Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00234-2020 de 24 de septiembre de 2020
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 40 min
Órgano: Agencia Española de Protección de Datos
Fecha: 24/09/2020
Num. Resolución: PS-00234-2020
Cuestión
Sector:1 / 23
936-031219
Procedimiento Nº: PS/00234/2020
RESOLUCIÓN R/00431/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00234/2020, instruido por la Agencia
Española de Protección de Datos a Iweb Internet Learning, S.L...
Contestacion
1/23
936-031219
? Procedimiento Nº: PS/00234/2020
RESOLUCIÓN R/00431/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00234/2020, instruido por la Agencia
Española de Protección de Datos a Iweb Internet Learning, S.L., vista la denuncia
presentada por NEPTUNOS FORMACION S.L., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 1 de septiembre de 2020, la Directora de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a Iweb Internet
Learning, S.L. (en adelante, el reclamado), mediante el Acuerdo que se transcribe:
Procedimiento Nº: PS/00234/2020
935-240719
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos ante
la entidad, IWEB INTERNET LEARNING SL con CIF: B64910011, titular de la página
web ***URL.1, (en adelante, ?la entidad reclamada?), en virtud de denuncia presentada
por Dª. A.A.A., en nombre y representación de la entidad NEPTUNOS FORMACION
S.L., (en adelante, ?la reclamante?), y teniendo como base los siguientes:
HECHOS
PRIMERO: Con fecha 13/02/20, tiene entrada en esta Agencia, denuncia presentada
por la reclamante en la que indicaba, entre otras, lo siguiente:
?La web ***URL.1 no incluye información de quién es el archivo de datos en normas
de uso. Que tras ver a través de enlaces de google que incluye material de vídeos
alojados en el canal de youtube de la empresa Neptunos Formación SL., sin
autorización de la marca, como representante legal de Neptunos procedo a registro
del formulario para contactar con la empresa y solicitar de buena fe la eliminación de
contenidos de neptunos® (al no poder localizar autor de la web para denunciarlo
procedo a registro de formulario. Véase: ***URL.2 y ***URL.3
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/23
Que tras registro en el formulario "PEDIR MAS INFORMACION" ceden los datos a la
empresa Formación Universitaria s.l. que contacta con los usuarios por teléfono.
Tras solicitar la baja inmediata de todo material de Neptunos Formación y datos
personales, el pasado 06/02/20 me indican que envíe un email. Solicito a través de la
llamada telefónica la eliminación y han hecho caso omiso.
A su vez, en el mismo formulario de contacto, "Pedir más información", solicito la baja
de todo lo relacionado con la empresa neptunos® y compruebo que los comentarios
del formulario aparecen públicos en todas las url de ciudad (Sevilla) y localidades de
Sevilla.
- Véase ***URL.4
- Véase "Otros interesados en fp comentan", sin consentimiento del usuario.
- Véase "Formación Profesional de Grado Superior - FP de Grado Superior
CICLO FORMATIVO GRADO SUPERIOR Desarrollo y Fabricación de
Productos Cerámicos Nocturnoana: SOLITICO LA BAJA DE TODO LO
RELACIONADO CON NEPTUNOS FORMACION DE ESTE PORTAL QUE
INCUMPLE LA NORMATIVA DE RGPD Y SE PROCEDERÁ A DENUNCIAR AL
ORGANISMO PERTINENTE ***URL.2.
SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos
aportados por el reclamante, la Subdirección General de Inspección de Datos procedió
a realizar actuaciones para su esclarecimiento, al amparo de los poderes de
investigación otorgados a las autoridades de control en el art 57.1 del Reglamento
(UE) 2016/679 (RGPD). Así, con fecha 27/03/20, se dirige requerimiento informativo a
la entidad, FORMACION UNIVERSITARIA SL.
