Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00482-2021 de 18 de abril de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 45 min
Órgano: Agencia Española de Protección de Datos
Fecha: 18/04/2022
Num. Resolución: PS-00482-2021
Cuestión
Sector:1 / 22
Expediente Nº: PS/00482/2021
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 7 de febrero de 2022 , la Directora de la...
Contestacion
1/22
? Expediente Nº: PS/00482/2021
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 7 de febrero de 2022, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a JIMBO NETWORKS,
S.L. (en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:
Procedimiento Nº: PS/00482/2021
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas de oficio por la Agencia Española de Protección de
Datos ante la entidad, JIMBO NETWORKS, S.L. con CIF.: B66209784, titular de la
página web: ***URL.1 por la presunta vulneración de la normativa de protección de
datos: Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de
27/04/16, relativo a la Protección de las Personas Físicas en lo que respecta al
Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (RGPD) y la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
Garantía de los Derechos Digitales (LOPDGDD), y Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) y atendiendo
a los siguientes:
HECHOS
PRIMERO: Con fecha Con fecha 11/03/21, la Directora de la Agencia Española de
Protección de Datos acordó la apertura de actuaciones previas de investigación frente
a la entidad, JIMBO NETWORKS, S.L., titular de la página web: ***URL.1, atendiendo
a los poderes de investigación que la autoridad de control puede disponer al efecto,
establecidos en el apartado 1), del artículo 58 el RGPD, y en relación con el posible
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/22
tratamiento de datos los personales de menores de catorce años, obtenidos durante la
navegación por la página web y el posible perfilado de los mismos.
SEGUNDO: Con fecha 13/03/21, por parte de esta Agencia, en relación con lo
estipulado en el artículo 65.4 de la Ley LOPDGDD, se envió a la entidad, JIMBO
NETWORKS, S.L. escrito de solicitud de información sobre los siguientes puntos: - La
gestión de los riesgos asociado a las actividades de tratamiento en que se pudiera
producir un acceso ilegítimo de un menor a los contenidos que ofrecen; - La
evaluación de impacto relativa a la protección de datos respecto del análisis de
riesgos; - Medidas técnicas y organizativas implantadas en su entidad que suponga
limitación de acceso de menores de edad a los contenidos ofrecidos; - Limitaciones
para que los menores accedan dichos contenidos; - Política de privacidad y ubicación
pública de la misma; - Medidas técnicas y organizativas a tomar en su entidad ante
eventual comprobación de un acceso indebido de un menor a sus contenidos; -
Medidas técnicas y organizativas que reflejen la protección de datos personales y los
procesos de verificación y evaluación de la eficacia de las medidas y sobre si realizan
perfilado de los datos personales de quienes acceden a sus contenidos.
TERCERO: Con fecha 15/04/21, la entidad, JIMBO NETWORKS, S.L., remite a esta
Agencia, escrito de contestación, en el cual, entre otras, indica lo siguiente:
?La página web ***URL.1 es una página de enlaces que no alberga contenido de
clase alguna, sólo enlaces a videos que están en otras páginas. El acceso a la página
es totalmente gratuito y anónimo, y por tanto no se registra de modo alguno la persona
que accede a la misma.
El modelo de negocio se basa en la publicidad que se exhibe en la página o en los
videos, pagando el anunciante una cantidad de dinero por el número de visitas que
recibe la página en función de los clics que hacen los visitantes en la página, siendo
estos totalmente anónimos para nuestra empresa.
Tal como se ha dicho, esta empresa no hace ningún tratamiento de datos ni
automatizado, ni manual, ni de ningún otro tipo, ni hay incorporación de datos a fichero
de clase alguna, porque, como se ha dicho, es totalmente anónima, e indiferente al
sexo, la edad, raza o religión de la persona que accede a la página web, y
simplemente se contabiliza el número de pulsaciones que se hacen en los enlaces de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/22
la misma, de forma totalmente anónima, y se factura a los anunciantes de acuerdo con
las estadísticas de tráfico que la página ha generado en internet.
Por ello, entiende esta parte que no le es de aplicación esta Ley Orgánica, y, en
consecuencia, tampoco el artículo 7, relativo el consentimiento de los menores de
edad, al que hace referencia su escrito, que se ubica dentro del título II de la Ley
Orgánica, aplicable sólo a aquellas personas físicas o jurídicas, que hagan un
tratamiento de los datos que reciben, pero, según nuestro criterio, no es aplicable a
nuestro negocio.
A pesar de que consideramos que no es de aplicación la Ley Orgánica, estamos
concienciados con el peligro que supone la exposición de los menores al contenido
pornográfico que alberga nuestra página. Es por ello por lo que, desde el primer día
hemos tenido presente la información de esta agencia de protección de datos, y
concretamente las notas técnicas publicada para la protección del menor en internet.
Tal como se describe en aquel documento, la protección de los menores ha de
empezar por la familia, y deben ser los adultos, padres y tutores, los que tomen las
medidas técnicas oportunas para conseguir la protección que se pretende, que las
hay. Desde navegadores a plugins que limitan el acceso, hasta cortafuegos físicos o
bloqueos desde las operadoras de internet.
