Acerca de operadores lógicos
Última revisión
25/01/2024
Resolución de la Agencia Española de Protección de Datos PS-00308-2023 de 17 de noviembre de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 104 min
Órgano: Agencia Española de Protección de Datos
Fecha: 17/11/2023
Num. Resolución: PS-00308-2023
Cuestión
1 / 44Expediente N.º: EXP202207932
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 20 de julio de 2022, la Directora de la Agencia Española de...
Contestacion
1/44
? Expediente N.º: EXP202207932
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 20 de julio de 2022, la Directora de la Agencia Española de
Protección de Datos instó a la Subdirección General de Inspección de Datos (SGID) a
iniciar las actuaciones previas de investigación a las que se refiere el artículo 67 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD) para investigar a
RAMONA FILMS, S.L. con NIF B87763405 (en adelante, RAMONA) en relación con
los siguientes hechos:
En expediente E/02426/2021 y con fecha 11/03/2021, la directora de la Agencia
Española de Protección de Datos instó a la Inspección de Datos el inicio de oficio de
actuaciones previas de investigación en relación con RAMONA FILMS, S.L., como
responsable del sitio web ***URL.1, para analizar el cumplimiento de la normativa de
protección de datos en relación con los menores de catorce años, considerando la
sensibilidad de los datos personales relativos a la navegación que se podrían tratar en
estos sitios para el perfilado de los usuarios, relativos a la vida y orientación sexuales.
Con fechas 13/03/21 y 28/05/21, por parte de esta Agencia, en relación con lo
estipulado en el artículo 65.4 de la Ley LOPDGDD, se envió a la entidad RAMONA
FILMS, SL, sendos escritos solicitando información sobre los siguientes aspectos: la
gestión de los riesgos asociado a las actividades de tratamiento en que se pudiera
producir un acceso ilegítimo de un menor a los contenidos que ofrecen; la evaluación
de impacto relativa a la protección de datos respecto del análisis de riesgos; medidas
técnicas y organizativas implantadas en su entidad que suponga limitación de acceso
de menores de edad a los contenidos ofrecidos; limitaciones para que los menores
accedan a dichos contenidos; Política de privacidad y ubicación pública de la misma;
medidas técnicas y organizativas a tomar en su entidad ante eventual comprobación
de un acceso indebido de un menor a sus contenidos; medidas técnicas y
organizativas que reflejen la protección de datos personales y los procesos de
verificación y evaluación de la eficacia de las medidas y aclaración de si realizan
perfilado de los datos personales de quienes acceden a sus contenidos
La entidad investigada no atendió ninguno de los requerimientos de información
cursados.
Consecuencia de las actuaciones previas de investigación y de las conclusiones
obtenidas en las mismas, se incoó el procedimiento sancionador PS/00483/2021
contra RAMONA FILMS, SL, por infracción de los artículos 13 del Reglamento General
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/44
de Protección de Datos (RGPD), al recabar datos personales de los usuarios de las
páginas web de su titularidad sin haberla adaptado a la normativa vigente en materia
de protección de datos y al artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios
de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a las
irregularidades detectadas en la ?Política de Cookies? de la página web.
En marzo de 2022 se abre procedimiento sancionador PS/00098/2022 por no
contestar a los requerimientos de información notificados en el marco del
E/02426/2021. En contestación al plazo de alegaciones otorgado en este
procedimiento sancionador la entidad procedió a la remisión de la información
solicitada en los citados requerimientos, de fechas 13 de marzo de 21 y 28 de mayo de
2021.
Realizada por área de Inspección de esta Agencia un análisis y valoración de dicha
información con el fin de conocer si lo aportado resulta suficiente para determinar la
necesidad de abrir una nueva investigación, o bien se necesita alguna aclaración
adicional, se constata la existencia de contradicciones en las manifestaciones de la
entidad investigada en relación con la ausencia de tratamiento de datos personales al
encontrarse indicios de posible almacenamiento de los datos de los suscriptores en su
base de datos para verificar, entre otras cosas, las credenciales de los usuarios que
inician sesión.
Asimismo, se constata la ausencia de controles adicionales para verificar la edad de
los visitantes de la web, más allá de la simple activación por el usuario de un botón
indicando que es mayor de edad en una ventana informativa para acceder libremente
a la web.
Finalmente, en cuanto al posible perfilado de categorías especiales de datos, pese a
que la entidad afirma que no se lleva a cabo, existen diferentes cookies sobre las que
no se aporta información, de manera que no se puede saber qué tipo de información
obtienen por parte del usuario que navega su web.
En relación con lo anterior, la necesidad de analizar las implicaciones en materia de
protección de datos personales de la información obtenida requería la apertura de una
investigación tendente al esclarecimiento de los hechos y su alcance.
SEGUNDO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:
En fecha 6 de septiembre de 2022 se requirió información a RAMONA sobre su
organización y el portal web ***URL.1.
El requerimiento de información, que se practicó conforme a las normas establecidas
en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/44
Administraciones Públicas (en adelante, LPACAP), fue recogido en fecha 16 de
septiembre de 2022 como consta en el acuse de recibo que obra en el expediente.
En fecha 22 de septiembre de 2022 se recibe escrito por parte de RAMONA FILMS SL
solicitando ampliación de plazo para contestar al anterior requerimiento, ampliación
que se concede.
En el escrito de contestación a dicho requerimiento se recoge textualmente que:
?La página web ***URL.1, en adelante ?la web?, solicita al interesado la confirmación
de que es mayor de 18 años. Para evitar el uso de cookies, se ha utilizado una
propiedad de Javascript llamada sessionstorage. Dicha variable sólo guarda la
información suministrada por el interesado durante la sesión de usuario no
almacenando información alguna en el servidor en el que se aloja la web. Es por ello,
que cada nueva conexión a ***URL.1 requiere que sea proporcionada dicha
información nuevamente.?.
Asimismo, afirman que debido a un error se estaban instalando determinadas cookies
para las que no se ofrecía información, y que dicho error ha sido subsanado por los
técnicos.
Reconocen otro error existente en la web por el cual se estaban instalando cookies en
el dispositivo del usuario pese a que este hubiese rechazado su instalación; ya que,
los técnicos hicieron varias pruebas al inicio de poner en funcionamiento el panel de
cookies y todo funcionaba correctamente, pero que, debido a una de las últimas
actualizaciones realizadas en la web para potenciar la experiencia de usuario, no se
interpretaba correctamente el bloqueo de aquellas cookies no aceptadas por el
usuario. Afirman que el código se ha corregido y se han realizado pruebas.
En relación con las cookies que almacenan la localización del usuario, refieren que
son dos las que cumplen este propósito: cookies-country (que almacena únicamente el
país) y cookies-region (que almacena la región del usuario para poder ofrecerle
webcams configuradas para dicha región); si bien, dicha localización no es precisa.
En relación con el formulario de contacto existente en el portal web, afirman que los
datos recogidos se guardan en una base de datos gestionada por RAMONA y alojada
en el proveedor de hosting COMVIVE (***URL.2) situado en España, con la siguiente
estructura de campos: name, city, state, country, phone, age, email, image_1,
image_2, image_3. No obstante, el formulario únicamente solicita los campos nombre
y email por lo que el resto de los campos no se obtienen del mismo
Respecto a la solicitud de aclaración del motivo por el cual en el formulario de contacto
(***URL.3) existía una casilla de aceptación (checkbox) junto a la cual aparecía el
enlace ?condiciones generales de contratación? que te llevaba a una segunda página
que no ofrecía información sobre protección de datos, nos afirman que se trataba
nuevamente de un error y que ya ha quedado subsanado.
En relación a los datos recibidos por la plataforma de pago ***PLATAFORMA.1
cuando un cliente realiza una suscripción al servicio, afirman que la empresa CCBILL
EU Ltd, con sede en Malta, proporciona a RAMONA el servicio de pagos en línea para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/44
suscriptores. Que cuando un cliente realiza una suscripción a través de esta empresa
los datos que esta les facilita de vuelta son almacenados en la tabla de la base de
datos con nombre transactions con la siguiente estructura de campos: offer_name,
amount, currency, user_id, user_pwd, email, ip, card_holder (entre los que se
encuentra el identificador del usuario, su email, la dirección IP y el titular de la tarjeta
que se ha utilizado para la compra). Efectuada con éxito la transacción del pago, se
actualizan también los campos update_at, paid_until, last_suscription, renewable,
last_payment_method de la tabla users, tabla que también contiene los campos name,
email y password.
En cuanto a la aportación del contrato de encargado de tratamiento con CCBILL EU
Ltd (empresa que habilita formulario para la suscripción a los servicios del portal
putalocura.com) afirman que:
? El contrato de servicios con la mercantil CCBILL EU Ltd data de 2004.
? La selección de este proveedor se hace tras comprobar que cumplen
con la normativa vigente de protección de datos.
? Después de la entrada en vigor del RGPD, el responsable RAMONA
envía a CCBILL el correspondiente contrato para su firma, pero que la
propia empresa CCBILL les contestó remitiendo a RAMONA a la política
de privacidad alegando la imposibilidad de gestionar dicho tipo de
contratos por el elevado número de clientes que tiene. Que RAMONA
analizó el riesgo de incumplimiento y consideró el mismo como bajo, por
lo que decidió seguir trabajando con la mercantil CCBILL.
Por último, se aporta la relación de dominios bajo la responsabilidad de RAMONA.
En el marco de dichas actuaciones previas de investigación y dado que en la Política
de Privacidad del domino web ***URL.4 aparece como responsable de tratamiento de
los datos PROMOCIONESWEB 2016 (en adelante, PROMOCIONES), en fecha 07 de
noviembre de 2.022 se realiza un requerimiento a esta.