TERCERO : Con fecha 15/06/20, se recibe en esta Agencia, escrito de la entidad FORMACION
UNIVERSITARIA SL, en el cual, entre otras, indica que:
Que la página web a la que hace referencia el denunciante, ***URL.1 no es propiedad
de FORMACIÓN UNIVERSITARIA, S.L., ni lo ha sido nunca, por lo que desconoce-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/23
mos los incidentes mencionados, ya que al no ser una web de FORMACIÓN UNIVERSITARIA
, S.L., no se puede acceder a su contenido, en el sentido de modificar éste,
componerlo de una u otra manera, subir o suprimir textos o contenidos de cualquier
clase, ni ha podido nunca colgar los vídeos objeto de la reclamación. Cabe añadir que,
ninguno de los enlaces que aparecen en la página objeto de la denuncia, han sido responsabilidad
de nuestra entidad formativa, ya que como se ha indicado, no es una página
propiedad de esta empresa.
FORMACIÓN UNIVERSITARIA, S.L., no puede informar sobre la titularidad de los datos
que aparecen en la web objeto de denuncia, ni puede hacer entrega de la documentación
solicitada, ni tampoco puede dar explicación alguna sobre los hechos relatados
por el reclamante, pues Formación Universitaria, resulta ser un tercero perjudicado
y no es parte en la relación jurídica entre el reclamante, Neptuno, S.L. y quien resulte
ser titular de la web ***URL.1? .
CUARTO: Con fecha 09/07/20, se dirige requerimiento informativo a la entidad,
CLOUD BUILDERS S.A., al objeto de que informe a esta Agencia sobre la identidad
del titular del sitio web, ***URL.1 (***IP.1), alojado en sus sistemas.
QUINTO: Con fecha 20/07/20, la entidad CLOUD BUILDERS SA., remite a esta Agencia
escrito, en el cual, se indica que el titular del sitio web ***URL.1, corresponde a la
entidad, IWEB INTERNET LEARNING, SL. con CIF: B64910011; y domicilio en la calle
Llacuna 136, 4º?2º, 08018 Barcelona.
SEXTO: Con fecha 28/07/20, por parte de esta Agencia, se accede al sitio web denunciado
comprobando que, en la parte inferior de la página inicial, a través del link, ?Normas
de Uso?, se despliega una ventana donde se proporciona información de las condiciones
de uso de la página, su política de privacidad y la protección de datos:
A).- Respecto de las ?Condiciones de Uso?, se informa, entre otras, de:
- La finalidad del sitio web:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/23
?La finalidad del sitio web es la de difundir los servicios de Cursos de Formación a través
del Sitio Web, Internet y cualquier otro medio de difusión o comunicación existente
: el Sitio Web proporciona el acceso a información relativa a Cursos, Centros de formación
y en general a contenidos y servicios relacionados con el sector de la formación.
El Usuario en el proceso de navegación o utilizando las herramientas y servicios
que ofrece el Sitio Web, así como enviando sus datos para Solicitar más Información
está aceptando el cumplimiento de las Condiciones del Servicio y la Política de Privacidad
y Protección de Datos del mismo.
La utilización de este Sitio Web implica la plena aceptación de las disposiciones incluidas
en estas Condiciones Generales de Uso en la versión publicada por la Empresa
en el momento en que el Usuario acceda al Sitio Web.
Los datos de los usuarios registrados a través de los formularios habilitados al efecto
en el sitio web son recabados por el Sitio Web con la finalidad de facilitar la prestación
de los servicios que la Empresa proporciona a través de dicho Sitio Web, que no es
otro que el de facilitar la comunicación entre centros de formación y usuarios, e informar
sobre cursos de formación, publicaciones u otros servicios que pudieran resultar
del interés del usuario (?).
- También se informa de: - Las condiciones de acceso y utilización del Sitio Web;
Exclusión de garantías y responsabilidad y de la Propiedad Intelectual e Industrial
del sitio.
B).- Respecto de la ?Política de Privacidad?, se proporciona, entre otras, la siguiente información
:
- Sobre los datos del responsable del tratamiento de datos, destaca la siguiente
información:
ciclosformativosfp.com (la Empresa), pone a su disposición la información adicional
concerniente al tratamiento de sus datos personales, tal y como establece la normativa
en la materia: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y
DEL CONSEJO de 27 de abril de 2016 (RGPD). En este sentido y alineado con la política
de privacidad de MR Advertising LTD basada en el modelo de información por capas
o niveles, a continuación, recogemos la información adicional (segundo nivel) don-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/23
de se presenta con detalle la información básica relativa al tratamiento de datos que
debe conocer. Delegado de Protección de Datos: ***URL.5
- Sobre la finalidad del tratamiento de los datos personales, destaca la siguiente
información:
En ciclosformativosfp.com tratamos la información que nos facilitan las personas interesadas
de acuerdo con las siguientes finalidades:
a) Envío de la solicitud al cliente (Centro de formación) anunciante. Pondremos en
contacto usuario y centro respecto a la oferta formativa publicada.
b) Actividades de publicidad y prospección comercial de productos y servicios propios.
