar la Plataforma, se puede recopilar cierta información (como las interacciones con la
Plataforma o cualquier otra información descrita a continuación) a través de cookies de sesión
propias y las cookies de Google Analytics. Le informamos asimismo que la transferencia
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/56
internacional de datos a Google se ampara en la formalización de las cláusulas contractuales
tipo aprobadas por la Comisión Europea. Para más información, consulte nuestra Política de
Cookies?.
e) Sobre la conservación de los datos, se establecía un período de seis años sin
justificar las razones de este plazo, aunque esto se ha modificado en la actualidad
estableciéndose que la información personal podrá retenerse cuando sea necesario
para cumplir las leyes aplicables o para evitar cualquier infracción; para resolver
disputas; y para hacer cumplir esta política de privacidad. Se añade que se eliminará
la información cuando no sea necesaria.
f) La información sobre los derechos del interesado es deficiente. Únicamente se
menciona la posibilidad de solicitar el acceso o la supresión de los datos personales,
añadiéndose el derecho de rectificación en la Política de Privacidad actualizada en
junio de 2021; y ante el encargado del tratamiento.
g) La posibilidad de formular una reclamación ante la AEPD no se indicaba en la
Política de Privacidad aportada por la parte reclamante.
Interesa destacar que MCD, en su escrito de alegaciones a la apertura del
procedimiento, no ha formulado consideración alguna sobre los puntos anteriores,
salvo la cuestión relativa a la entidad responsable del tratamiento, ya analizada en los
Fundamentos de Derecho precedentes.
Se constata, por tanto, un incumplimiento de lo establecido en el artículo 13 del RGPD,
que supone la comisión de una infracción tipificada en el artículo 83.5.b) del mismo
Reglamento, que bajo la rúbrica ?Condiciones generales para la imposición de multas
administrativas? dispone lo siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado
2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa,
de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del
ejercicio financiero anterior, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22;(?)?.
A efectos del plazo de prescripción, el artículo 74 de la LOPDGDD indica:
?Artículo 74. Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente
formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de
información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del
Reglamento (UE) 2016/679?.
V
El artículo 83 ?Condiciones generales para la imposición de multas administrativas? del
RGPD en su apartado 7 establece:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/56
?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58,
apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué
medida, imponer multas administrativas a autoridades y organismos públicos establecidos en
dicho Estado miembro?.
Asimismo, el artículo 77 ?Régimen aplicable a determinadas categorías de
responsables o encargados del tratamiento? de la LOPDGDD dispone lo siguiente:
?1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que
sean responsables o encargados:
c) La Administración General del Estado, las Administraciones de las comunidades autónomas
y las entidades que integran la Administración Local.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de
las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de
protección de datos que resulte competente dictará resolución sancionando a las mismas con
apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que
cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos
propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la
existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido
debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una
amonestación con denominación del cargo responsable y se ordenará la publicación en el
Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan
en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las
comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de
este artículo.
(?)?.
En el supuesto que nos ocupa, se constata que la entidad responsable, esto es, el
MCD, no ha formalizado con la entidad prestadora de servicios un contrato de encargo
del tratamiento u otro acto jurídico que regule el acceso a los datos personales por
parte de esta última entidad, así como por el incumplimiento del principio de
transparencia por parte del citado Ministerio, vulnerando lo dispuesto en los artículos
28.3 y 13 del RGPD.
De conformidad con lo establecido en el artículo 77 de la LOPDGDD, se propone
sancionar dicha conducta con una sanción de apercibimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/56
Asimismo, cuando los responsables o encargados enumerados en el apartado 1 del
citado artículo 77 de la LOPDGDD cometiesen alguna de las infracciones a las que se
refieren los artículos 72 a 74 de esta Ley Orgánica, se contempla que la resolución
que se dicte pueda requerir a la entidad de que se trate el establecimiento de las
medidas que proceda adoptar para que cese la conducta infractora, se corrijan los
efectos de la infracción que se hubiese cometido y adecue su actuación a las
exigencias contempladas en los artículos 28 y 13 del RGPD, con el alcance expresado
en los anteriores Fundamentos de Derecho; así como la aportación a esta Agencia de
los medios acreditativos del cumplimiento de lo requerido.
En concreto, por parte de MCD deberá formalizarse, conforme a lo establecido en el
artículo 28.3 del RGPD, la relación que vincula a dicho Ministerio con LIBRANDA en la
implementación y mantenimiento del servicio ?eBiblio?; y establecer una nueva Política
de Privacidad, a disposición de todos los usuarios de la citada plataforma, que dé
respuesta a las objeciones puestas de manifiesto en el presente procedimiento.
Al elaborar esa nueva Política de Privacidad deberá prestarse especial atención a las
cuestiones siguientes:
a) La correcta identificación de la entidad responsable de los tratamientos de datos
personales que conlleva la utilización del servicio.
Para el caso de que, en un futuro, se resuelva que existan tratamientos de datos
personales conjuntos con otras entidades (Ciudades y Comunidades Autónomas o
responsables de redes de bibliotecas públicas), deberá atenderse a lo establecido en
el artículo 26 ?Corresponsables del tratamiento? del RGPD.
b) El detalle de los distintos tratamientos de datos que se realizan, las bases jurídicas
respectivas que los legitiman y sus finalidades.