El requerimiento de información, que se practicó conforme a las normas establecidas
en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), fue recogido ese mismo día tal y
como consta en el acuse de recibo que obra en el expediente.
En contestación a dicho requerimiento afirman que son responsables del tratamiento
de los datos personales tratados por el portal web ***URL.4, aunque también se afirma
que la titularidad de este dominio web pertenece a RAMONA FILMS SL.
A dicho escrito de contestación adjuntan el Registro de Actividades de Tratamiento, así
como un documento con título ?Plantilla de Evaluación de Impacto relativa a la
Protección de Datos? con el logotipo de la Autoridad Catalana de Protección de Datos
(ADPCAT).
TERCERO: En fecha 17 de febrero de 2023 se realiza nuevo requerimiento de
información al responsable de tratamiento RAMONA con la finalidad de conocer el
contrato de encargo de tratamiento con el proveedor de hosting donde se hospedan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/44
tanto la base de datos como el portal ***URL.1, así como los campos de la base de
datos almacenados cuando un usuario realiza una suscripción a un servicio.
Solicitada la ampliación del plazo concedido para atender a dicho requerimiento, se
estima y con fecha 6 de marzo de 2023, se recibe respuesta al requerimiento de
información en la que el responsable de tratamiento afirma que el portal web ***URL.1
comparte proveedor de hosting (Comvive Servidores S.L.) con los portales ***URL.5 y
***URL.6.
Se adjunta el contrato de encargo con el proveedor de hosting Comvive Servidores S.L
así como el Registro de Actividades de Tratamientos y afirman que este registro ha
sido ligeramente modificado con respecto al aportado ante esta Agencia en escrito de
30 de marzo de 2022.
CUARTO: Finalizadas las actuaciones de investigación se concluye:
1. Por afirmación del propio responsable actúa como Delegado de Protección de Datos
de esta empresa D. A.A.A.(***EMAIL.1). No consta este DPD en los sistemas de esta
Agencia.
2. El responsable RAMONA FILMS S.L acredita la existencia de contrato de encargo
de tratamiento con el proveedor de hosting COMVIVE SERVIDORES SL, del análisis
de este contrato se concluye:
a. En relación con las partes que suscriben el contrato se especifica: ?De una
parte, Daniel Salamanca Domingue , con DNI 28495399D , como representante
legal de la empresa Comvive Servidores S.L. , con CIF B91315804 y con
domicilio en C/ ***DIRECCIÓN.1, de ahora en adelante ENCARGADO DEL
TRATAMIENTO, y de otra, A.A.A., con DNI ***NIF.1, como Delegado de
protección de datos de la empresa RAMONA FILMS S.L.U, con CIF B87763405
y con domicilio en ***DIRECCIÓN.2, de ahora en adelante RESPONSABLE
DEL TRATAMIENTO?.
b. La fecha de firma es 21 de febrero de 2023.
c. En el contenido del contrato no se concreta en qué consiste el tratamiento,
apareciendo un apartado con un listado de posibles operaciones de tratamiento
junto a una casilla para marcar las que correspondan en el contrato, no
obstante, todas se han dejado sin marcar.
d. No se especifican los tipos de datos afectados por el contrato ni las
categorías de interesados.
e. En relación con la duración del contrato se especifica ?el presente acuerdo
tiene una duración indeterminada. Se dará por finalizado a la clausura del
contrato por la razón que fuere??.
3. Sobre el portal web ***URL.1 del que es responsable de tratamiento:
a. El mecanismo utilizado para declarar la edad del usuario que accede es una
ventana emergente que se muestra al acceder a la página con un botón y el
texto ?Soy mayor de 18 años ? entrar en putalocura.com?, al pulsarse el botón
por parte del usuario se guarda esta acción en una variable javascript
denominada sessionstorage que no sale del dispositivo del usuario y que
permanece en este mientras no se cierre la pestaña del navegador que se está
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/44
utilizando, el responsable de tratamiento afirma textualmente lo siguiente:
?Dicha variable sólo guarda la información suministrada por el interesado
durante la sesión de usuario no almacenando información alguna en el servidor
en el que se aloja la web. Es por ello, que cada nueva conexión a ***URL.1
requiere que sea proporcionada dicha información nuevamente?.
b. Se detecta forma de eludir este mecanismo de declaración de edad que
permite acceder a los contenidos del portal sin declararse la mayoría de edad
del usuario, para ello se tiene que pulsar en el enlace de la ventana informativa
de cookies que aparece en el primer acceso ?Puede obtener más información
AQUÍ?, y que te lleva a una nueva página donde se visualiza el contenido de la
política de cookies, posteriormente se debe hacer una reducción de zoom del
navegador para visualizar la página con un valor de zoom inferior al 100%, esto
te permite visualizar todos los menús de la parte superior del portal web y
acceder a las múltiples secciones de la web sin haber declarado la mayoría de
edad.
c. Al introducir en navegador web la URL directa de alguna de las categorías
internas que utiliza el portal web para clasificar los contenidos pornográficos
(por ejemplo ***URL.7, ***URL.8 o cualquier otra categoría), no se muestra el
mecanismo para obtener la declaración de edad del usuario, permitiéndose el
acceso libre a los contenidos pornográficos.
d. El responsable de tratamiento RAMONA FILMS SL afirma y reconoce que, a
fecha de recibir nuestro requerimiento de información (16 de septiembre de
2022), se estaban instalando cookies para las que no se ofrecía información
alguna al usuario. También afirma que se estaban instalando cookies pese a
que el usuario confirmara que no deseaba instalarlas, haciendo para ello uso
del panel de configuración de cookies que tiene habilitado el portal. Afirman que
lo anterior estaba ocurriendo debido a un error técnico y que se ha corregido de
forma inmediata, llevando a cabo las pruebas pertinentes. Por el presente
inspector se comprueba que lo anterior ya ha sido corregido.
e. Ha quedado constatado que se utilizan dos cookies para obtener la
localización del usuario, estas almacenan información del país y la región (por
ejemplo, España/Madrid) de procedencia no obteniéndose una localización
precisa del usuario. Según la política de cookies el propósito de estas cookies
de localización aproximada es poder ofrecer al usuario webcams según su
región. No se utilizan cookies para obtener la dirección IP del usuario, no
obstante, este dato sí se trata y almacena para todos aquellos usuarios que
cumplimentan el formulario de suscripción a los servicios del portal.
f. Ha quedado constatado que RAMONA FILMS SL trata los siguientes datos
personales del usuario que accede a los servicios ofrecidos por el portal:
nombre y apellidos, email, usuario y contraseña encriptada, dirección IP (la
obtienen de los suscriptores que cumplimentan formulario de pago para
suscripción a los servicios), titular de la tarjeta utilizada para el pago, código
postal, país. Los datos son almacenados por el responsable de tratamiento
RAMONA FILMS SL en una base de datos facilitada por el proveedor de
hosting COMVIVE SERVIDORES SL. Este proveedor de hosting almacena los
datos en España.
g. Ha quedado constatado la existencia de un formulario de contacto en el
portal b que solicita los datos personales nombre y email del usuario sin
recabar el consentimiento informado, tras nuestro primer requerimiento de
información el responsable afirma que se trata de un error y que ha sido
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/44
subsanado habilitando una casilla de aceptación (checkbox) que el usuario
debe aceptar, con un enlace a la política de privacidad donde se informa de la
finalidad de tratamiento y sobre los derechos de protección de datos.
h. Ha quedado constatado que RAMONA FILMS SL utiliza a la empresa
CCBILL EU Ltd, con sede en Malta, para gestionar las suscripciones de los
usuarios y actuar como pasarela de los pagos a los servicios de visualización
de contenidos, también ha quedado constatado que no existe contrato de
encargo de tratamiento con este tercero. Por parte de RAMONA FILMS SL se
afirma que tras la entrada en vigor del RGPD contactaron con esta empresa
para intentar firmar un contrato de encargo de tratamiento, y que esta empresa
les contestó remitiéndoles a la política de privacidad y afirmando que no podían
firmar este tipo de contratos, afirman que RAMONA analizó el riesgo de
incumplimiento y lo consideró bajo por lo que decidió seguir trabajando con
este proveedor.
i. Tras acceder a la web y aceptar la declaración de edad se tiene acceso a
contenidos pornográficos sin necesidad de suscribirse al servicio.
4. Sobre el portal web ***URL.2 del que es responsable de tratamiento:
Ha quedado constatado que utiliza una ventana emergente como mecanismo
para obtener la declaración de mayoría de edad del usuario, esta ventana
contiene una casilla de aceptación (checkbox) que da la opción de ?recordar la
decisión? en el dispositivo del usuario. Utiliza la cookie ?age_gate? para
almacenar la declaración del usuario, una cookie de ?sesión? que permanece
en el dispositivo del usuario hasta que este cierra el navegador, no obstante,
cuando el usuario activa la opción ?recordar decisión? esta cookie pasa a tener
una duración de almacenamiento de 365 días, permaneciendo durante todo
este tiempo en el dispositivo del usuario incluso cuando se cierra el navegador.