Le podremos ofrecer también, encuestas de opinión, promociones y muestras gratuitas
de nuestros servicios y/o productos.
c) Actividades de publicidad (incluidas encuestas de opinión o satisfacción) por medios
electrónicos de productos y servicios de terceras entidades relacionadas con el sector
de la formación y empleo. A este efecto, los datos podrán ser cedidos a esas terceras
entidades.
d) Labores de segmentación. Podrán realizarse la segmentación o elaboración de perfiles
con la finalidad de dirigir los contenidos editoriales y la publicidad a remitir. En ningún
caso la segmentación o elaboración de perfiles que realizará la Empresa tendrá
efectos jurídicos o significativos en el interesado.
e) Atender sus solicitudes y consultas relacionadas con el Portal. Recomendar a cada
Usuario la formación más adecuada a sus necesidades.
f) Facilitar la opinión de los Usuarios sobre contenidos formativos, a través de cualquier
medio de opinión electrónico.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/23
g) Estudio y análisis de la información suministrada por los Usuarios para valorar nuevas
tendencias y servicios.
- Sobre la legitimación para el tratamiento de los datos personales, destaca la siguiente
información:
La base legal para el tratamiento de sus datos se basa en el consentimiento otorgado
al completar cualquiera de los formularios que dispone la Empresa. En el caso del
Cliente (Centro) la legitimación es la relación contractual entre ambos.
La oferta prospectiva de productos y servicios propios o de terceros está basada en el
consentimiento si bien queda legitimada por la normativa especial sobre la sociedad
de la información siempre que esté relacionada con servicios y productos de la Empresa
, sin que en ningún caso la retirada del consentimiento para el envío de comunicaciones
promocionales condicione, en su caso, su situación como usuario registrado.
- Sobre los destinatarios a quien se comunicarán los datos personales recogidos
, destaca la siguiente información:
Si eres un usuario interesado en la oferta formativa publicada el destinatario será el
centro anunciante. La finalidad de la comunicación es que pueda ponerse en contacto
contigo para informarte con más detalle sobre la formación (curso) publicado.
También tendrán acceso determinadas empresas prestadoras de servicios, en este
caso ya como encargadas del tratamiento. Estos proveedores sólo podrán acceder a
los datos con el único objeto de prestar el servicio contratado, siguiendo las instrucciones
de la Empresa y sin que puedan destinarlos para ninguna otra finalidad. Todos los
proveedores suscriben compromisos de confidencialidad en el uso de la información a
la que acceden por su servicio de conformidad con la normativa vigente.
- Sobre los derechos de los usuarios en relación a sus datos personales, se indica
:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/23
Cualquier persona tiene el derecho a solicitar el acceso a sus datos personales, su
rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento,
así como el derecho a la portabilidad de los datos. Así como el derecho a retirar el
consentimiento en cualquiera de sus finalidades.
Para ello puede:
- dirigir una carta a ciclosformativosfp.com o
- remitiendo un correo electrónico a ***URL.5
indicando el derecho que deseas ejercer. Deberá acreditarse la identidad del solicitante
,
por ejemplo, acompañando fotocopia del DNI.
Asimismo, le informamos de que tiene derecho a presentar una reclamación ante la
autoridad de control competente, si considera que se ha producido algún tipo de vulneración
en relación con el tratamiento de sus datos personales.
En el caso que se solicite la limitación del tratamiento de sus datos únicamente los
conservaremos para el ejercicio o la defensa de reclamaciones y en los casos de oposición
dejarán de tratarse los datos, salvo por motivos legítimos imperiosos, o el ejercicio
o la defensa de posibles reclamaciones.