Para el caso de que el tratamiento de datos personales de que se trate se ampare en
el consentimiento del usuario, debe tenerse en cuenta que este consentimiento se
entiende como un acto afirmativo claro que refleje una manifestación de voluntad libre,
específica, informada e inequívoca del interesado de aceptar el tratamiento de datos
de carácter personal que le conciernan, prestada con garantías suficientes para
acreditar que el interesado es consciente del hecho de que da su consentimiento y de
la medida en que lo hace. Y debe darse para todas las actividades de tratamiento
realizadas con el mismo o mismos fines, de modo que, cuando el tratamiento tenga
varios fines, debe darse el consentimiento para todos ellos de manera específica e
inequívoca, sin que pueda supeditarse la prestación del servicio a que el afectado
consienta el tratamiento de sus datos personales para finalidades que no guarden
relación con el desarrollo o control de dicho servicio. A este respecto, interesa
destacar que la licitud del tratamiento exige que el interesado sea informado sobre los
fines a que están destinados los datos (consentimiento informado).
c) La información en materia de protección de datos personales insertada en la web
?eBiblio?, en todos sus ámbitos territoriales, informa a los interesados sobre la
posibilidad de realizar transferencias internacionales de datos (?La información que
recopilamos se almacena en servidores? generalmente ubicados en Europa??; ??en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/56
algunos casos? pueden almacenarse en servidores ubicados fuera de Europa,
especialmente en los Estados Unidos o Canadá?), sobre la base del consentimiento
del interesado (?Consentimiento para la transferencia internacional de información??),
aunque en relación con Google Analytics también se indica en otro apartado que ?Al
proporcionarnos voluntariamente su información personal, usted acepta su
recopilación, uso y divulgación??.
Según la información que ha sido objeto de análisis en las presentes actuaciones, los
datos que podrían almacenarse en servidores fuera de Europa son aquellos
recopilados automáticamente mediante el uso de cookies de Google Analytics.
En cambio, en la versión de la Política de Privacidad fechada en junio de 2021 se
indica que ??se puede recopilar cierta información? a través de? las cookies de
Google Analytics? y que ?la transferencia internacional de datos a Google se ampara
en la formalización de las cláusulas contractuales tipo aprobadas por la Comisión
Europea?.
En relación con esta cuestión, deberá informarse claramente si se realizan o no
transferencias internacionales de datos personales y, en caso afirmativo, deberán
facilitarse a los usuarios de ?eBiblio? todos los detalles establecidos en el apartado f)
del artículo 13.1 del RGPD (?f) en su caso, la intención del responsable de transferir
datos personales a un tercer país u organización internacional y la existencia o
ausencia de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo
segundo, referencia a las garantías adecuadas o apropiadas y a los medios para
obtener una copia de estas o al hecho de que se hayan prestado?).
Esta información obligatoria está relacionada con el sistema de protección establecido
para las transferencias internacionales en los artículos 44 y siguientes del RGPD.
Dicho artículo 44 establece un principio general, según el cual los datos únicamente
podrán ser exportados si, por un lado, el tratamiento objeto de la transferencia es lícito
y cumple con lo dispuesto en el RGPD y, por otro, si cumple con las condiciones que
se establecen en el Capítulo V del mismo texto legal (artículos 44 a 50).
El artículo 45 del RGPD establece, como regla principal, que se podrá realizar una
transferencia de datos personales si el país, territorio u organización internacional
destinataria garantiza un nivel de protección adecuado reconocido por una decisión de
adecuación dictada por la Comisión Europea.
En ausencia de dicha decisión de adecuación, el artículo 46 del RGPD autoriza a
celebrar transferencias si el responsable o el encargado hubiera ofrecido garantías
adecuadas, materializadas a través de los instrumentos a que se refiere el mismo
artículo.
Entre las garantías que pueden ofrecer los responsables del tratamiento de acuerdo
con lo dispuesto en el este artículo 46 del RGPD figuran la suscripción de las cláusulas
contractuales tipo aprobadas por la Comisión Europea. Sin embargo, debe tenerse en
cuenta que el TJUE ha declarado que existen situaciones en las que estas cláusulas
no constituyen un medio suficiente para garantizar la protección efectiva de los datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/56
personales transferidos a un tercer país y pueden exigir la adopción de medidas
complementarias.
El siguiente escenario que contempla el RGPD, en ausencia de decisión de
adecuación y de garantías adecuadas, es permitir la realización de las transferencias
si se cumple alguna de las condiciones que enuncia el artículo 49.1. del RGPD.
Si no concurriera ninguna de las circunstancias previstas en los artículos que
preceden, la realización de transferencias internacionales de datos personales no
tendría cobertura, y en tal caso el MCD deberá plantearse suspender la utilización de
cookies de Google Analytics.
Se advierte, por último, que no atender los requerimientos de este organismo puede
ser considerado como una infracción administrativa conforme a lo dispuesto en el
RGPD, tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal
conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad MINISTERIO DE CULTURA Y DEPORTE, con NIF
S2800239B, por la infracción de los artículos 28.3 y 13 del RGPD, tipificadas en los
artículos 83.4.a) y 83.5.b) del mismo Reglamento, y calificadas como grave y leve en
los artículos 73.k) y 74.a) de la LOPDGDD, respectivamente, una sanción de
apercibimiento.
SEGUNDO: REQUERIR a la entidad MINISTERIO DE CULTURA Y DEPORTE para
que, en el plazo de seis meses, contado desde la notificación de la presente
resolución, adecúe su actuación a la normativa de protección de datos personales, con
el alcance expresado en el Fundamento de Derecho V, y justifique ante esta Agencia
Española de Protección de Datos la atención del presente requerimiento. En el texto
de la resolución se establecen cuáles han sido las infracciones cometidas y los hechos
que han dado lugar a la vulneración de la normativa de protección de datos, de lo que
se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de
procedimientos, mecanismos o instrumentos concretos para implementarlas
corresponda a la parte sancionada, pues es el responsable del tratamiento quien
conoce plenamente su organización y ha de decidir, en base a la responsabilidad
proactiva y el enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD.