5. Sobre el portal web ***URL.3 del que es responsable de tratamiento:
a. Ha quedado constatado que se utiliza una ventana emergente con un texto
informativo que contiene la frase en inglés ?By using the site, you acknowledge
you are at least 18 years old?, y los botones ?Continuar? y ?Salir? a través de los
cuales el usuario declara ser mayor de edad. Se utiliza la cookie ?kt_agecheck?
para almacenar la declaración del usuario, esta cookie siempre tiene una
duración de 365 días por lo que permanece almacenada en el dispositivo del
usuario durante todo este tiempo independientemente de que se cierre el
navegador (salvo que sean borradas de forma expresa por el usuario haciendo
uso de las opciones que ofrece el navegador).
b. Al acceder al portal se muestra ventana emergente para gestionar la
instalación de cookies por parte del usuario, mostrando tres categorías
distintas: cookies técnicas (se instalan siempre), cookies analíticas (se instalan
a petición del usuario) y cookies de publicidad (se instalan a petición del
usuario). No obstante, entre las cookies que siempre se instalan existe la
cookie ?kt_ips? que recopila y almacena la dirección IP del usuario que está
accediendo al portal.
c. Existe un formulario de contacto para aquellas personas que deseen trabajar
como actores porno en las producciones gay del portal, este formulario obliga a
aceptar la política de privacidad, activando casilla de aceptación (checkbox)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/44
donde se indica que la base legítima para el tratamiento de los datos
recabados es el propio consentimiento del usuario, no obstante, entre la
información recabada hay datos que revelan la orientación sexual del usuario,
en concreto se pide textualmente los siguientes datos: nombre, edad, email,
teléfono, ciudad, país, rol gay (activo/pasivo/versátil), tamaño del pene,
fotografías.
d. Tras acceder a la web y aceptar la declaración de edad se tiene acceso a
contenidos pornográficos sin necesidad de suscribirse al servicio.
6. Sobre el portal web ***URL.4 del que es responsable de tratamiento:
a. No contiene material pornográfico y su propósito es la venta de libros y
comics.
b. Existe formulario que permite al usuario crear una cuenta en el portal y que
obtiene datos personales (nombre, apellidos, email y contraseña) sin recabar el
consentimiento informado del usuario.
c. Al tramitar la compra de cualquier artículo te muestra un enlace con la
política de privacidad que no está adaptada a la nueva normativa y hace
referencia a la Ley 15/1999.
QUINTO: De acuerdo con el informe recogido de la herramienta AXESOR, la sociedad
limitada RAMONA FILMS SL posee un capital social de 4600 euros y volumen de
ventas de 441078 euros, su actividad pertenece al área de ?producciones
cinematográficas y de video?, el último ejercicio presentado data de 2020.
SEXTO: Con fecha 11 de julio de 2023, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada:
- Por la supuesta infracción del artículo 6.1.a) del RGPD, tipificada en el artículo 83.5
de dicha norma, multa administrativa de cuantía 50.000,00 euros.
- Por la supuesta infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 de
dicha norma, multa administrativa de cuantía 2.000,00 euros.
- Por la supuesta infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 de
dicha norma, al no ajustarse al contenido mínimo exigido el contrato de encargado de
tratamiento suscrito con el proveedor de hosting COMVIVE SERVIDORES SL., multa
administrativa de cuantía 40.000,00 euros.
- Por la supuesta infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 de
dicha norma, al no existir contrato de encargado de tratamiento con CCBILL EU Ltd.,
multa administrativa de cuantía 50.000,00 euros.
- Por la supuesta infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 de
dicha norma, multa administrativa de cuantía 60.000,00 euros.
- Por la supuesta infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 de
dicha norma, multa administrativa de cuantía 10.000,00 euros.
- Por la supuesta infracción del artículo 38.6 del RGPD, tipificada en el artículo 83.4 de
dicha norma, multa administrativa de cuantía 15.000,00 euros.
- Por la supuesta infracción del artículo 22.2 de la LSSI, tipificada en el artículo 38.4.g)
de dicha norma, multa administrativa de cuantía 15.000,00 euros.
Asimismo, de confirmarse las infracciones, entre otras, procedería imponer la medida
correctiva descrita en el artículo 58.2.d) del RGPD y ordenar a RAMONA que, en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/44
plazo de un mes, establezca las medidas de seguridad adecuadas para adaptar los
sistemas o mecanismos de verificación de la edad a las exigencias legales, impidiendo
que se produzcan situaciones similares en el futuro.
SÉPTIMO: Con fecha 12 de julio de 2023 se solicitó ampliación del plazo legalmente
previsto para formular alegaciones al acuerdo de inicio notificado, ampliación que fue
concedida el 17 de julio de ese mismo año.
OCTAVO: En fecha 2 de agosto de 2023 se recibe en la Agencia Española de
Protección de Datos escrito por la parte reclamada en el que acepta la sanción
impuesta, y; por lo tanto, se abstienen de realizar alegaciones, solicitando el
fraccionamiento del pago de la sanción.
La parte reclamada en dicho escrito deja constancia de que estaban inmersos en la
realización de los cambios solicitados, pero que, para la efectiva realización de todos
ellos, más teniendo en cuenta las fechas en las que estábamos, precisarían de unas
semanas adicionales.
Concretamente, las dificultades encontradas en la integración de las soluciones
desarrolladas por terceros para la verificación de edad estimaban que requerirían de 8
a 10 semanas.
NOVENO: Con fecha 10 de agosto de 2023 esta Agencia recordó ?? a la parte
reclamada que en esta fase del procedimiento sancionador la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas no
contempla la posibilidad de fraccionar el pago de las sanciones pecuniarias.
En consecuencia y dada la aceptación de la sanción impuesta, para que las dos
reducciones pudieran ser aplicadas y se dé por terminado el procedimiento
sancionador, la parte reclamada debería ingresar en un pago único la cantidad de
145.200,00 euros ? (ciento cuarenta y cinco mil doscientos euros) ??.
DÉCIMO: Notificada la contestación a la solicitud del fraccionamiento del pago de la
sanción el mismo 10 de agosto, y habiendo concedido el plazo de 10 días para
formular alegaciones o proceder al ingreso del pago único correspondiente, se solicitó,
con fecha 23 de agosto de 2023, ampliación de dicho plazo.
La ampliación del plazo concedido para formular alegaciones fue concedida y
notificada el 30 de agosto de 2023.
UNDÉCIMO: En fecha 16 de octubre de 2023 se notificó a RAMONA FILMS S.L escrito
solicitando ACLARACIÓN y MANIFESTACIÓN EXPRESA, en el plazo de 10 días,
contados desde el día siguiente a la notificación de la presente comunicación, sobre si
desiste o renuncia a toda acción o recurso en vía administrativa contra la sanción
impuesta, a los efectos de aplicar la reducción del 20% del artículo 85 de la citada Ley.
Con la observancia de que transcurrido dicho plazo sin que RAMONA FILMS, S.L.
presente manifestación alguna, se continuaría con el procedimiento, sin derecho a la
aplicación de la citada reducción, al no haber cumplido los requisitos legalmente
establecidos para obtener el derecho a la misma.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/44
DUODÉCIMO: Notificada en fecha 6 de octubre de 2023 dicha solicitud de aclaración
conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas (en adelante,
LPACAP), con fecha 29 de octubre de 2023 se recibe en la Agencia Española de
Protección de Datos escrito de contestación en el que se RENUNCIA
EXPRESAMENTE a toda acción o recurso en vía administrativa contra la sanción
impuesta, solicitando la aplicación de la reducción del 20% sobre la sanción.
HECHOS PROBADOS
PRIMERO: Ha quedado constatado en el expediente que RAMONA es responsable de
tratamiento en los siguientes portales web:
- ***URL.1
- ***URL.2
- ***URL.3
- ***URL.4
SEGUNDO: Ha quedado acreditado que RAMONA trata los siguientes datos
personales del usuario que accede a los servicios ofrecidos por el portal: nombre y
apellidos, email, usuario y contraseña encriptada, dirección IP, titular de la tarjeta
utilizada para el pago, código postal, país, orientación sexual.
TERCERO: Consta acreditado en el expediente que en el portal web ***URL.1 el
mecanismo utilizado para declarar la edad del usuario que accede es una ventana
emergente que se muestra al acceder a la página con un botón y el texto ?Soy mayor
de 18 años ? entrar en putalocura.com?, al pulsarse el botón por parte del usuario se
guarda esta acción en una variable javascript denominada sessionstorage que no sale
del dispositivo del usuario y que permanece en este mientras no se cierre la pestaña
del navegador que se está utilizando.
También ha quedado acreditado que en dicho portal web existe forma de eludir el
mecanismo de declaración de edad, permitiendo acceder a contenidos del portal sin
declarar la mayoría de edad del usuario, para ello se tiene que pulsar en el enlace de
la
ventana informativa de cookies que aparece en el primer acceso ?Puede obtener más
información AQUÍ?, y que te lleva a una nueva página donde se visualiza el contenido
de la política de cookies, posteriormente se debe hacer una reducción de zoom del
navegador para visualizar la página con un valor de zoom inferior al 100%, esto te
permite visualizar todos los menús de la parte superior del portal web y acceder a las
múltiples secciones de la web sin haber declarado la mayoría de edad.
Consta en el expediente que, tras acceder a la web y aceptar la declaración de edad
se tiene acceso a contenidos pornográficos sin necesidad de suscribirse al servicio.
CUARTO: Ha quedado acreditado que el portal web ***URL.1 del que es responsable
de tratamiento RAMONA se utilizan dos cookies para obtener la localización del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/44
usuario, estas almacenan información del país y la región (por ejemplo,
España/Madrid) de procedencia no obteniéndose una localización precisa del usuario.
QUINTO: Consta acreditado en el expediente que portal web ***URL.2 existe un
formulario de contacto para aquellas personas que deseen trabajar como actores
porno en las producciones gay del portal, este formulario obliga a aceptar la política de
privacidad, activando casilla de aceptación (checkbox) donde se indica que la base
legítima para el tratamiento de los datos recabados es el propio consentimiento del
usuario.