- También se proporciona información sobre: cómo se de los datos personales;
el tiempo que se conservan los datos personales o los derechos de los usuarios
sobre el tratamiento de sus datos personales.
La página web denunciada, recoge información de datos personales: nombre; apellidos
, DNI, nacionalidad, fecha de nacimiento, sexo; dirección, teléfono y email, a través
del link, ?MAS INFORMACIÓN? accesible desde las pestañas de los ciclos formativos
situadas en la parte superior, por ejemplo: ***URL.6-->Más-información.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/23
C).- Sobre la ?Política de Cookies? de la página web:
Indicar que en la página web denunciada, NO existe ningún banner sobre la ?política
de cookies?. Tampoco existe ningún link o enlace que redirija a una página que pueda
informar sobre la política de cookies implantada en la web.
SÉPTIMO: A la vista de los hechos denunciados, de conformidad con las evidencias
de que se dispone, la Inspección de Datos de esta Agencia Española de Protección de
Datos considera lo indicado anteriormente, no cumple con la normativa vigente, por lo
que procede la apertura del presente procedimiento sancionador.
FUNDAMENTOS DE DERECHO
I
Competencia:
- Sobre la Política de Privacidad:
En virtud de los poderes que el art 58.2 del Reglamento (UE) 2016/679, del Parlamento
Europeo y del Consejo, de 27/04/16, relativo a la Protección de las Personas Físicas
en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos
Datos (RGPD) reconoce a cada Autoridad de Control y, según lo establecido en los
arts. 47, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), la Directora de la
Agencia Española de Protección de Datos es competente para iniciar este procedimiento.
Los apartados 1) y 2), del artículo 58 el RGPD, enumeran, respectivamente, los
poderes de investigación y correctivos que la autoridad de control puede disponer al
efecto, mencionando en el punto 1.d), el de: ?notificar al responsable o encargo del
tratamiento las presuntas infracciones del presente Reglamento? y en el 2.i), el de:
?imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada
caso.?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/23
- Sobre la Política de Cookies:
De conformidad con lo establecido en el art. 43.1, párrafo segundo, de la de la Ley
34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio
Electrónico (LSSI), es competente para iniciar y resolver este Procedimiento
Sancionador, la Directora de la Agencia Española de Protección de Datos.
II
La finalidad de la página web, ***URL.1 es la de recabar datos personales de los
interesados en cursos de formación y cederlos a los centros formativos o academias
que los imparten. Una vez obtenidos los datos, el centro formativo se pone en contacto
con la persona interesada para ofrecerle sus servicios. Esta práctica de cesión de
datos, desde la entidad que gestiona la web al centro formativo, está recogida en la
política de privacidad, que el interesado debe aceptar antes de enviar el formulario. No
obstante, se han constatado varias anomalías en la gestión de los datos personales
que realiza la web.
III
A).- Sobre la Política de Privacidad.
Cuando el usuario desea recibir información extra del curso en el que está interesado,
debe cliquear en el enlace, >, desplegándose un formulario que
debe rellenar con sus datos personales. En este formulario existe una casilla que el
usuario debe cliquear obligatoriamente para, las condiciones de uso>>.
Aparte de esto, existe un link que redirige a la ?política de privacidad?, a través del cual
se despliega una página que proporciona información sobre aspectos como, la
finalidad del tratamiento de los datos; la legitimación para el tratamiento; los
destinatarios a los que se les enviarán los datos; los derechos de los usuarios, etc.
No obstante, dicha página, NO se identifica al responsable del tratamiento de los datos
personales recogidos, ni los datos de contacto del mismo, lo que imposibilita que el
usuario pueda dirigirse a él si desea ejercitar sus derechos. Además, la dirección de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/23
correo electrónico facilitado para ponerse en contacto con el delegado de protección
de datos (***URL.5), rechaza los correos que recibe, reportando un mensaje de error:
?Tu mensaje no se ha entregado a ***URL.5 porque no se ha encontrado la dirección o
esta no puede recibir correos?, con lo que el usuario se encuentra en una total
indefensión ante el tratamiento que se pueda efectuar de los sus datos personales.