TERCERO: NOTIFICAR la presente resolución a MINISTERIO DE CULTURA Y
DEPORTE.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de
conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/56
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-181022
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/56
ANEXO 1
PLIEGO DE PRESCRIPCIONES TÉCNICAS
(?).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/56
ANEXO 2
?PLATAFORMA EBIBLIO. CONDICIONES DE USO?
??Al usar el Servicio, usted acepta celebrar un contrato que lo compromete con su biblioteca, y
con DISTRIBUIDORA DIGITAL DE LIBROS, S.A.U., ("Libranda") (cada uno individualmente un
"Gerente" o colectivamente los "Gerentes"), bajo las condiciones establecidas en estos
Términos, que usted reconoce haber leído y entendido y que le vinculan legal y
contractualmente como usuario?
Si no está de acuerdo con estos Términos, no se registre ni use el Servicio?
Para acceder al Servicio, debe tener una cuenta en regla con una de las bibliotecas
participantes o cree una cuenta directamente en el Servicio, en los casos en que esta opción
esté disponible?
Los gerentes se preocupan por la protección de su información personal y el respeto de su
privacidad. La información sobre el tipo de información recopilada durante su uso del Servicio
eBiblio, los motivos por los que se recopila dicha información y el uso que se hace de ella está
disponible en el siguiente enlace: "Política de privacidad", que usted es responsable de revisar
y reconocer haber leído y entendido su aceptación de estos Términos?
Tu contenido
Los Administradores pueden permitir, a su exclusivo criterio, la descarga y publicación de
comentarios y observaciones, a través de un club de lectura o de otro tipo, así como imágenes,
texto u otro contenido enviado por usted a través del Servicio eBiblio, incluido su historial de
lectura (colectivamente, "Tu contenido"). Al enviar su contenido, otorga a los Gerentes una
licencia irrevocable, perpetua, no exclusiva, transferible y gratuita para copiar, modificar,
mostrar o usar su contenido.
Usted declara y garantiza a Libranda/De Marque que: (a) usted es el propietario de Su
contenido o tiene el permiso por escrito del propietario de los derechos de autor para poner a
disposición Su contenido en o a través del Servicio eBiblio; (b) Su contenido es exacto y
correcto; (c) usted tiene derecho a otorgar la licencia mencionada anteriormente a los
Gerentes; y (d) la reproducción, exhibición, distribución, uso y otra explotación de Su contenido
por parte de los Gerentes y sus proveedores de servicios eBiblios, miembros, usuarios y
licenciatarios, según lo permitido por la licencia mencionada anteriormente, no infringirá los
derechos de terceros y no infringirá ninguna ley, en particular las leyes de derechos de autor y
de protección de la propiedad intelectual?
Contenido de Libranda/De Marque o de terceros
Se le informa y reconoce que Libranda/De Marque Inc. es el propietario de: (a) el Servicio
eBiblio, incluido cualquier texto, imagen, sonido, video, modelo, plan, mapa, imagen, icono,
software, diseño, aplicaciones, datos, presentaciones gráficas, marcas registradas, logotipos y
lemas creados o utilizados por Libranda/De Marque y sobre el cual posee los derechos de
propiedad intelectual; (b) cualquier herramienta, hardware informático y software utilizado para
ofrecer el Servicio; y (c) diseño gráfico, interfaz de usuario y la apariencia del Servicio eBiblio.
Algunos textos, fotos, sonidos, videos, modelos, planos, mapas, imágenes, iconos, software,
diseños, aplicaciones, datos, presentaciones gráficas, marcas registradas, logotipos y lemas
pueden ser propiedad de terceros. En todos los casos, no debe usarlos, reproducirlos o
guardarlos sin el consentimiento previo por escrito de Libranda/De Marque o de dichos
terceros?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/56
Enlaces del Servicio
El Servicio eBiblio puede permitirle conectarse o iniciar sesión para usar las funciones
ofrecidas por aplicaciones, servicios o sitios web operados por terceros y que no son propiedad
ni están controlados por un Administrador (colectivamente, las "Aplicaciones de terceros").
Proporcionamos estos enlaces solo para su conveniencia, y usted accede a ellos bajo su
propio riesgo. Es posible que también deba respetar algunas disposiciones y términos de uso
adicionales aplicables cuando utilice o compre, según sea el caso, ciertos productos o servicio
eBiblio relacionados con el Servicio eBiblio o con aplicaciones de terceros?
Contacto
Todas las cuestiones sobre el Servicio eBiblio o los Servicios eBiblios ofrecidos por
Libranda/De Marque o los gerentes pueden dirigirse a: (dirección de correo electrónico y
dirección postal de Libranda).
Última actualización: 15 de enero de 2019?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/56
ANEXO 3
?PLATAFORMA EBIBLIO. POLÍTICA DE PRIVACIDAD?
Introducción
Bienvenido a la plataforma de lectura y préstamo de libros electrónicos (individualmente, la
"Plataforma eBiblio" o la "Aplicación eBiblio", según sea el caso, y colectivamente el "Servicio
eBiblio"), desarrollado y operado conjuntamente por Libranda/De Marque Inc. y el Ministerio de
Cultura y Deporte junto con las comunidades y ciudades autónomas de España, su biblioteca
pública (cada individualmente un "Gerente" o colectivamente los "Gerentes"), todos los
Gerentes son co-controladores de sus datos personales.
Distribuidora Digital de Libros ("Libranda") es una empresa debidamente constituida de
conformidad con las leyes españolas con sede en?
Su biblioteca es una persona jurídica cuyo estado y sede dependen del sitio web o la ubicación
donde creó y registró su cuenta, si corresponde?