No consta, la revocación del consentimiento en la política de privacidad de dicho portal
web.
SEXTO: Consta en el expediente que al acceder al portal web ***URL.2 se muestra
ventana emergente para gestionar la instalación de cookies por parte del usuario,
mostrando tres categorías distintas: cookies técnicas (se instalan siempre), cookies
analíticas (se instalan a petición del usuario) y cookies de publicidad (se instalan a
petición del usuario). No obstante, entre las cookies que siempre se instalan existe la
cookie ?kt_ips? que recopila y almacena la dirección IP del usuario que está
accediendo al portal.
SÉPTIMO: No consta la designación de un Delegado de Protección de Datos en los
sistemas de esta Agencia Española de Protección de Datos.
OCTAVO : El responsable RAMONA FILMS S.L acredita en el expediente la existencia
de contrato de encargo de tratamiento con el proveedor de hosting COMVIVE
SERVIDORES SL.
En dicho contrato se especifica: ?De una parte, , B.B.B. con DNI ***NIF.2 , como
representante legal de la empresa Comvive Servidores S.L. , con CIF B91315804 y
con domicilio en C/ ***DIRECCIÓN.2, de ahora en adelante ENCARGADO DEL
TRATAMIENTO, y de otra, A.A.A., con DNI ***NIF.1, como Delegado de protección de
datos de la empresa RAMONA FILMS S.L.U, con CIF B87763405 y con domicilio en
***DIRECCIÓN.1, de ahora en adelante RESPONSABLE DEL TRATAMIENTO?.
La fecha de firma de dicho contrato es 21 de febrero de 2023.
En el contenido del contrato no se concreta en qué consiste el tratamiento,
apareciendo un apartado con un listado de posibles operaciones de tratamiento junto a
una casilla para marcar las que correspondan en el contrato, no obstante, todas se
han dejado sin
marcar.
No se especifican los tipos de datos afectados por el contrato ni las categorías de
interesados.
En relación con la duración del contrato se especifica ?el presente acuerdo tiene una
duración indeterminada. Se dará por finalizado a la clausura del contrato por la razón
que fuere??.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/44
NOVENO: No consta en el expediente el contrato de encargo de tratamiento con
CCBILL EU Ltd (empresa que habilita formulario para la suscripción a los servicios del
portal putalocura.com).
DÉCIMO: Consta en el expediente que RAMONA acepta la sanción impuesta y
renuncia a toda acción o recurso en vía administrativa contra la misma.
FUNDAMENTOS DE DERECHO
I
Competencia
- Sobre el RGPD:
Es competente para iniciar y resolver este Procedimiento Sancionador, la Directora de
la Agencia Española de Protección de Datos, en virtud de los poderes que el art 58.2
del RGPD y, arts. 47, 64.2 y 68.1 de la Ley LOPDGDD.
- Sobre la Política de Cookies:
Es competente para iniciar y resolver este Procedimiento Sancionador, la Directora de
la Agencia Española de Protección de Datos, de conformidad con lo establecido en el
art. 43.1, párrafo segundo, de la Ley LSSI.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones Previas
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?1) «datos personales»: toda información sobre una persona física identificada o identificable
(«el interesado»); se considerará persona física identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante
un identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados
o no, como la recogida, registro, organización, estructuración, conservación,
adaptación o modificación, extracción, consulta, utilización, comunicación por transmi-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/44
sión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción?.
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad
, servicio u otro organismo que, solo o junto con otros, determine los fines y medios
del tratamiento; si el Derecho de la Unión o de los Estados miembros determina
los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos
para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados
miembros?.
En el presente supuesto, ha quedado constatado que RAMONA trata los siguientes
datos personales del usuario que accede a los servicios ofrecidos por el portal: nombre
y apellidos, email, usuario y contraseña encriptada, dirección IP, titular de la tarjeta utilizada
para el pago, código postal, país, orientación sexual?entre otros.
Los datos son almacenados por RAMONA en una base de datos facilitada por el proveedor
de hosting COMVIVE SERVIDORES SL. Este proveedor de hosting almacena
los datos en España.
RAMONA es la responsable de los tratamientos de datos referidos, toda vez que conforme
a la definición del artículo 4.7 del RGPD es el que determina la finalidad y medios
de los tratamientos realizados con las finalidades señaladas en su registro de actividades
del tratamiento.
III
Obtención de datos personales y falta de consentimiento del usuario.
El artículo 6 del RGPD, establece, sobre la licitud del tratamiento de datos personales
obtenidos de los usuarios que, el tratamiento de éstos solo será lícito si se cumple al
menos una de las condiciones indicadas en su apartado primero, entre las que se encuentra
, en su apartado a): ?que el interesado haya dado su consentimiento para el
tratamiento de sus datos personales para uno o varios fines específicos (?)?.
En cuanto al tratamiento de datos basado en el consentimiento del interesado, el artículo
7 del RGPD indica que, el responsable del tratamiento deberá ser capaz de demostrar
que el interesado consintió el tratamiento de sus datos personales. Si el consentimiento
se otorgara en el contexto de una declaración escrita que refiera también a
otros temas, se obliga a que la solicitud de consentimiento se distinga claramente de
los demás asuntos y se presente de forma inteligible, de fácil acceso y utilizando un
lenguaje claro y sencillo. Se exige, además, que se le proporcione información adicional
al interesado, entre otros, cuáles serán las categorías de datos a tratar, las finalidades
para las que se solicita el consentimiento y el derecho a retirar el consentimiento
en cualquier momento.
En cuanto al modo de obtener el consentimiento del interesado para el tratamiento en
cuestión, el considerando 32 del RGPD dispone que éste, ?debe darse mediante un
acto afirmativo claro que refleje una manifestación de voluntad libre, específica,
informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter
personal que le conciernen? y que ?el silencio, las casillas ya marcadas o la inacción
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/44
no deben constituir consentimiento?. Asimismo, se exige que el consentimiento se
otorgue ?para todas las actividades de tratamiento realizadas con el mismo o los
mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento
para todos ellos?. Por último, establece que, ?si el consentimiento del interesado se ha
de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara,
concisa y no perturbar innecesariamente el uso del servicio para el que se presta?.
Por su parte, el artículo 12.1 del citado RGPD establece, sobre los requisitos que debe
cumplir la información que el responsable del tratamiento debe poner a disposición de
los interesados al solicitarles el consentimiento, lo siguiente: ?1. El responsable del tratamiento
tomará las medidas oportunas para facilitar al interesado toda información indicada
en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos
15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y
de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño. La información será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado,
la información podrá facilitarse verbalmente siempre que se demuestre la identidad del
interesado por otros medios (?)?.
Los artículos 13 y 14 del RGPD detallan por su parte, la información que debe facilitarse
al interesado cuando los datos son recogidos directamente de éste (art. 13), o a través
de otros medios, (art. 14). En cualquier caso, la obligación de informar a las personas
interesadas sobre las circunstancias relativas al tratamiento de sus datos recae
sobre el responsable del tratamiento: a) Si los datos se obtienen directamente del interesado
, debe ponerse a su disposición la información en el momento en que se soliciten
los datos, previamente a la recogida o registro y b) si no se obtienen del propio interesado
, se le debe informar antes de un mes desde que se obtuvieron los datos personales
, o antes o en la primera comunicación con el interesado, o antes de que los
datos (en su caso) se hayan comunicado a otros destinatarios.
En el caso que nos ocupa, cuando el tratamiento de los datos personales se realiza a
través de un sitio web, la ?Política de Privacidad? de la página es el documento, a
través del cual, el titular de la web debe informar sus clientes y usuarios sobre la
gestión que realizará de los datos personales que se recopilarán al navegar en el sitio.
Por tanto, antes de que el usuario facilite sus datos personales y dé su consentimiento
al tratamiento de estos, se le debe facilitar un acceso simple y directo a la ?Política de
Privacidad? de la web. Respecto a la forma de obtener el consentimiento del
interesado, la solicitud debe ser realizada a través de un acto afirmativo claro y
voluntario, facilitando una casilla en blanco, o un mecanismo similar, donde el usuario
deba marcar o cliquear de forma explícita la aceptación de la ?Política de Privacidad?,
mediante fórmulas como: ?He leído y acepto las condiciones de la política de
privacidad? o equivalentes.
En el presente caso, sobre el tratamiento de los datos personales realizado en las
páginas webs, consta en el informe de actuaciones previas de investigación la
siguiente anomalía:
? ?Portal web ***URL.1 del que es responsable de tratamiento:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/44
? Ha quedado constatado la existencia de un formulario de
contacto en el portal ***URL.1 que solicita los datos personales
nombre y email del usuario sin recabar el consentimiento informado,
tras nuestro primer requerimiento de información el responsable
afirma que se trata de un error y que ha sido subsanado habilitando
una casilla de aceptación (checkbox) que el usuario debe aceptar,
con un enlace a la política de privacidad donde se informa de la
finalidad de tratamiento y sobre los derechos de protección de
datos?
En consecuencia, el responsable del tratamiento pudo obtener datos personales de los
usuarios sin haber obtenido previamente su consentimiento para el tratamiento de los
mismos, mediante un acto afirmativo claro y voluntario; lo que, es constitutivo de una
infracción al artículo 6.1 del RGPD antes citado.