En este sentido, el artículo 13 del RGPD, establece la información que se debe
proporcionar al interesado en el momento de recogida de sus datos personales. En
particular se indica que:
1.Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante; b) los datos de contacto del delegado de protección de datos,
en su caso; c) los fines del tratamiento a que se destinan los datos personales
y la base jurídica del tratamiento; d) cuando el tratamiento se base en el
artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un
tercero; e) los destinatarios o las categorías de destinatarios de los datos
personales, en su caso; f) en su caso, la intención del responsable de transferir
datos personales a un tercer país u organización internacional y la existencia o
ausencia de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1,
párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los
medios para obtener una copia de estas o al hecho de que se hayan prestado.
2.Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo; b) la existencia
del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/23
portabilidad de los datos; c) cuando el tratamiento esté basado en el artículo 6,
apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del
derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a
la licitud del tratamiento basado en el consentimiento previo a su retirada; d) el
derecho a presentar una reclamación ante una autoridad de control; e) si la
comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias
de que no facilitar tales datos; f) la existencia de decisiones automatizas,
incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y
4, y, al menos en tales casos, información significativa sobre la lógica aplicada,
así como la importancia y las consecuencias previstas de dicho tratamiento
para el interesado.
Así las cosas, los hechos conocidos podrían ser constitutivos de una infracción,
imputable al reclamado, por vulneración del artículo 13 del RGPD, por la NO
identificación del responsable del tratamiento de los datos, que imposibilita el ejercicio
de los derechos reconocidos en el RGPD.
Por su parte, el artículo 72.1.h) de la LOPDGDD, considera muy grave, a efectos de
prescripción, ?la omisión del deber de informar al afectado acerca del tratamiento de
sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD?
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
De acuerdo con los preceptos indicados, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción a imponer en
el presente caso, se considera que procede graduar la sanción a imponer de acuerdo
con los siguientes criterios que establece el artículo 83.2 del RGPD:
- La intencionalidad o negligencia en la infracción. En el presente caso estamos
ante acción negligente no intencional, (apartado b).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/23
- Las categorías de los datos de carácter personal afectados por la infracción
Los datos tratados en este caso, son de marcado carácter personal, (apartado
g).
- La forma en que la autoridad de control tuvo conocimiento de la infracción. La
forma en que esta AEPD ha tenido conocimiento ha sido por la interposición de
la denuncia por parte de la reclamante, (apartado h).
De acuerdo con los preceptos indicados, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción a imponer en
el presente caso, se considera que procede graduar la sanción a imponer de acuerdo
con los siguientes criterios que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b).
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida al vulnerar lo establecido en su artículo 13, permite
fijar una sanción de 3.000 euros, (tres mil euros).
III
B).- Sobre el consentimiento prestado por los interesados y el ejercicio de sus
derechos:
b.1.) Tal y como se ha indicado anteriormente, la finalidad de la página web es la de
?difundir los servicios de Cursos de Formación a través del Sitio Web, Internet y
cualquier otro medio de difusión o comunicación existente: el Sitio Web proporciona el
acceso a información relativa a Cursos, Centros de formación y en general a
contenidos y servicios relacionados con el sector de la formación?.
No obstante, cuando el usuario cliquea en la casilla de aceptación de la política de
privacidad, previo a poder enviar el cuestionario, implícitamente también está
consintiendo el tratamiento de sus datos personales para otras finalidades ajenas al
objetivo de la web, y así se indica en la propia página:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/23
?En ciclosformativosfp.com tratamos la información que nos facilitan las personas
interesadas de acuerdo con las siguientes finalidades: a) Envío de la solicitud al
cliente (Centro de formación) anunciante. Pondremos en contacto usuario y centro
respecto a la oferta formativa publicada. b) Actividades de publicidad y prospección
comercial de productos y servicios propios. Le podremos ofrecer también, encuestas
de opinión, promociones y muestras gratuitas de nuestros servicios y/o productos. c)
Actividades de publicidad (incluidas encuestas de opinión o satisfacción) por medios
electrónicos de productos y servicios de terceras entidades relacionadas con el sector
de la formación y empleo. A este efecto, los datos podrán ser cedidos a esas terceras
entidades. d) Labores de segmentación. Podrán realizarse la segmentación o
elaboración de perfiles con la finalidad de dirigir los contenidos editoriales y la
publicidad a remitir. En ningún caso la segmentación o elaboración de perfiles que
realizará la Empresa tendrá efectos jurídicos o significativos en el interesado. e)
Atender sus solicitudes y consultas relacionadas con el Portal. Recomendar a cada
Usuario la formación más adecuada a sus necesidades. f) Facilitar la opinión de los
Usuarios sobre contenidos formativos, a través de cualquier medio de opinión
electrónico. g) Estudio y análisis de la información suministrada por los Usuarios para
valorar nuevas tendencias y servicios (?)?.