En esta Política de privacidad, describimos cómo recopilamos, usamos y divulgamos la
información que obtenemos sobre los usuarios de la Plataforma eBiblio. También encontrará,
en esta política de privacidad, los diferentes medios por los cuales puede contactarnos para,
por ejemplo, obtener más información sobre la protección de su información personal, para
solicitar que eliminemos, modifiquemos y/o corrijamos su información personal.
Al utilizar la Plataforma eBiblio, así como todos los demás servicios disponibles en dicha
Plataforma eBiblio, usted acepta y consiente que su información, incluida la información
personal, se maneje de la manera descrita en esta Política de privacidad. Su uso de la
Plataforma eBiblio y cualquier disputa sobre la privacidad están sujetos a esta Política de
privacidad.
Recolección de Información Personal
Información que nos proporciona directamente
¿Qué información se recopila?
Recopilamos la siguiente información personal, que nos proporciona directamente y de
forma voluntaria, por ejemplo, iniciando sesión en la Plataforma eBiblio utilizando su
cuenta de la biblioteca o creando una cuenta directamente en la Plataforma eBiblio:
Nombre
Apellido
Dirección de correo electrónico
Número de identificación específico de su biblioteca
También recopilamos cierta información, como su historial de navegación. Finalmente,
podemos recopilar sus datos de ubicación cuando publica contenido en la Plataforma
eBiblio, si la opción de acceder a sus datos de ubicación está activada en su dispositivo
móvil.
¿Cómo se recopila esta información?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/56
Formulario de suscripción a la Plataforma eBiblio
Formulario de acceso
Cuando complete su perfil de usuario
Cuando publica un comentario a través de su perfil de usuario
Cuando revisas un libro a través de tu perfil de usuario
Suscripción a nuestro boletín
¿Por qué se recopila dicha información y cómo se utiliza?
Utilizamos la información que recopilamos para los siguientes propósitos:
Para permitirle usar la Plataforma eBiblio, así como los Servicios eBiblio disponibles en
ella, mediante la creación de una cuenta y un perfil de Usuario;
Para comunicarse con usted si se ha suscrito al boletín;
Para comunicarse con usted cuando utiliza los Servicios eBiblio de la Plataforma eBiblio
(por ejemplo, para proporcionarle un enlace de descarga para un libro electrónico que ha
prestado o en el que ha retenido, para enviarle una confirmación de retención, etc.);
Estadística, investigación y análisis.
Para proporcionarle soporte técnico, según sea necesario;
Para informarle sobre cualquier cambio en nuestros términos de uso y en esta política de
privacidad, y/o para otros fines administrativos;
Para garantizar la protección de los derechos e intereses y hacer cumplir esta política de
privacidad y nuestros términos de uso;
Para garantizar que los menores no tomen prestados libros destinados solo a adultos;
Para cumplir con las obligaciones legales o regulatorias
Recopilamos y usamos solo la información que se requiere y es necesaria para
permitirnos cumplir con los propósitos mencionados anteriormente.
Además de lo anterior, también utilizamos, como se describe en la sección siguiente,
cookies para recopilar automáticamente información sobre usted.
Información que recopilamos automáticamente
¿Qué información se recopila?
Dirección IP
Sistema operativo
Vistas de páginas y solicitudes
Fecha y hora de acceso
Enlaces en los que hace clic
Origen del usuario
Geolocalización (Google Analytics)
El idioma de tu navegador
¿Cómo y por qué se recopila esta información?
Recopilamos dicha información mediante el uso de cookies. Las cookies son
identificadores alfanuméricos que se registran en el disco duro de la computadora del
Usuario o en cualquier otro dispositivo móvil utilizado por el Usuario para acceder a la
Plataforma eBiblio. Dichos archivos permiten el intercambio de información de estado
entre la Plataforma eBiblio y el navegador del Usuario.
Utilizamos las siguientes cookies:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/56
Cookies de sesión: Dichas cookies son esenciales para el correcto funcionamiento de la
Plataforma eBiblio. Estas cookies no recopilan información para propósitos comerciales o
con fines de orientación publicitaria. Las cookies de sesión son identificadores cifrados y
no reconocibles que son esenciales para el correcto funcionamiento de algunas funciones
(por ejemplo, permiten un proceso de inicio de sesión más rápido y evita tener que volver
a iniciar sesión en cada página que navega). Estas cookies no recopilan información para
ser utilizada para la prospección comercial o la orientación publicitaria. Las cookies de
sesión son identificadores cifrados que no son reconocibles pero que son esenciales para
que, entre otras cosas, no tenga que iniciar sesión nuevamente en cada página que
navega.
Cookies de Google Analytics: Google Analytics recopila varios tipos de información con
respecto a su navegación en la Plataforma (por ejemplo, las páginas que navega, la fecha
y la hora en que accede a dichas páginas, los enlaces en los que hace clic). Google
Analytics también recopila, entre otra información, el tipo de sistema operativo en su
dispositivo, el idioma configurado para su navegador, el nombre de su proveedor de
servicios de Internet o su ubicación geográfica. Los datos recopilados, junto con su
dirección IP anónima, son almacenados por Google en servidores ubicados en Canadá,
pero en ciertos casos pueden transferirse a los Estados Unidos. Google utiliza dicha
información con el único propósito de generar estadísticas e informes sobre la navegación
en la Plataforma eBiblio. Dichos elementos nos permiten mejorar la Plataforma eBiblio al
comprender mejor el comportamiento de los Usuarios.
Recopilamos y usamos solo la información que se requiere y es necesaria para
permitirnos cumplir con los propósitos mencionados anteriormente. Puede eliminar todas
las cookies que están instaladas en su computadora o dispositivo móvil en cualquier
momento. También puede deshabilitar las cookies seleccionando la opción adecuada en
la configuración de su navegador. La desactivación de las cookies puede provocar el mal
funcionamiento de la Plataforma eBiblio y algunas de las funciones o páginas pueden ser
difíciles, si no imposibles, de acceder.
