Resolución de la Agencia Española de Protección de Datos PS-00291-2020 de 19 de abril de 2021

Cuestión

1 / 4

Procedimiento Nº: PS/00291/2020

938-0419

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

En el procedimiento sancionador PS/00291/2020, instruido por la Agencia Española de

Protección de Datos, ante Dª. A.A.A. (***EMPRESA.1), con NIF : ***NIF.1 , titular de la

página web, ***URL.1 , (en...

Contestacion

1/4

? Procedimiento Nº: PS/00291/2020

938-0419

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

En el procedimiento sancionador PS/00291/2020, instruido por la Agencia Española de

Protección de Datos, ante Dª. A.A.A. (***EMPRESA.1), con NIF: ***NIF.1, titular de la

página web, ***URL.1, (en adelante, ?la persona reclamada?), en virtud de denuncia

presentada por Dª B.B.B., (en adelante, ?la persona reclamante?), y teniendo como

base los siguientes:

ANTECEDENTES:

PRIMERO: Con fecha 28/10/19, tiene entrada en esta Agencia, denuncia presentada

por la reclamante en la que indicaba, entre otras, lo siguiente:

?Vengo a denunciar ante la Agencia de protección de datos, que se han vulnerado mis

derechos por parte de la empresa ***EMPRESA.1, destinada con ánimo de lucro a la

organización de bodas y eventos, por divulgar, sin mi consentimiento, mi imagen, mi

identidad y datos personales, así como mi opinión vertida de manera privada en su red

social de Instagram (cuya justificación se acompaña Doc. Núm. 1).

?Asistí como invitada a la boda que organizaba la empresa ***EMPRESA.1, que

dispone de una red social en Instagram y donde admite de forma privada opiniones

sobre el evento que organiza, es decir se pueden verter opiniones que permanecen

reservadas entre mi persona y dicha empresa. Reconociendo que mis opiniones, no

eran favorables a los deseos de dicha empresa, opiniones en todo momento referidas

a la organización del evento al que asistí, y siempre con ánimo de que mejoraran tanto

su aspecto como el servicio que prestan para futuros eventos, me encuentro que la

opinión que emití de forma privada en el espacio que ellas tienen reservado para ello,

ha sido transmitida con mi fotografía e identificación personal vía internet con

pantallazo (cuya justificación se acompaña Doc. Núm. 2) incluido de manera

intencionada y de mala fe a los novios, es decir, a mi primo hermano reenviándoles y

ello sin mi autorización , lo que ha generado un grave problema familiar difícil de

solucionar, lo que me ha llevado a presentar la correspondiente denuncia por la

vulneración de mis derechos por parte de la empresa ***EMPRESA.1, tengo que

hacer constar que esta empresa organiza los eventos con ánimo de lucro y no queda

reflejado su CIF en internet?.

SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos

aportados por el reclamante, la Subdirección General de Inspección de Datos procedió

a realizar actuaciones para su esclarecimiento, al amparo de los poderes de

investigación otorgados a las autoridades de control en el art 57.1 del Reglamento

(UE) 2016/679 (RGPD). Así, con fecha 11/12/19 y 24/02/20 se dirigen sendos

requerimientos informativos a la persona reclamada.

Según certificado de la Sociedad Estatal Correos y Telégrafos, el requerimiento

enviado a la entidad reclamada, el 11/12/20, a través del servicio de SICER, fue

devuelto a origen por el servicio de correos con el mensaje de ?ausente? y ?no recogido

del servicio de lista de correos?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/4

Según certificado de la Sociedad Estatal Correos y Telégrafos, el requerimiento

enviado a la persona reclamada, el 24/02/20, a través del servicio de SICER, fue

recogido en destino por A.A.A. (***EMPRESA.1) ***NIF.1, el 09/03/20.

TERCERO : Con fecha 20/09/20, por parte de esta Agencia, se consulta la página web

denunciada, comprobándose los siguientes aspectos sobre la política de privacidad y

la política de cookies implantada en dicha página:

A).- Respecto de la Política de Privacidad:

a.1.).- Se ha comprobado que, en la página web ***URL.1, a través de la pestaña

>, existe la siguiente información: ?Llama, escribe o haznos señales de

humo, pero ponte en contacto que las fechas vuelan?: Teléfono: ***TELÉFONO.1;

Email: ***EMAIL.1; Dirección: ***DIRECCIÓN.1, ***LOCALIDAD.1 © 2020

***EMPRESA.1 - >

a.2.).- La única forma que tiene la página web de recopilar datos personales de las

personas interesadas es a través del correo electrónico, por lo que, en principio el

único dato que se proporciona a la web es la dirección de correo electrónico del

interesado, además de los datos que éste, de motu proprio, proporcione dentro del

mensaje del email enviado. No obstante, también existen enlaces a su perfil en las

redes sociales, través de los cuales se puede contactar con la entidad.

a.3.).- A través del link ?aviso legal? existente, tanto en la página de >

como en la página principal, la web redirige a una página donde se proporciona

información sobre: los datos Identificativos del titular de la página web; la legislación

aplicable; la identificación del responsable del tratamiento; la legitimación del

tratamiento de datos; el tiempo de conservación de los datos; la posible cesión de

datos; los derechos del interesado; donde ejercer los derechos; las medidas de

seguridad; el tratamiento basado en el consentimiento del afectado; el deber de

confidencialidad y el derecho a reclamar ante la AEPD.