b.2.) Por otra parte, si el usuario desea ejercer sus derechos, como el acceso,
rectificación, limitación u oposición al tratamiento de sus datos, en la web se indica que
puede: ?dirigir una carta a ciclosformativosfp.com? o ?enviar un correo electrónico a
datos@ciclosformativosfp.com?.
Pues bien, sobre el envío de la carta, al NO existir información sobre del titular de la
página web, como puede ser, su identificación o su dirección postal, no es posible
dirigirse a él, y respecto al envío de un correo electrónico a ***URL.5 , esta dirección
resulta NO válida, pues rechaza los correos recibidos, devolviendo la notificación
siguiente: ?Tu mensaje no se ha entregado a ***URL.6 porque no se ha encontrado la
dirección o esta no puede recibir correos?.
b.3.) También se ha detectado que, para pedir información sobre un determinado curso
se debe proporcionar obligatoriamente datos como, el sexo, la fecha de nacimiento, el
DNI o la nacionalidad, si se desea que el formulario se envíe, incumpliendo con ello, el
principio de minimización del dato recogido en el artículo 5.1.c) del RGPD: ?los datos
recogidos serán adecuados, pertinentes y limitados a lo necesario en relación con los
fines para los que son tratados?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/23
Así las cosas, el artículo 6.1 del RGPD, indica que el tratamiento solo será lícito si el
interesado dio su consentimiento, ?para el tratamiento de sus datos personales para
uno o varios fines específicos?,
Por su parte, el artículo 7 del RGPD, indica, sobre el consentimiento, que:
?1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable
deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita
que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de
tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de
fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte
de la declaración que constituya infracción del presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La
retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado
será informado de ello. Será tan fácil retirar el consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la
mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato,
incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de
datos personales que no son necesarios para la ejecución de dicho contrato?.
En relación con estos dos artículos citados, se debe tener en cuenta el considerando
(32) del RGPD, pues indica que:
?El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernen? Por tanto, el
silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/23
consentimiento debe darse para todas las actividades de tratamiento realizadas con el
mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el
consentimiento para todos ellos??
Igualmente, el artículo 6.2 de la LOPDGDD indica, sobre el tratamiento basado en el
consentimiento del afectado, que: ?2. Cuando se pretenda fundar el tratamiento de los
datos en el consentimiento del afectado para una pluralidad de finalidades será
preciso que conste de manera específica e inequívoca que dicho consentimiento se
otorga para todas ellas.
Pues bien, de acuerdo con todo lo expresado anteriormente, el tratamiento de datos
requiere la existencia de una base legal que lo legitime, como es en este caso, el
consentimiento del interesado prestado válidamente. Pero este consentimiento debe
darse para todas y cada una de las finalidades. NO es válido, por tanto, marcar la
casilla de aceptación de la política de privacidad aceptando con ello, de forma
genérica, todas las finalidades del tratamiento de los datos, sin dar opción a dar un
consentimiento individualizado para cada una de los ellas.
Además, según se ha podido constatar en la política de privacidad de la web, el
interesado NO tiene posibilidad de retirar su consentimiento cuando lo desee, pues no
existe identificación del responsable del tratamiento, ni existe la posibilidad de enviar
un correo electrónico a la dirección indicada.
Así las cosas, los hechos conocidos podrían ser constitutivos de una infracción,
imputable al reclamado, por vulneración del artículo 7 del RGPD mencionado, al
realizar la recogida del consentimiento mediante una acción genérica para todos los
fines del tratamiento de los datos y la imposibilidad de revocar el consentimiento dado.