Compartir y transferir información personal
Consentimiento para la transferencia internacional de información
Al marcar el botón "Acepto", usted acepta la recopilación, transferencia, almacenamiento, uso y
control de su información recopilada por la Plataforma eBiblio, de acuerdo con las condiciones
y para los fines descritos en esta sección de la política de privacidad.
¿Con quién compartimos su información personal?
Nos comprometemos a no comercializar la información personal que recopilamos. Si tenemos
la intención de hacerlo, le pediremos su consentimiento expreso antes de dicha divulgación.
Sin embargo, compartimos dicha información con terceros en los siguientes casos:
Con su biblioteca para ofrecerle servicios de préstamo de libros electrónicos;
Con Google, como se describió anteriormente;
En caso de un cambio en el control de la empresa;
Para cumplir con las obligaciones legales o regulatorias aplicables, incluso como parte de un
procedimiento judicial; para responder a una citación, orden judicial, orden judicial u otro
proceso legal; o como parte de una investigación o solicitud de la policía o una autoridad
gubernamental, canadiense u otra.
Si no desea que su información personal se comparta con terceros, puede rechazarla en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/56
momento de la recopilación o en cualquier momento posterior, como se menciona en la
siguiente sección. Tenga en cuenta que dicho rechazo puede hacer que no podamos brindarle
ciertos Servicios eBiblios.
Derecho de veto y expulsión (exclusión)
Nos comprometemos a ofrecerle un derecho de veto y de eliminación con respecto a su
información personal.
El derecho de veto es la posibilidad ofrecida a los Usuarios de rechazar, en el momento de la
recopilación, que su información personal sea utilizada para ciertos fines mencionados en este
documento El derecho de eliminación se refiere a la opción ofrecida a los Usuarios de elegir
que su información personal ya no se almacene o use para ciertos fines (por ejemplo, una lista
de correo)
Para ejercer estos derechos, contáctenos:
Dirección: (?)
Dirección de correo electrónico: (?)
Teléfono: (?)
Derecho de acceso
Nos comprometemos a reconocer un derecho de acceso y modificación para aquellos que
deseen consultar o modificar información sobre ellos.
Para ejercer estos derechos, contáctenos:
Dirección: (?)
Dirección de correo electrónico: (?)
Teléfono: (?)
Almacenaje y Seguridad
La información personal que recopilamos se almacena en servidores seguros con acceso
restringido, generalmente ubicados en Europa, de un proveedor de Servicios eBiblios externo.
Sin embargo, tenga en cuenta que los datos recopilados o compartidos con terceros, incluidos,
entre otros, Google Analytics y, en algunos casos, su biblioteca, pueden almacenarse en
servidores ubicados fuera de Europa, especialmente en los Estados Unidos o Canadá.
Tomamos todos los medios razonables para garantizar que cualquier proveedor de Servicios
eBiblios externo ofrezca un entorno seguro y apropiado para proteger su información personal,
así como medidas de seguridad similares a las exigidas por las leyes españolas. Sin embargo,
tenga en cuenta que las leyes aplicables fuera de España pueden autorizar a un gobierno, un
tribunal de justicia o una entidad pública a exigir la divulgación de su información personal. Los
Gerentes no serán responsables de ninguna manera con respecto a dicha divulgación y no
cuestionarán dicha solicitud de revelar su información personal si así lo exige una ley local. Al
proporcionarnos voluntariamente su información personal, usted acepta su recopilación, uso y
divulgación de acuerdo con lo anterior.
No obstante, lo anterior, la seguridad de su información personal es una de nuestras
prioridades y estamos comprometidos a tomar todas las medidas razonables para evitar la
divulgación, uso, alteración o destrucción de su información personal. Libranda/De Marque
limita el número de empleados que tienen acceso a dicha información a los gerentes de
productos, expertos en productos y desarrolladores. Los empleados con acceso a dicha
información tienen el deber de absoluta confidencialidad.
Para garantizar la seguridad de su información personal, utilizamos las siguientes medidas:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/56
Capa de sockets seguros (SSL)
Copia de seguridad de la computadora
Cortafuegos
Correos electrónicos cifrados
Estamos comprometidos a mantener un alto grado de confidencialidad mediante el uso de las
últimas innovaciones tecnológicas que nos permiten garantizar la confidencialidad de sus
transacciones. Sin embargo, a pesar de nuestros mejores esfuerzos, ninguna medida de
seguridad de datos puede garantizar completamente la seguridad, y siempre se asocia cierto
grado de riesgo con el suministro de información personal en Internet.
Duración de la retención de la información personal recopilada
Conservamos su nombre, apellido y dirección de correo electrónico durante todo el período
durante el cual la cuenta que creó con su biblioteca o, si es el caso, la cuenta que creó
directamente en la Plataforma eBiblio permanece activa, y durante un período de seis años
después de la terminación de dicha cuenta o por cualquier otro período de tiempo requerido
por cualquier ley aplicable, con el único propósito de cumplir con dicha ley aplicable.
Su historial de préstamos se guarda en la Plataforma eBiblio durante un cierto período de
tiempo determinado por su biblioteca, después de ese período, su historial de préstamos se
eliminará automáticamente. Tiene la opción de solicitar la retención del historial de préstamos
del recorrido marcando la casilla "Conservar el historial de actividades".
También puede eliminar su historial de préstamos en cualquier momento a través de la sección
"Su cuenta". Si lo hace, sus datos se anonimizarán solo con fines estadísticos.