IV
Tipificación de la infracción del artículo 6 del RGPD
La citada infracción del artículo 6 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9 (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy
graves? de la LOPDGDD indica:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del
Reglamento (UE) 2016/679.(?)?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/44
V
Sanción por la infracción del artículo 6 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
Como agravantes:
- b) la intencionalidad o negligencia en la infracción;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/44
- b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
Tal y como consta en su página web ?RAMONA FILMS, S.L. es una productora
fundada en Madrid en 2019; si bien, lleva más de 20 años creando contenidos para
internet.
Sus vocaciones son el humor, la erótica, el documental, las series, los debates, la
animación, el contenido personal?.
En consecuencia y a efectos del cumplimiento de los requisitos legalmente
establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y
aplicación de la normativa vigente en materia de protección de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el artículo
76.2 de la LOPDGDD, con respecto a la infracción cometida, al vulnerar lo establecido
en su artículo 6.1 del RGPD, permite fijar la sanción de CINCUENTA MIL EUROS
(50.000?).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en CUARENTA
MIL EUROS (40.000?).
VI
Artículo 13 del RGPD
El artículo 13 ?Información que deberá facilitarse cuando los datos personales se obtengan
del interesado? establece que:
1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable
del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información
indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante
;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales,
en su caso;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/44
f) en su caso, la intención del responsable de transferir datos personales a un
tercer país u organización internacional y la existencia o ausencia de una decisión
de adecuación de la Comisión, o, en el caso de las transferencias indicadas
en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia
a las garantías adecuadas o apropiadas y a los medios para obtener
una copia de estas o al lugar en que se hayan puesto a disposición.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento
facilitará al interesado, en el momento en que se obtengan los datos personales
, la siguiente información necesaria para garantizar un tratamiento de datos leal y
transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso
a los datos personales relativos al interesado, y su rectificación o supresión, o
la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho
a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), la existencia del derecho a retirar el
consentimiento en cualquier momento, sin que ello afecte a la licitud del
tratamiento basado en el consentimiento previo a su retirada; (?).
La política de privacidad del portal web ***URL.2, según consta en diligencia de fecha
17 de febrero de 2023, tiene el siguiente contenido:
(?).
El artículo 13.2.c) del RGPD señala, dentro de la información que deberá facilitarse
cuando los datos personales se obtengan del interesado, que ?cuando el tratamiento
esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a)? se
deberá indicar ?la existencia del derecho a retirar el consentimiento en cualquier momento
, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo
a su retirada.?.
En el presente caso, la política de privacidad indica que el tratamiento de datos está
legitimado en el consentimiento del interesado; esto es, conforme a lo dispuesto en el
ya citado artículo 6.1 a) del RGPD.
Por otro lado, tal y como consta en el informe de actuaciones previas, existe un formulario
de contacto para aquellas personas que deseen trabajar como actores porno en
las producciones gay del portal, este formulario obliga a aceptar la política de privacidad
, activando casilla de aceptación (checkbox) donde se indica que la base legítima
para el tratamiento de los datos recabados es el propio consentimiento del usuario, no
obstante, entre la información recabada hay datos que revelan la orientación sexual
del usuario, en concreto se pide textualmente los siguientes datos: nombre, edad,
email, teléfono, ciudad, país, rol gay (activo/pasivo/versátil), tamaño del pene, fotogra-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/44
fías; esto es, en estos casos el tratamiento se basa en el artículo 9, apartado 2, letra a)
del RGPD.
No obstante, en ningún momento, la revocación del consentimiento consta en la política
de privacidad de dicho portal web, lo que constituye una infracción, imputable a RAMONA
, por la infracción del artículo 13 del RGPD.
VII
Tipificación de la infracción del artículo 13 del RGPD
La citada infracción del artículo 13 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22;(?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy
graves? de la LOPDGDD indica:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos
personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE)
2016/679 y 12 de esta ley orgánica. (?)?.
VIII
Sanción por la infracción del artículo 13 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
Como agravantes:
- b) la intencionalidad o negligencia en la infracción;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/44
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
- b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
Tal y como consta en su página web ?RAMONA FILMS, S.L. es una productora
fundada en Madrid en 2019; si bien, lleva más de 20 años creando contenidos para
internet.
Sus vocaciones son el humor, la erótica, el documental, las series, los debates, la
animación, el contenido personal?.
En consecuencia y a efectos del cumplimiento de los requisitos legalmente
establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y
aplicación de la normativa vigente en materia de protección de datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/44
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el
artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo
establecido en el artículo 13 del RGPD, permite fijar una sanción de 2.000 ? (DOS MIL
EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en MIL
SEISCIENTOS EUROS (1.600?).
IX
Artículo 28 del RGPD
El artículo 28 ?Encargado del tratamiento? establece que
1.Cuando se vaya a realizar un tratamiento por cuenta de un responsable del
tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes
para aplicar medidas técnicas y organizativas apropiados, de manera que el
tratamiento sea conforme con los requisitos del presente Reglamento y garantice la
protección de los derechos del interesado.
2.El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa
por escrito, específica o general, del responsable. En este último caso, el encargado
informará al responsable de cualquier cambio previsto en la incorporación o
sustitución de otros encargados, dando así al responsable la oportunidad de oponerse
a dichos cambios.
3.El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado
respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en
particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones
documentadas del responsable, inclusive con respecto a las transferencias de
datos personales a un tercer país o una organización internacional, salvo que
esté obligado a ello en virtud del Derecho de la Unión o de los Estados
miembros que se aplique al encargado; en tal caso, el encargado informará al
responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho
lo prohíba por razones importantes de interés público;
b) garantizará que las personas autorizadas para tratar datos personales se
hayan comprometido a respetar la confidencialidad o estén sujetas a una
obligación de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/44
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a
otro encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a
través de medidas técnicas y organizativas apropiadas, siempre que sea
posible, para que este pueda cumplir con su obligación de responder a las
solicitudes que tengan por objeto el ejercicio de los derechos de los
interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones
establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del
tratamiento y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las
copias existentes a menos que se requiera la conservación de los datos
personales en virtud del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para
demostrar el cumplimiento de las obligaciones establecidas en el presente
artículo, así como para permitir y contribuir a la realización de auditorías,
incluidas inspecciones, por parte del responsable o de otro auditor autorizado
por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado
informará inmediatamente al responsable si, en su opinión, una instrucción
infringe el presente Reglamento u otras disposiciones en materia de protección
de datos de la Unión o de los Estados miembros. (?).
En el expediente consta el contrato de encargo de tratamiento suscrito por ?A.A.A.,
con DNI ***NIF.1, como Delegado de protección de datos de la empresa RAMONA
FILMS S.L.U, con CIF B87763405 y con domicilio en ***DIRECCIÓN.2, de ahora en
adelante RESPONSABLE DEL TRATAMIENTO? con el proveedor de hosting
COMVIVE SERVIDORES SL.
En el contenido de dicho contrato no se concreta en qué consiste el tratamiento,
apareciendo un apartado con un listado de posibles operaciones de tratamiento junto a
una casilla para marcar las que correspondan en el contrato, no obstante, todas se
han dejado sin marcar.
Tampoco se especifican los tipos de datos afectados por el contrato ni las categorías
de interesados.
Y sorprende, en cuanto a la duración del contrato, que se especifique que ?el presente
acuerdo tiene una duración indeterminada. Se dará por finalizado a la clausura del
contrato por la razón que fuere??.
Es evidente que, dicho contrato, no cumple con las mínimas exigencias establecidas
en la normativa vigente en materia de protección de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/44
Por otro lado, ha quedado constatado que RAMONA utiliza a la empresa CCBILL EU
Ltd, con sede en Malta, para gestionar las suscripciones de los usuarios y actuar como
pasarela de los pagos a los servicios de visualización de contenidos.
No consta en el expediente el contrato de encargo de tratamiento con CCBILL EU Ltd.
Según consta en el informe de actuaciones previas, se requirió por parte de este
Organismo el contrato de encargado de tratamiento con CCBILL EU Ltd (empresa que
habilita formulario para la suscripción a los servicios del portal putalocura.com); si bien,
por parte de RAMONA se contestó al requerimiento en los siguientes términos:
?a. El contrato de servicios con la mercantil CCBILL EU Ltd data de 2004.
b. Seleccionaron a este proveedor tras comprobar que cumplen con la normativa
vigente de protección de datos.
c. Tras la entrada en vigor del RGPD, el responsable RAMONA envía a CCBILL el
correspondiente contrato para su firma, pero que la propia empresa CCBILL les
contestó remitiendo a RAMONA a la política de privacidad alegando la imposibilidad
de gestionar dicho tipo de contratos por el elevado número de clientes que tiene.?
RAMONA analizó el riesgo de incumplimiento ante la ausencia de contrato con la
mercantil CCBILL EU Ltd y consideró el mismo como bajo, por lo que decidió seguir
trabajando con la mercantil CCBILL, aun no existiendo el contrato de encargado que
exige el RGPD.
Se considera que los hechos conocidos son constitutivos de dos infracciones,
imputables a RAMONA, por vulneración del artículo 28.3 del RGPD.
X
Tipificación de la infracción del artículo 28.3 del RGPD
La citada infracción del artículo 28.3 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43 (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/44
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un
contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del
Reglamento (UE) 2016/679. (?)?.
XI
Sanción por la infracción del artículo 28.3 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
Como agravantes:
- b) la intencionalidad o negligencia en la infracción;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/44
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el artículo
76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido
en el artículo 28.3 del RGPD, permite fijar las siguientes sanciones:
a). - Por la infracción cometida por el contrato de encargado de tratamiento suscrito
con el proveedor de hosting COMVIVE SERVIDORES SL., al no ajustarse al contenido
mínimo exigido, una sanción inicial de 40.000? (CUARENTA MIL EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en TREINTA Y
DOS MIL EUROS (32.000?).
b). - Por la infracción cometida con CCBILL EU Ltd, al no existir contrato de encargado
de tratamiento con el mismo, una sanción inicial de 50.000 ? (CINCUENTA MIL EUROS
).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en CUARENTA
MIL EUROS (40.000?).