Por su parte, el artículo 72.1.c) de la LOPDGDD, considera muy grave, a efectos de
prescripción, ?El incumplimiento de los requisitos exigidos por el artículo 7 del RGPD?.
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/23
De acuerdo con los preceptos indicados, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción a imponer en
el presente caso, se considera que procede graduar la sanción a imponer de acuerdo
con los siguientes criterios agravantes que establece el artículo 83.2 del RGPD:
- La intencionalidad o negligencia en la infracción. En el presente caso estamos
ante acción negligente no intencional, (apartado b).
- Las categorías de los datos de carácter personal afectados por la infracción
Los datos tratados en este caso, son de marcado carácter personal, (apartado
g).
- La forma en que la autoridad de control tuvo conocimiento de la infracción. La
forma en que esta AEPD ha tenido conocimiento ha sido por la interposición de
la denuncia por parte de la reclamante, (apartado h).
- Cualquier otro factor agravante aplicable a las circunstancias del caso, como el
exceso de datos personales recabados en función del fin último al que se
destinaran los datos y la utilización de dichos datos para realizar otros fines
ajenos a los cuales el interesado ha dado su consentimiento, (apartado k).
De acuerdo con los preceptos indicados, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción a imponer en
el presente caso, se considera que procede graduar la sanción a imponer de acuerdo
con los siguientes criterios que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b).
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida al vulnerar lo establecido en su artículo 13, permite
fijar una sanción de 5.000 euros, (cinco mil euros).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/23
IV
C).- De las actuaciones practicadas, con relación a la ?Política de Cookies?, de la
página web reclamada, se constata que:
- En la primera Capa, (página inicial), NO existe ningún banner sobre cookies, ni
información al respecto.
- NO existe ningún link o enlace que redirija a la política sobre cookies.
Los hechos expuestos podrían suponer por parte de la entidad reclamada la comisión
de la infracción del artículo 22.2 de la LSSI, según el cual:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición de que
los mismos hayan dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para
aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros
adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo
fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el
destinatario?.
Esta Infracción estas tipificada como leve en el artículo 38.4 g), de la citada Ley, que
considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del desti-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/23
natario del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser sancionada
con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada LSSI.
Tras las evidencias obtenidas en la fase de investigaciones previas, y sin perjuicio de
lo que resulte de la instrucción, se considera que procede graduar la sanción a imponer
de acuerdo con los siguientes criterios que establece el art. 40 de la LSSI:
- La existencia de intencionalidad, expresión que ha de interpretarse como equivalente
a grado de culpabilidad de acuerdo con la Sentencia de la Audiencia
Nacional de 12/11/07 recaída en el Recurso núm. 351/2006, correspondiendo a
la entidad denunciada la determinación de un sistema de obtención del consentimiento
informado que se adecue al mandato de la LSSI.
- Plazo de tiempo durante el que ha venido cometiendo la infracción, al ser la reclamación
de febrero de 2020, (apartado b).
Con arreglo a dichos criterios, se estima adecuado imponer a la entidad reclamada
una sanción de 5.000 euros (cinco mil euros), por la infracción del artículo 22.2 de la
LSSI.
Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia
Española de Protección de Datos,
SE ACUERDA:
INICIAR: PROCEDIMIENTO SANCIONADOR a la entidad, IWEB INTERNET LEARNING
, SL. con CIF: B364910011, titular de la página web ***URL.1, por las siguientes
infracciones:
- Infracción del artículo 13) del RGPD, por la NO identificación del responsable
del tratamiento de los datos que imposibilita el ejercicio de los derechos reconocidos
en el RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/23
- Infracción del artículo 7 del RGPD, al realizar la recogida del consentimiento
mediante una acción genérica para todos los fines del tratamiento de los datos
y la imposibilidad de revocar el consentimiento dado.
- Infracción del artículo 22.2) de la LSSI, sancionable conforme a lo dispuesto en
los art. 39) y 40) de la citada Ley, respecto a la inexistencia de la ?Política de
Cookies? en la página web de su titularidad.
NOMBRAR: como Instructor a D. B.B.B., y Secretaria, en su caso, a Dª C.C.C., indicando
que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido
en los art 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del
Sector Público (LRJSP).