Enlaces externos y formularios
Enlaces externos
De vez en cuando, podemos agregar algunos hipervínculos en nuestra Plataforma eBiblio que
lo redirigen a sitios web externos operados por terceros que creemos que podrían ser de
interés para los Usuarios. De ninguna manera esto implica que aprobemos el contenido de
estos sitios web, ni las actividades de las empresas, organizaciones o asociaciones a cargo de
dichos sitios web. Cuando salga de nuestra Plataforma eBiblio, usted y su información personal
ya no se regirán por esta política de privacidad. Le recomendamos que consulte la política de
privacidad de cualquier sitio web que visite antes de comenzar a usar el sitio.
Plataforma Babelio
Encontrará, en la Plataforma eBiblio, un formulario "Babelio" que es una herramienta para la
calificación de libros. Cuando utilice dicho formulario para calificar, revisar o publicar un
comentario sobre un libro, su información personal será recopilada directamente por Babelio y,
por lo tanto, se regirá por la propia política de privacidad de Babelio, que le recomendamos que
lea antes de usar dicho formulario. Los Gerentes de ninguna manera serán responsables del
uso, por parte de Babelio, de su información personal, ni de su protección.
Contáctenos
Para obtener más información sobre nuestras políticas y prácticas con respecto a la
confidencialidad, incluidas nuestras prácticas con respecto a la protección y conservación de
su información personal puede comunicarse con nosotros en cualquier momento:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/56
Dirección: (?)
Dirección de correo electrónico: (?)
Teléfono: (?)
Cambios en esta Política de Privacidad
Los Administradores pueden modificar esta Política de privacidad en cualquier momento. Si
hacemos algún cambio, tomaremos las medidas razonables para notificar a los Usuarios de
dichos cambios. En el caso de que un Usuario falle o se niegue a aceptar la última y
actualizada versión de esta política de privacidad, su acceso a la Plataforma eBiblio puede
suspenderse a partir de la fecha efectiva de dicha actualización?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/56
ANEXO 4
Política de Privacidad
?I. Introducción
Bienvenido a la plataforma de lectura y préstamo de libros electrónicos (individualmente, la
"Plataforma" o la "Aplicación", según sea el caso, y colectivamente el "Servicio"), desarrollado y
operada por DISTRIBUIDORA DIGITAL DE LIBROS, S.A.U., ("Libranda"), como adjudicataria
del servicio público de implementación y gestión de la Plataforma. Esto significa que la
administración pública determina por qué motivos (es decir, los fines) se procesan sus datos,
así como los recursos (es decir, los medios) asignados a dicho procesamiento. En
consecuencia, Libranda es la encargada del tratamiento de sus datos personales.
Distribuidora Digital de Libros, S.A.U., ("Libranda"), es una empresa debidamente constituida
de conformidad con las leyes españolas con domicilio social en?, y Número de Identificación
Fiscal?
La administración local de su biblioteca (la Biblioteca) es la responsable del tratamiento de sus
datos personales. Puede encontrar la identidad y datos de su Biblioteca, así como los datos del
delegado de protección de datos que corresponda, accediendo al sitio web de la misma.
Libranda es consciente de la necesidad de proteger su privacidad y está comprometida para
respetar la confidencialidad de la información personal que recopila sobre usted.
Esta política de privacidad sintetiza (1) los tipos de información personal recogida por Libranda,
(2) las razones por las que Libranda recopila información personal, (3) la forma en que
Libranda utiliza y protege la información personal, y (4) las circunstancias en las que la
información personal se comparte con los socios de Libranda y terceros, cuando las leyes
aplicables lo requieren o permiten. Esta política de privacidad también describe las decisiones
que se pueden tomar con respecto a la recogida, el uso y el almacenamiento de la información
personal, y el acceso a la misma.
II. Recogida y Uso de Información Personal
Como parte de la operatividad de la Plataforma, Libranda recogerá y/o procesará información
sobre usted, como se describe a continuación. La información personal se recoge y se utiliza
sólo para el fin indicado en esta política de privacidad y para ningún otro propósito.
La información proporcionada
Cuando inicie sesión en la Plataforma, debe seleccionar su biblioteca participante en el
proyecto eBiblio del Ministerio de Cultura y Deporte, un proyecto colectivo con las comunidades
y ciudades autónomas de España y será dirigido al sitio web de la Biblioteca, que lo
autenticará. Sólo podrá beneficiarse de los servicios ofrecidos a través de la Plataforma si es
un miembro autentificado de una Biblioteca. Usted y su Biblioteca enviarán a Libranda su
número de usuario para permitirle acceder a la Plataforma, iniciar sesión en su cuenta de
usuario y utilizar las funciones de la Plataforma. De vez en cuando, usted puede proporcionar
más información a Libranda para los propósitos de administrar su cuenta ya sea con la
Plataforma o para la administración de su cuenta con su Biblioteca. Libranda mantiene la
estricta confidencialidad de esta información, de acuerdo con esta política, las disposiciones
contractuales a las que está sujeta y las leyes aplicables.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/56
Dependiendo del caso, usted también puede descargar o subir información, comentarios o
archivos a la Plataforma. Libranda se reserva todo el derecho de verificarlos y rechazarlos si
infringen sus políticas.
La base legal que permite el tratamiento de sus datos por parte de Libranda es el
consentimiento.
Libranda no se hace responsable del uso o la protección de la información personal que usted
proporcione a las Bibliotecas o a terceros, la cual es administrada por las Bibliotecas o terceros
de acuerdo con sus propias políticas. Por favor, póngase en contacto con ellos directamente
para saber más sobre su política de privacidad y confidencialidad.