B).- Respecto de la Política de Cookies:

b.1.- Al acceder a la página principal de la web, ***URL.1, (primera capa), existe un

banner en la parte inferior de la misma, con el siguiente mensaje:

?Esta web utiliza cookies, puedes ver aquí la política de cookies. Si continúas

navegando estás aceptándola? >

b.2.).- Si se accede a la ?política de cookies?, a través del enlace existente en el

banner, la web redirige a una página donde se proporciona información sobre: qué son

las cookies y qué tipos de cookies utiliza esta página web.

- Para desactivar las cookies, la página proporciona la siguiente información:

?Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo

mediante la configuración de las opciones del navegador instalado en su

ordenador. En la mayoría de los navegadores web se ofrece la posibilidad de

permitir, bloquear o eliminar las cookies instaladas en su equipo. A continuación,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/4

puede acceder a la configuración de los navegadores webs más frecuentes para

aceptar, instalar o desactivar las cookies (?)?.

CUARTO: Notificada la incoación del expediente, el día 20/10/20, a fecha de hoy, no

consta que respuesta alguna se haya dado a la incoación del expediente, dentro del

periodo concedido para ello, a los efectos legales oportunos por la entidad reclamada.

De las actuaciones practicadas en el presente procedimiento, de la información y documentación

presentada por las partes, han quedado acreditados los siguientes:

HECHOS PROBADOS

1.- Se ha comprobado que, en la página web ***URL.1, se puede recopilar datos personales

de las personas interesadas a través de los correos electrónicos enviados a la

persona reclamada.

2.- A través del enlace > la web redirige a una página donde se proporciona

información sobre: los datos Identificativos del titular de la página web; la legislación

aplicable; la identificación del responsable del tratamiento; la legitimación del tratamiento

de datos; el tiempo de conservación de los datos; la posible cesión de datos;

los derechos del interesado; donde ejercer los derechos; las medidas de seguridad; el

tratamiento basado en el consentimiento del afectado; el deber de confidencialidad y el

derecho a reclamar ante la AEPD.

3.- Respecto de la Política de Cookies:

3.1.- Al acceder a la página principal de la web, ***URL.1, (primera capa), existe un

banner en la parte inferior de la misma, con el siguiente mensaje:

?Esta web utiliza cookies, puedes ver aquí la >. Si continúas

navegando estás aceptándola?

>

3.2.- Si se accede a la ?política de cookies?, a través del enlace existente en el banner,

la web redirige a una página donde se proporciona información sobre: qué son las

cookies y qué tipos de cookies utiliza esta página web. Para gestionar las cookies, la

página remite al usuario al configurar el navegador instalado en su equipo terminal:

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia Española

de Protección de Datos, de conformidad con lo dispuesto en el art. art. 43.1, párrafo

segundo, de la LSSI.

II

La valoración conjunta de la prueba documental obrante en el procedimiento trae a conocimiento

de la AEPD una visión de la actuación denunciada que ha quedado reflejada

en los hechos declarados probados arriba relatados.

Con relación a la ?Política de Cookies?, de la página web denunciada, se comprueba

que, la información proporcionada en el banner de la primera capa es poco

esclarecedora de la finalidad de las cookies que se utilizan. Tampoco existe ningún

mecanismo que permita rechazar todas las cookies.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/4

Los hechos expuestos suponen, por parte de la reclamada, la comisión de la infracción

del artículo 22.2 de la LSSI.

Esta Infracción está tipificada como ?leve? en el artículo 38.4 g), de la citada Ley, que

considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos

cuando no se hubiera facilitado la información u obtenido el consentimiento del

destinatario del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser

sancionada con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada

LSSI.

Con arreglo a dichos criterios, y al considerar que el responsable de la página web es

una persona física, se estima adecuado imponer una sanción de apercibimiento, por la

infracción del artículo 22.2 de la LSSI, respecto de la política de cookies realizada en

la página web de su titularidad.

Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia

Española de Protección de Datos,

RESUELVE

APERCIBIR: a Dª. A.A.A. (***EMPRESA.1), con NIF: ***NIF.1, titular de la página web,

***URL.1, por la infracción del artículo 22.2 de la LSSI, en lo que respecta a la política

de cookies de la página web de su titularidad.

REQUERIR: a Dª. A.A.A. (***EMPRESA.1), para que, en el plazo de un mes, a contar

desde la notificación de esta resolución, modifique la página web de su titularidad, respecto

de la política de cookies, adecuando la información suministrada en el banner

sobre cookies de la primera capa e incluyendo un mecanismo que permita rechazar todas

las cookies.

NOTIFICAR: la presente resolución a Dª. A.A.A. (***EMPRESA.1).

De conformidad con lo establecido en el artículo 50 de la LOPDPGDD, la presente Resolución

se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDPGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados

podrán interponer, potestativamente, recurso de reposición ante la Directora

de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde

el día siguiente a la notificación de esta resolución o directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional

cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contenciosoadministrativa

, en el plazo de dos meses a contar desde el día siguiente a la notificación

de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Mar España Martí

Directora de la Agencia Española de Protección de Datos.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es