XII
Artículo 32 del RGPD
El Artículo 32 ?Seguridad del tratamiento? del RGPD establece:
?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza
, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad
y gravedad variables para los derechos y libertades de las personas físicas, el responsable
y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya
, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/44
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos
, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo
de certificación aprobado a tenor del artículo 42 podrá servir de elemento para
demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente
artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga
acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones
del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de
los Estados miembros?.
Cuando el servicio va dirigido de manera exclusiva a mayores de edad, cuando el responsable
del tratamiento auto limite su tratamiento a mayores de edad, respecto de
servicios que pueden comportar un riesgo para los menores, entonces, también sus
esfuerzos, derivados de sus obligaciones, deben ir dirigidos a garantizar que sólo se
traten datos de mayores de edad.
El tratamiento de datos personales de un niño como persona vulnerable es un riesgo,
resultando que en el caso de los niños los riesgos que afectarían a cualquier colectivo
se amplifican por su situación de vulnerabilidad, por lo que los peligros per se son mayores
que si afectan a un mayor de edad. Ello implica que, desde el enfoque de riesgos
, pilar fundamental del RGPD, haya que habilitar las medidas técnicas y organizativas
de seguridad apropiadas para evitar la materialización de riesgo muy alto causando
una lesión en sus derechos y libertades.
Este último es el supuesto en el que nos encontramos, en el que RAMONA FILMS, SL,
pone de manifiesto el contenido de la web está dirigido exclusivamente a adultos y que
es obligatorio ser mayor de edad.
La entidad decide que las categorías de interesados se limitan a los mayores de edad,
por lo que le corresponde implementar las medidas técnicas y organizativas de seguridad
apropiadas para que el tratamiento se efectúe únicamente respecto de interesados
mayores de edad. Ello conlleva que también implemente las medidas técnicas y
organizativas apropiadas para que los datos de los menores de edad no sean tratados.
En el informe de actuaciones previas de investigación se indica que,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/44
?se constata la ausencia de controles adicionales para verificar la edad de los visitantes
de la web, más allá de la simple activación por el usuario de un botón indicando
que es mayor de edad en una ventana informativa para acceder libremente a la web?.
Si observamos las limitaciones o cautelas previstas en la página web, estas son claramente
insuficientes para limitar el acceso a los menores, tanto de forma directa a la
página web (usuarios no registrados) como para registrarse en la página web (usuarios
registrados).
Si bien hay presentes mecanismos para ?declarar? la edad, no existe ninguno para
comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría
una medida apropiada para evitar la materialización de los altos riesgos en los derechos
y libertades de los menores que están presentes. Amén de que el tratamiento se
ajuste a lo decidido por el responsable del tratamiento (obligatoriedad de ser mayor de
edad) y únicamente se traten datos de las categorías de interesados ?mayores de
edad?.
Además, en el presente caso ha quedado constatado que los sistemas o mecanismos
de declaración de la edad de los usuarios que acceden a los portales web de los que
era responsable del tratamiento de datos personales con facilidad se pueden eludir.
Según consta en el informe de actuaciones previas de investigación:
? El mecanismo utilizado para declarar la edad del usuario que accede es una ventana
emergente que se muestra al acceder a la página con un botón y el texto ?Soy mayor
de 18 años ? entrar en putalocura.com?, al pulsarse el botón por parte del usuario se
guarda esta acción en una variable javascript denominada sessionstorage que no sale
del dispositivo del usuario y que permanece en este mientras no se cierre la pestaña
del navegador que se está utilizando, el responsable de tratamiento afirma textualmente
lo siguiente: ?Dicha variable sólo guarda la información suministrada por el interesado
durante la sesión de usuario no almacenando información alguna en el servidor
en el que se aloja la web. Es por ello, que cada nueva conexión a ***URL.1 requiere
que sea proporcionada dicha información nuevamente??Se detecta forma de eludir
este mecanismo de declaración de edad que permite acceder a los contenidos del portal
sin declararse la mayoría de edad del usuario??.
?Ha quedado constatado que utiliza una ventana emergente como mecanismo para
obtener la declaración de mayoría de edad del usuario, esta ventana contiene una casilla
de aceptación (checkbox) que da la opción de ?recordar la decisión? en el dispositivo
del usuario??.
?Ha quedado constatado que se utiliza una ventana emergente con un texto informativo
que contiene la frase en inglés ?By using the site, you acknowledge you are at least
18 years old?, y los botones ?Continuar? y ?Salir? a través de los cuales el usuario declara
ser mayor de edad...?.
En consecuencia, los mecanismos establecidos por el responsable del tratamiento
para declarar la edad no sólo son ineficaces porque no sirven para impedir que accedan
menores de edad (verificar la edad), sino que además no funcionan al poder ser
fácilmente eludidos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/44
En conclusión, es evidente que RAMONA no disponía de las medidas de seguridad razonables
en función de los posibles riesgos estimados, impedir el acceso a dichos portales
web a los menores de edad, objetivo último del responsable del tratamiento toda
vez que se habilita una casilla de declaración de edad.
Se considera que los hechos conocidos son constitutivos de una infracción, imputable
a RAMONA, por vulneración del artículo 32 del RGPD.
XIII
Tipificación de la infracción del artículo 32 del RGPD
La citada infracción del artículo 32 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43; (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
(?)
f) La falta de adopción de aquellas medidas técnicas y organizativas que
resulten apropiadas para garantizar un nivel de seguridad adecuado al
riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del
Reglamento (UE) 2016/679?.
XIV
Sanción por la infracción del artículo 32 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/44
Como agravantes:
- b) la intencionalidad o negligencia en la infracción;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
- b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
Tal y como consta en su página web ?RAMONA FILMS, S.L. es una productora
fundada en Madrid en 2019; si bien, lleva más de 20 años creando contenidos para
internet.
Sus vocaciones son el humor, la erótica, el documental, las series, los debates, la
animación, el contenido personal?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/44
En consecuencia y a efectos del cumplimiento de los requisitos legalmente
establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y
aplicación de la normativa vigente en materia de protección de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el
artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo
establecido en el artículo 32 del RGPD, permite fijar una sanción de 60.000 ?
(SESENTA MIL EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en CUARENTA Y
OCHO MIL EUROS (48.000?).
XV
Artículo 37 del RGPD
El artículo 37 ?Designación del delegado de protección de datos? establece:
?1. El responsable y el encargado del tratamiento designarán un delegado de protección
de datos siempre que:
(?)
c) las actividades principales del responsable o del encargado consistan en el tratamiento
a gran escala de categorías especiales de datos con arreglo al artículo 9 o de
datos personales relativos a condenas e infracciones penales a que se refiere el artículo
10.?
En este mismo sentido, el artículo 34 LOPDD ?Designación de un delegado de protección
de datos? establece que:
?1. Los responsables y encargados del tratamiento deberán designar un delegado de
protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento
(UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
(?)
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas
conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente
datos personales a gran escala.
(?)
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez
días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades
autonómicas de protección de datos, las designaciones, nombramientos y ceses de
los delegados de protección de datos tanto en los supuestos en que se encuentren
obligadas a su designación como en el caso en que sea voluntaria.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/44
En el presente caso y dada la actividad de RAMONA, es evidente la obligación de
designar un Delegado de Protección de Datos; además, consta, por afirmación del
propio responsable del tratamiento que actúa como Delegado de Protección de Datos
de RAMONA D. A.A.A.(***EMAIL.1).
Si bien, no consta este Delegado de Protección de Datos en los sistemas de esta
Agencia pese a la obligación de comunicarlo en el plazo de diez días a este
organismo.
Se considera que los hechos conocidos son constitutivos de una infracción, imputable
a RAMONA, por vulneración del artículo 37 del RGPD.
XVI
Tipificación del artículo 37 del RGPD
La citada infracción del artículo 37 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos
8,11,25 a 39, 42 y 43 (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?1. En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
v) El incumplimiento de la obligación de designar un delegado de protección de
datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del
Reglamento (UE)2016/679 y el artículo 34 de esta ley orgánica. (?)?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/44
XVII
Sanción por la infracción del artículo 37 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
Como agravantes:
- b) la intencionalidad o negligencia en la infracción;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
- b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/44
Tal y como consta en su página web ?RAMONA FILMS, S.L. es una productora
fundada en Madrid en 2019; si bien, lleva más de 20 años creando contenidos para
internet.
Sus vocaciones son el humor, la erótica, el documental, las series, los debates, la
animación, el contenido personal?.
En consecuencia y a efectos del cumplimiento de los requisitos legalmente
establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y
aplicación de la normativa vigente en materia de protección de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el
artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo
establecido en el artículo 37 del RGPD, permite fijar una sanción de 10.000 ? (DIEZ
MIL EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en OCHO MIL
EUROS (8.000?).
XVIII
Artículo 38.6 del RGPD
El artículo 38 ?Posición del delegado de protección de datos? establece:
(?)
6. El delegado de protección de datos podrá desempeñar otras funciones y
cometidos. El responsable o encargado del tratamiento garantizará que dichas
funciones y cometidos no den lugar a conflicto de intereses.