La información obtenida a través de las cookies
Al utilizar la Plataforma, se puede recopilar cierta información (como las interacciones con la
Plataforma o cualquier otra información descrita a continuación) a través de cookies de sesión
propias y las cookies de Google Analytics. Le informamos asimismo que la transferencia
internacional de datos a Google se ampara en la formalización de las cláusulas contractuales
tipo aprobadas por la Comisión Europea. Para más información, consulte nuestra Política de
Cookies.
Más Información
Libranda puede recopilar información sobre la forma en que el usuario interactúa con la
Plataforma a través de herramientas estadísticas como Google Analytics. Para recopilar esta
información, se colocarán códigos en la Plataforma que permitirán conocer, entre otras cosas,
qué búsquedas se realizaron y a qué contenido se accedió, así como el navegador y el
dispositivo que se utilizaron. Esta información se procesará y actualizará cada vez que
interactúe con la Plataforma. Por último, sus datos de geolocalización podrán ser recopilados
cuando publique contenido a través de la Plataforma, si la opción de compartir datos de
geolocalización está habilitada en su dispositivo.
Su información personal puede ser recogida a través de los siguientes formularios:
. Formulario para registrarse en la Plataforma;
. Formulario de identificación;
. Cuando complete su perfil de usuario;
. Cuando publique un comentario de su perfil de usuario;
. Cuando puntúe un libro desde su perfil de usuario;
Usted puede encontrar información adicional sobre cómo gestionar las cookies, incluyendo
cómo revocar el consentimiento y eliminar las cookies, de forma accesible y permanente en
todo momento a través de la Política de Cookies de la página web.
III. Uso e Intercambio de la Información Recogida
Libranda no vende, arrienda ni explota comercialmente la información recogida. La información
recogida no se comparte con terceros ni es utilizada por terceros salvo para el fin para el que
fue recogida según se describe en esta política, a menos que la ley lo exija o autorice o se
haya obtenido el consentimiento apropiado, según sea el caso.
Utilizamos la información recogida para ?Facilitar el préstamo de los documentos incluidos en la
plataforma?, ello significa:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/56
? Permitirle utilizar nuestra Plataforma y los servicios ofrecidos en ella, creando una cuenta y un
perfil de usuario;
? Ponerse en contacto con usted en el marco de las funciones de servicio que utiliza, por
ejemplo, para darle acceso al enlace de descarga de libros digitales cuando esté listo, para
confirmar una reserva de un libro digital, para notificarle y enviarle el enlace de descarga de un
préstamo cuando un libro que haya reservado esté disponible para que lo tome prestado;
? Mejorar la experiencia de lectura publicando sugerencias basadas en su perfil personalizado;
? Gestión de servicios;
? Ofrecer apoyo técnico, si es necesario;
? Informarle de los cambios en nuestras condiciones de uso y políticas y/u otras razones
administrativas;
? Proteger los derechos e intereses y hacer cumplir esta política de privacidad o las condiciones
de uso;
? Comprobar que el menor no pida prestados libros designados como exclusivamente para
adultos;
? Cumplimiento de la ley.
Información personal
La información personal puede ser compartida con los socios y subcontratistas de Libranda
que permiten que la Plataforma funcione correctamente, por ejemplo, ayudando a Libranda a
desarrollar, mantener y actualizar la Plataforma. La información sólo se comunicará a quienes
"lo necesiten saber" después de verificar que se han adoptado medidas contractuales y otras
medidas apropiadas. En consecuencia, los destinatarios de sus datos personales pueden ser
los socios de Libranda y Google para la gestión de las cookies de Google Analytics.
La información personal podrá utilizarse y comunicarse si Libranda, actuando de manera
razonable, crea que el uso y la divulgación son necesarios para cumplir con las leyes
aplicables, un procedimiento judicial o una solicitud gubernamental, o de otro modo para
cualquier propósito establecido en la ley aplicable que permita o exija la divulgación de
información personal.
Información anónima utilizada en forma agregada
Libranda puede utilizar información anónima en forma agregada para mejorar la Plataforma. La
información anónima también puede utilizarse en forma agregada para fines de investigación y
estadísticos, incluidos los proyectos con los asociados de Libranda.
Para mayor claridad, la información anónima utilizada en forma agregada no es información
personal y no puede, ni será, utilizada para volver a identificarlo a usted o a otra persona.
IV. Acceso, corrección y actualización de la información personal
De acuerdo con las leyes aplicables, usted puede solicitar el acceso, la corrección o la
eliminación de información personal contactando con Libranda:
Dirección postal: (?)
Dirección de correo electrónico: (?)
Número de teléfono: (?)
Dependiendo del caso, también puede corregir la información en línea o en la propia
Plataforma. Los datos recogidos por terceros no pueden ser corregidos por Libranda. Usted
debe contactar con estos terceros para corregir esta información.
Asimismo, le informamos de que tiene derecho a presentar una reclamación ante la Agencia
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/56
Española de Protección de Datos si considera que se ha cometido una infracción de la
legislación en materia de protección de datos respecto al tratamiento de sus datos personales.
V. Medidas de Seguridad
Libranda aplica medidas de seguridad basadas en lo que puede ser razonablemente necesario
para proteger la seguridad y la confidencialidad de la información personal. En este sentido,
Libranda ha implementado las siguientes medidas:
Tecnología SSL: Con cada acceso a la Plataforma a través de Internet, la tecnología de Capa
de Conexión Segura (SSL) protege la información personal mediante la autenticación del
servidor y la codificación de los datos. No se revelará ninguna información personal hasta que
esta tecnología se active;
Acceso limitado: El acceso a la información personal se concede únicamente a los empleados,
representantes y subcontratistas relevantes de Libranda "que necesiten saber" a los efectos de
desarrollar o hacer funcionar la Plataforma;
Centro de Seguridad: Los servidores de Libranda se encuentran en un centro de datos situado
en España y la Plataforma está alojada en la plataforma Google Cloud. Para obtener más
información sobre estos servicios de hosting, por favor visite las condiciones de uso y la
política, disponibles en https://cloud.google.com/product-terms/.