INCORPORAR: al expediente sancionador, a efectos probatorios, la reclamación interpuesta
por el reclamante y su documentación, los documentos obtenidos y generados
por la Subdirección General de Inspección de Datos durante la fase de investigaciones
, todos ellos parte del presente expediente administrativo.
QUE: a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas, la sanción que
pudiera corresponder sería de:
- 3.000 euros (tres mil euros), por la infracción del artículo 13 del RGPD.
- 5.000 euros (cinco mil euros), por la infracción del artículo 7 del RGPD.
- 5.000 euros (cinco mil euros), por la infracción del artículo 22.2) de la LSSI.
Por lo que, la sanción total que correspondería por las tres infracciones sería de
13.000 (trece mil euros).
QUE: de conformidad con el artículo 58.2 del RGPD, la medida correctiva que podría
imponerse a la entidad, IWEB INTERNET LEARNING, consistiría en ORDENARLE
que tomase las medidas necesarias sobre:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/23
- Adecuar la política de privacidad de la página web de su titularidad a lo estipulado
en el artículo 13 del RGPD.
- Adecuar la página web de su titularidad para que recoja el consentimiento de
los interesados, diferenciado para cada una de las finalidades a las que se destinará
el tratamiento de los datos.
- Incluir en la página web de su titularidad, la política de cookies, para lo cual,
puede seguir las recomendaciones indicadas en la ?Guía sobre Cookies? editada
por la Agencia Española de Protección de Datos, en noviembre de 2019.
NOTIFICAR: el presente acuerdo de inicio de expediente sancionador a la entidad,
IWEB INTERNET LEARNING, otorgándole un plazo de audiencia de diez días hábiles
para que formule las alegaciones y presente las pruebas que considere convenientes.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en lo sucesivo, LPACAP).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la
sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del
plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo
que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en
el presente procedimiento, equivalente en este caso a 2.600 euros. Con la aplicación
de esta reducción, la sanción quedaría establecida en 10.400 euros, resolviéndose el
procedimiento con la imposición de esta sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que
supondrá una reducción de un 20% del importe de la misma, equivalente en este caso
a 2.600 euros. Con la aplicación de esta reducción, la sanción quedaría establecida en
10.400 euros y su pago implicará la terminación del procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento
de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/23
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 7.800 euros (siete mil ochocientos).
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
Si se optara por proceder al pago voluntario de cualquiera de las cantidades señaladas
anteriormente, deberá hacerlo efectivo mediante su ingreso en la cuenta nº ES00
0000 0000 0000 0000 0000 abierta a nombre de la Agencia Española de Protección de
Datos en el Banco CAIXABANK, S.A., indicando en el concepto el número de
referencia del procedimiento que figura en el encabezamiento de este documento y la
causa de reducción del importe a la que se acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección para continuar con el procedimiento en concordancia con la cantidad
ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la
fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de
actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,
contra el presente acto no cabe recurso administrativo alguno.
Mar España Martí
Directora de la Agencia Española de Protección de Datos.
>>
SEGUNDO : En fecha 11 de septiembre de 2020, el reclamado ha procedido al pago
de la sanción en la cuantía de 7.800 euros haciendo uso de las dos reducciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/23
previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el
reconocimiento de la responsabilidad.
TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a
la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción y el reconocimiento de responsabilidad en relación con
los hechos a los que se refiere el Acuerdo de Inicio.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos
es competente para sancionar las infracciones que se cometan contra dicho
Reglamento; las infracciones del artículo 48 de la Ley 9/2014, de 9 de mayo, General
de Telecomunicaciones (en lo sucesivo LGT), de conformidad con lo dispuesto en el
artículo 84.3 de la LGT, y las infracciones tipificadas en los artículos 38.3 c), d) e i) y
38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico (en lo sucesivo LSSI), según dispone el artículo
43.1 de dicha Ley.
II
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su
responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción
que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa
imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado
la improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,
el órgano competente para resolver el procedimiento aplicará reducciones de, al
menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables
entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de
iniciación del procedimiento y su efectividad estará condicionada al desistimiento o
renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/23
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00234/2020, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a Iweb Internet Learning, S.L..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es