En el presente caso, consta un contrato de encargo de tratamiento con el proveedor
de hosting COMVIVE SERVIDORES SL, en el que se recoge textualmente:
?En relación con las partes que suscriben el contrato se especifica: ?De una parte,
B.B.B. , con DNI ***NIF.2 , como representante legal de la empresa Comvive
Servidores S.L. , con CIF B91315804 y con domicilio en C/ ***DIRECCIÓN.2, de ahora
en adelante ENCARGADO DEL TRATAMIENTO, y de otra, A.A.A., con DNI ***NIF.1,
como Delegado de protección de datos de la empresa RAMONA FILMS S.L.U, con
CIF B87763405 y con domicilio en ***DIRECCIÓN.1, de ahora en adelante
RESPONSABLE DEL TRATAMIENTO?
A la vista del contrato de encargado de tratamiento se infiere una clara confusión entre
las figuras del responsable del tratamiento y la del Delegado de Protección de Datos.
El Delegado de Protección de datos está actuando y firmando como responsable del
tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/44
El Delegado de Protección de Datos no puede informar, asesorar y supervisar un
contrato de encargado de tratamiento, en los términos del art. 39 del RGPD, funciones
encomendadas específicamente al mismo por el RGPD, y a la vez suscribir aquello
sobre lo que hay que informar, asesorar y supervisar, porque supone un conflicto de
intereses, tal y como ha sucedido en el presente caso.
Se considera que los hechos conocidos son constitutivos de una infracción, imputable
a RAMONA, por vulneración del artículo 38.6 del RGPD
XIX
Tipificación de la infracción del artículo 38.6 del RGPD
La citada infracción del artículo 38.6 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2% como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos
8,11,25 a 39, 42 y 43 (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?1. En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
w) No posibilitar la efectiva participación del delegado de protección de
datos en todas las cuestiones relativas a la protección de datos personales,
no respaldarlo o interferir en el desempeño de sus funciones. (?)?
XX
Sanción por la infracción del artículo 38.6 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 83.3 del RGPD:
Como agravantes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/44
- b) la intencionalidad o negligencia en la infracción;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuestos en la (?).
- e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
La parte reclamada ha sido sancionada con anterioridad por incumplimientos del
RGPD.
En el marco del procedimiento sancionador PS/00483/2021, se dictó resolución de 1
de marzo de 2022 de terminación voluntaria del procedimiento sancionador, al
acogerse a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento
de responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por la infracción de los artículos 13 del
Reglamento General de Protección de Datos (RGPD), al recabar datos personales de
los usuarios de las páginas web de su titularidad sin haberla adaptado a la normativa
vigente en materia de protección de datos y 22.2 de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), respecto a
las irregularidades detectadas en la ?Política de Cookies? de la página web se dictó
resolución.
En el marco del procedimiento sancionador PS/00098/2022, se dictó resolución de 5
de abril de 2022 de terminación voluntaria del procedimiento sancionador, al acogerse
a las dos reducciones previstas en el art. 85 de la LPACAP (reconocimiento de
responsabilidad y pago voluntario).
Se sancionaba a RAMONA FILMS, SL, por no contestar a los requerimientos de
información notificados en el marco del E/02426/2021, por infracción del art. 58.1 del
RGPD.
- b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
Tal y como consta en su página web ?RAMONA FILMS, S.L. es una productora
fundada en Madrid en 2019; si bien, lleva más de 20 años creando contenidos para
internet.
Sus vocaciones son el humor, la erótica, el documental, las series, los debates, la
animación, el contenido personal?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/44
En consecuencia y a efectos del cumplimiento de los requisitos legalmente
establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y
aplicación de la normativa vigente en materia de protección de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el
artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo
establecido en el artículo 38.6 del RGPD, permite fijar una sanción de 15.000 ?
(QUINCE MIL EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en DOCE MIL
EUROS (12.000?).
XXI
Política de Cookies
Artículo 22.2 LSSI
El artículo 22.2 de la LSSI, establece que:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición de que
los mismos hayan dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para
aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros
adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo
fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el
destinatario?.
El artículo 22.2 de la LSSI exige que se facilite a los usuarios información clara y
completa sobre la utilización de los dispositivos de almacenamiento y recuperación de
datos y, en particular, sobre los fines del tratamiento de los datos. Esta información
debe facilitarse con arreglo a lo dispuesto el RGPD. Por tanto, cuando la utilización de
una cookie conlleve un tratamiento que posibilite la identificación del usuario, los
responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias
establecidas por la normativa sobre protección de datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las
obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias
para la intercomunicación de los terminales y la red y aquellas que prestan un servicio
expresamente solicitado por el usuario.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/44
En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales.
Estas cookies quedarían excluidas del ámbito de aplicación del artículo 22.2 de la
LSSI, y, por lo tanto, no sería necesario informar ni obtener el consentimiento sobre su
uso.
Por el contrario, será necesario informar y obtener el consentimiento previo del usuario
antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de
tercera parte, de sesión o persistentes.
? Sobre el banner de información de cookies existente en la primera capa
(página principal):
El banner sobre cookies de la primera capa deberá incluir información referente a la
identificación del editor responsable del sitio web, en el caso de que sus datos
identificativos no figuren en otras secciones de la página o que su identidad no pueda
desprenderse de forma evidente del propio sitio. Deberá incluir también una
Identificación genérica de las finalidades de las cookies que se utilizarán y si éstas son
propias o también de terceros, sin que sea necesario identificarlos en esta primera
capa. Además, deberá incluir información genérica sobre el tipo de datos que se van a
recopilar y utilizar en caso de que se elaboren perfiles de los usuarios y deberá incluir
información y el modo en que el usuario puede aceptar, configurar y rechazar la
utilización de cookies, con la advertencia, en su caso, de que, si se realiza una
determinada acción, se entenderá que el usuario acepta el uso de las cookies.
A parte de la información genérica sobre cookies, en este banner deberá existir un
enlace claramente visible dirigido a una segunda capa informativa sobre el uso de las
cookies. Este mismo enlace podrá utilizarse para conducir al usuario al panel de
configuración de cookies, siempre que el acceso al panel de configuración sea directo,
esto es, que el usuario no tenga que navegar dentro de la segunda capa para
localizarlo.
? Sobre el consentimiento a la utilización de cookies no necesarias:
Para la utilización de las cookies no exceptuadas, será necesario obtener el
consentimiento del usuario de forma expresa. Este consentimiento se puede obtener
haciendo clic en, ?aceptar? o infiriéndolo de una inequívoca acción realizada por el
usuario que denote que el consentimiento se ha producido inequívocamente. Por
tanto, la mera inactividad del usuario, hacer scroll o navegar por el sitio web, no se
considerará a estos efectos, una clara acción afirmativa en ninguna circunstancia y no
implicará la prestación del consentimiento por sí misma. Del mismo modo, el acceso a
la segunda capa si la información se presenta por capas, así como la navegación
necesaria para que el usuario gestione sus preferencias en relación con las cookies en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/44
el panel de control, tampoco es considerada una conducta activa de la que pueda
derivarse la aceptación de cookies.
No está permitido tampoco la existencia de ?Muros de Cookies?, esto es, ventanas
emergentes que bloquean el contenido y el acceso a la web, obligando al usuario a
aceptar el uso de las cookies para poder acceder a la página y seguir navegando.
Si la opción es dirigirse a una segunda capa o panel de control de cookies, el enlace
debe llevar al usuario directamente a dicho panel de configuración. Para facilitar la
selección, en el panel podrá implementarse, además de un sistema de gestión
granular de cookies, dos botones más, uno para aceptar todas las cookies y otro para
rechazarlas todas. Si el usuario guarda su elección sin haber seleccionado ninguna
cookie, se entenderá que ha rechazo todas las cookies. En relación con esta segunda
posibilidad, en ningún caso son admisibles las casillas premarcadas a favor de aceptar
cookies.
Si para la configuración de las cookies, la web remite a la configuración del navegador
instalado en el equipo terminal, esta opción podría ser considerada complementaria
para obtener el consentimiento, pero no como único mecanismo. Por ello, si el editor
se decanta por esta opción, debe ofrecer además y en todo caso, un mecanismo que
permita rechazar el uso de las cookies y/o hacerlo de forma granular, en su propia
página web.
Por otra parte, la retirada del consentimiento prestado previamente por el usuario
deberá poder ser realizado en cualquier momento. A tal fin, el editor deberá ofrecer un
mecanismo que posibilite retirar el consentimiento de forma fácil en cualquier
momento. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario
tenga acceso sencillo y permanente al sistema de gestión o configuración de las
cookies.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la
utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará
información sobre las herramientas proporcionadas por el navegador y los terceros,
debiendo advertir que, si el usuario acepta cookies de terceros y posteriormente desea
eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los
terceros para ello.
? Sobre la información suministrada en la segunda capa (Política de Cookies):
En la Política de Cookies se debe proporcionar información más detallada sobre las
características de las cookies, incluyendo información sobre, la definición y función
genérica de las cookies (qué son las cookies); sobre el tipo de cookies que se utilizan
y su finalidad (qué tipos de cookies se utilizan en la página web); la identificación de
quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada
solo por el editor y/o también por terceros con identificación de estos últimos; el
periodo de conservación de las cookies en el equipo terminal; y si es el caso,
información sobre las transferencias de datos a terceros países y la elaboración de
perfiles que implique la toma de decisiones automatizadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/44
En el presente caso y según consta en el informe de actuaciones previas, se han
observado las siguientes anomalías:
? Sobre el portal web ***URL.1 del que es responsable de tratamiento RAMONA:
El responsable de tratamiento RAMONA FILMS SL afirma y reconoce que, a
fecha de recibir nuestro requerimiento de información de fecha 16 de
septiembre de 2022, se estaban instalando cookies para las que no se ofrecía
información alguna al usuario. También afirma que se estaban instalando
cookies pese a que el usuario confirmara que no deseaba instalarlas, haciendo
para ello uso del panel de configuración de cookies que tiene habilitado el
portal. Afirman que lo anterior estaba ocurriendo debido a un error técnico y
que se ha corregido de forma inmediata, llevando a cabo las pruebas
pertinentes.