INCLUSO SI LIBRANDA UTILIZA TECNOLOGÍAS DE CALIDAD COMERCIALIZABLE PARA
HACER FUNCIONAR LA PLATAFORMA Y SUS SERVIDORES - ASÍ COMO CUALQUIER
TIPO DE ARCHIVO - NO SON INFALIBLES Y NI ESTÁN TOTALMENTE PROTEGIDOS
CONTRA EVENTOS IMPREDECIBLES O DE FUERZA MAYOR, CIBERATAQUES O USOS Y
ACCESOS NO AUTORIZADOS, Y USTED DEBE SABER QUE EXISTE UN RIESGO
ASOCIADO A LA TRANSMISIÓN ELECTRÓNICA DE DATOS. ESTE RIESGO ES
INHERENTE A TODAS LAS OPERACIONES ELECTRÓNICAS, ASÍ COMO A TODAS LAS
DEMÁS FORMAS DE COMUNICACIÓN. POR LO TANTO, LIBRANDA NO PUEDE
GARANTIZAR QUE LA INFORMACIÓN NUNCA SERÁ INTERCEPTADA O ACCEDIDA O SE
VERÁ COMPROMETIDA EN OTROS INCIDENTES. TALES INCIDENTES PUEDEN
OCURRIR Y HACER QUE LOS DISPOSITIVOS O SISTEMAS SEAN ACCESIBLES A
PERSONAS NO AUTORIZADAS O CONTROLADOS POR OTRAS PERSONAS, Y DAR
LUGAR A LA RECEPCIÓN DE COMUNICACIONES E INVITACIONES NO DESEADAS. SI
RECIBE UN MENSAJE QUE PARECE PROCEDER DE LA PLATAFORMA EN LA QUE SE LE
PIDE QUE COMPARTA INFORMACIÓN PERSONAL, DEBE EVITAR RESPONDERLO.
LIBRANDA NUNCA SOLICITARÁ INFORMACIÓN FINANCIERA Y OTRA INFORMACIÓN
SENSIBLE DE ESTA MANERA. SI USTED U OTRA PERSONA HA PROPORCIONADO
INFORMACIÓN PERSONAL EN RESPUESTA A UN CORREO ELECTRÓNICO
SOSPECHOSO, UNA VENTANA EMERGENTE O UN SITIO WEB FALSO QUE DECLARA
QUE ESTÁ ASOCIADO CON LA SOLICITUD, O SI SE PRODUCE CUALQUIERA DE LOS
EVENTOS MENCIONADOS ANTERIORMENTE, PÓNGASE EN CONTACTO CON LIBRANDA
INMEDIATAMENTE.
VI. Almacenamiento de Información Personal y Duración
Con sujeción a las leyes aplicables, Libranda conserva y almacena información personal para
su uso y divulgación de conformidad con la presente política de privacidad, siempre que sea
necesario para el fin que se describe aquí. Con este fin, Libranda puede retener la información
personal una vez que se ha cumplido un propósito específico si es razonablemente necesario
hacerlo: (i) para cumplir con las leyes aplicables o para evitar cualquier infracción; (ii) para
resolver disputas; y (iii) para hacer cumplir esta política de privacidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/56
El plazo de conservación de sus datos personales se circunscribe al contrato de prestación de
servicios de implementación de la plataforma eBiblio, en consecuencia, se conservarán hasta
su terminación. Una vez finalizado el servicio, Libranda devolverá o destruirá los datos
personales, según la petición de cada biblioteca.
VII. Sitios Web de Terceros
Si en la Plataforma se proporciona un enlace a sitios web de terceros, incluido el sitio web de la
Biblioteca, debe tener en cuenta que esos sitios web funcionan de manera independiente y
están sujetos a condiciones de uso y políticas de privacidad independientes. Se recomienda
encarecidamente que el usuario conozca las condiciones de uso y las políticas independientes
relacionadas con estos sitios web de terceros, ya que Libranda no es responsable del
contenido o las prácticas de estos sitios web.
VIII. Modificaciones
Libranda se reserva el derecho de cambiar esta política de privacidad en cualquier momento.
Cualquier cambio significativo será comunicado antes de que surta efecto a través de una
ventana emergente o cualquier otro medio. Posteriormente, se publicará una versión
actualizada de esta política de privacidad y estará fácilmente disponible. Además, se publicará
una versión actualizada de esta política de privacidad cada vez que se realice un cambio
menor. Es posible determinar si esta política de privacidad ha sido modificada verificando la
fecha de entrada en vigor de la misma. Libranda recomienda que esta política de privacidad se
revise periódicamente para evaluar sus prácticas actuales, ya que seguir utilizando la
Plataforma supone la aceptación de cualquier cambio realizado. Si usted no está de acuerdo
con los cambios en esta política de privacidad o en cualquier otra modificación aplicable,
deberá dejar de utilizar la Plataforma inmediatamente.
IX. Cómo Contactar con Libranda
Todas las preguntas y comentarios sobre esta política de privacidad o las solicitudes
relacionadas con la misma deben ser enviadas a Libranda en: ? (dirección de correo
electrónico de Libranda).
Puede retirar su consentimiento para la recogida y el uso de su información personal en
cualquier momento enviándonos un correo electrónico a la dirección anterior. Sin embargo, si
retira su consentimiento, es posible que ya no podamos proporcionarle acceso a la Plataforma.
Última actualización: 23 de junio de 2021?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es