Ha quedado constatado que se utilizan dos cookies para obtener la localización
del usuario, estas almacenan información del país y la región (por ejemplo
España/Madrid) de procedencia no obteniéndose una localización precisa del
usuario. Según la política de cookies el propósito de estas cookies de
localización aproximada es poder ofrecer al usuario webcams según su región.
No se utilizan cookies para obtener la dirección IP del usuario, no obstante,
este dato sí se trata y almacena para todos aquellos usuarios que
cumplimentan el formulario de suscripción a los servicios del portal.
? Sobre el portal web ***URL.2 del que es responsable de tratamiento:
Al acceder al portal se muestra ventana emergente para gestionar la
instalación de cookies por parte del usuario, mostrando tres categorías
distintas: cookies técnicas (se instalan siempre), cookies analíticas (se instalan
a petición del usuario) y cookies de publicidad (se instalan a petición del
usuario). No obstante, entre las cookies que siempre se instalan existe la
cookie ?kt_ips? que recopila y almacena la dirección IP del usuario que está
accediendo al portal.
XXII
Tipificación de la infracción en la Política de Cookies
La citada infracción del artículo 22 de la LSSI supone la comisión de una infracción
leve según lo dispuesto en el artículo 38.4 de la LSSI:
?g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se
hubiera facilitado la información u obtenido el consentimiento del destinatario del
servicio en los términos exigidos por el artículo 22.2.(?)?
A este respecto, el artículo 39 de la citada ley establece que:
?1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán
las siguientes sanciones:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/44
c) Por la comisión de infracciones leves, multa de hasta 30.000 euros. (?)?
XXIII
Sanción en la Política de Cookies
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía,
procede graduar la sanción a imponer de acuerdo con los siguientes criterios que
establece el artículo 40 de la LSSI:
Como agravantes:
- a) La existencia de intencionalidad.;
En este mismo sentido, el Tribunal Supremo viene entendiendo que existe imprudencia
siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de
ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que,
en el caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto, en los términos
dispuesto en la (?).
El balance de las circunstancias contempladas en el artículo 40 de la LSSI y el artículo
39 de la LSSI, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 22.2 de la LSSI, permite fijar una sanción de 15.000 ? (QUINCE MIL EUROS).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, dicha sanción lleva aparejada una reducción de un 20% del importe total
de la misma.
Con la aplicación de esta reducción, la sanción quedaría establecida en DOCE MIL
EUROS (12.000?).
XXIV
Reconocimiento de responsabilidad
De conformidad con lo dispuesto en el artículo 85 de la LPACAP y habiendo
reconocido su responsabilidad dentro del plazo otorgado para la formulación de
alegaciones, las sanciones que procede imponer en el presente procedimiento llevan
aparejada una reducción de un 20% del importe total de la misma.
XXV
Adopción de medidas
El artículo 58.2 del RGPD establece los poderes correctivos de los que dispone una
autoridad de control. El apartado d) del precepto citado establece que puede consistir
en ?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/44
En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y
los hechos que han dado lugar a la vulneración de la normativa de protección de
datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, pues estas
medidas han de ser tendentes a solventar los incumplimientos detectados por la
AEPD, cumpliendo con el RGPD.
Considerando las infracciones declaradas, y ante el reconocimiento de responsabilidad
declarado por RAMONA, sin ánimo de ser exhaustivo, procede imponer a la misma
entre otras, de acuerdo con lo establecido en el artículo 58.2.d) del RGPD, las
medidas consistentes en:
- Comunicación a esta AEPD del nombramiento del Delegado de Protección de
Datos de la entidad.
- Adecuación del contenido del contrato de encargado de tratamiento suscrito
con el proveedor de hosting COMVIVE SERVIDORES SL. a la normativa de
protección de datos.
- Suscripción de contrato de encargado de tratamiento con la empresa CCBILL
EU Ltd de conformidad con las previsiones de la normativa de protección de
datos.
- Adecuación la política de privacidad a la normativa vigente en materia de
protección de datos.
- Adecuación la política de cookies a la normativa vigente de aplicación.
- Establecimiento de las medidas de seguridad adecuadas para adaptar los
sistemas o mecanismos de verificación de la edad a las exigencias legales.
- Acreditación de la habilitación de una casilla de aceptación (checkbox) que el
usuario debe aceptar, con un enlace a la política de privacidad.
En relación a la última cuestión, de una simple lectura de la resolución administrativa
se observa que, en relación con los mecanismos implantados por RAMONA para
acceder a sus páginas web, estos permiten acceder a los contenidos del portal y tratar
los datos personales sin verificarse efectivamente la mayoría de edad del usuario,
puesto que se accede simplemente declarado la edad a través de una ventana
emergente que se muestra al acceder a la página, pulsando un botón con el texto ?Soy
mayor de 18 años?.
Los mecanismos establecidos por el responsable del tratamiento sólo sirven para
declarar la edad y no sólo son ineficaces porque no sirven para impedir que accedan
menores de edad (verificar la edad) y que se traten sus datos personales, sino que
además no funcionan al poder ser fácilmente eludidos.
Y todo ello sin perjuicio de que el tipo de procedimientos, mecanismos o instrumentos
concretos para implementarlas corresponda a la parte sancionada, pues es el
responsable del tratamiento quien conoce plenamente organización y ha de decidir, en
base a la responsabilidad proactiva y el enfoque de riesgos, cómo cumplir con el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/44
RAMONA informó a esta Agencia Española de Protección de Datos, en el mismo
escrito en el que reconoció su responsabilidad, que estaban inmersos en la realización
de los cambios solicitados, pero que, para la efectiva realización de todos ellos, más
teniendo en cuenta las fechas en las que estábamos, precisarían de unas semanas
adicionales.
Concretamente, las dificultades encontradas en la integración de las soluciones
desarrolladas por terceros para la verificación de edad estimaban que requerirían de 8
a 10 semanas.
Si bien; en ningún momento, se ha acreditado la implementación de dichos cambios ni
se ha informado de su correcta implementación a la AEPD, cuestión por la que se
imponen las medidas en la presente resolución.
Se advierte que no atender la orden de adopción de medidas impuestas por este
organismo en la resolución sancionadora podrá ser considerado como una infracción
administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su
artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior
procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a RAMONA FILMS, S.L., con NIF B87763405,
- Por la infracción del artículo 6.1.a) del RGPD, tipificada en el artículo 83.5 de dicha
norma, multa administrativa de cuantía 40.000,00 euros
- Por la infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 de dicha
norma, multa administrativa de cuantía 1.600,00 euros.
- Por la infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 de dicha
norma, al no ajustarse al contenido mínimo exigido el contrato de encargado de
tratamiento suscrito con el proveedor de hosting COMVIVE SERVIDORES SL, multa
administrativa de cuantía 32.000,00 euros.
- Por la infracción del artículo 28.3 del RGPD, tipificada en el artículo 83.4 de dicha
norma, al no existir contrato de encargado de tratamiento con CCBILL EU Ltd, multa
administrativa de cuantía 40.000,00 euros.
- Por la infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 de dicha
norma, multa administrativa de cuantía 48.000,00 euros
- Por la infracción del artículo 37 del RGPD, tipificada en el artículo 83.4 de dicha
norma, multa administrativa de cuantía 8.000,00 euros.
- Por la infracción del artículo 38.6 del RGPD, tipificada en el artículo 83.4 de dicha
norma, multa administrativa de cuantía 12.000,00 euros.
- Por la infracción del artículo 22.2 de la LSSI, tipificada en el artículo 38.4.g) de dicha
norma, multa administrativa de cuantía 12.000,00 euros.
SEGUNDO: ORDENAR a RAMONA FILMS, S.L., con NIF B87763405, que en virtud
del artículo 58.2.d) del RGPD, en el plazo de un mes, informe de:
- Nombramiento del Delegado de Protección de Datos de la entidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/44
- Contenido del contrato de encargado de tratamiento suscrito con el proveedor
de hosting COMVIVE SERVIDORES SL. conforme a la normativa de protección
de datos.
- Contrato de encargado de tratamiento suscrito con la empresa CCBILL EU Ltd
de conformidad con las previsiones de la normativa de protección de datos.
- Adecuación la política de privacidad a la normativa vigente en materia de
protección de datos.
- Adecuación la política de cookies a la normativa vigente de aplicación.
- Establecimiento de las medidas de seguridad adecuadas para adaptar los
sistemas o mecanismos de verificación de la edad a las exigencias legales.
- Acreditación de la habilitación de una casilla de aceptación (checkbox) que el
usuario debe aceptar, con un enlace a la política de privacidad.
TERCERO: NOTIFICAR la presente resolución a RAMONA FILMS, S.L.
CUARTO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el
recurso potestativo de reposición (un mes a contar desde el día siguiente a la
notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad.
Se advierte al sancionado que deberá hacer efectiva la sanción impuesta una vez que
la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de
procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00 0000 0000 0000 0000 0000 (BIC/Código SWIFT:
XXXXXXXXXXX), abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/44
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
938-250923
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es