Para ello desde siempre en el código fuente de nuestra página se encuentra insertada
la etiqueta que advierte del contenido reservado para adultos en nuestra web, a fin de
que los programas de control parental, así como los buscadores seguros, y otras
opciones existentes para evitar el acceso a contenido inapropiado puedan identificar
correctamente nuestro contenido y bloqueado.
También al pie de nuestra página web se encuentra la advertencia ?Si no eres mayor
de edad debas abandonar este sitio: ?las políticas de privacidad contienen
expresamente que, "El contenido de la página es erótica y/o pornográfico. susceptible
de herir la sensibilidad del usuario. Si es usted menor de edad deberá abandonarla de
inmediato?, así como la declaración de la 18 USC. 2257 Record Keeping
Requimments Compliance Statement que recoge la declaración de que todas las
personas que actúan en los videos son, o eran mayores de edad en el momento de la
creación del material exhibido.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/22
Finalmente, para responder a todos los puntos requeridos en su escrito, hay que
responder que no hay registro de actividades de tratamiento en las que se pueda
producir acceso ilegítimo de persona, toda vez que no se hace tratamiento de datos
de clase alguna, y que, por ello, a lo interesado en punto tercero no puede existir
vulneración de los derechos y libertades de las personas físicas, pues quienes
acceden a la página web lo hacen de forma totalmente anónima.
Sirva este último punto también para responder al punto octavo de su escrito, y
reiterar que no se hace seguimiento de clase alguno de las personas que acceden a la
página, desconociendo por tanto los datos relativos a su edad, raza, o sexo, a la vida
o las orientaciones sexuales de las personas que acceden a la página. La página web
tiene insertada desde el diseño de su código, tanto en la página principal, como
cualesquiera otras subpáginas. tanto la etiqueta con los metadatos que la identifican
como una página para adultos como la política de privacidad.
Respecto a las medidas a tomar para evitar el acceso de menores. y en relación el
punto séptimo, la empresa realiza periódicamente revisiones del código fuente, y se
asegura de que las etiquetas de metadatos cumplen con el estándar de le RTA, así
como otras palabras que pueden alertar a los programas de ciberseguridad, antivirus,
etc., del contenido sexual de la página.
Se acompañan dos capturas de pantalla, la primera es de la página principal de la
web, en la que se puede ver el detalle del contenido del pie de página de la web con la
advertencia de que es un sitio para mayores de edad, junto con la política de
privacidad, de cookies y la advertencia de la 2577 Statement. Este pie de página,
como se ha dicho, aparece siempre en todas las páginas de la web.
CUARTO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web ***URL.1:
a).- Sobre el tratamiento de datos personales:
1.- El acceso a la web es gratuito y libre, no requiriéndose registro alguno para la
visualización de los vídeos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/22
2.- En la parte inferior de la página principal existe el siguiente mensaje de
advertencia: ?Si no eres mayor de edad debes abandonar este sitio?.
3.- El apartado >, situado en la parte inferior de la página principal,
***URL.2, se ofrece la siguiente dirección de correo electrónico: ***EMAIL.1, o
contactar con el responsable de la web.
4.- El apartado >, situado en la parte inferior de la página
principal, ***URL.3, se ofrece la siguiente información: ?Si te interesa contar a fin de
mes con un sueldo extra trabajando desde tu casa como actualizador web no dudes
en enviarnos un mail a ***EMAIL.1 y te ampliaremos todos los detalles o dudas que
tengas al respecto?.
b).- Sobre la Política de Privacidad:
1.- Si se accede a la >, a través del enlace existente en la
parte inferior de la página principal, la web redirige al usuario a una nueva página:
***URL.4, donde se informa de lo siguiente:
?(?) POLÍTICA DE PRIVACIDAD: En cumplimiento de la Ley Orgánica para la
Protección de Datos Personales (LOPD), te informamos que los datos que nos facilitas
a través de los diferentes formularios de este sitio Web pasarán a formar parte de
ficheros informatizados propiedad de bingoporno.com con el fin exclusivo para lo que
se ha solicitado. Por ejemplo, en el caso del formulario de contacto para responder a
tus consultas. La respuesta a las preguntas marcadas con un * (asterisco) son
obligatorias, el resto son voluntarias. La negativa a responder a las preguntas
formuladas tendrá como consecuencia la imposibilidad por nuestra parte de ponernos
en contacto contigo o formalizar nuestra relación comercial para la prestación de los
diferentes servicios. Te garantizamos en todo caso la posibilidad de ejercitar tu
derecho de acceso, rectificación, cancelación y oposición de tus datos, notificándolo a
bingoporno.com mediante el envío de un correo electrónico en la sección de contacto.
CONTACTO: Puedes contactar a través de este formulario. El propietario de esta
página web es ?Persona Física?, la exposición pública de mis datos personales en la
página web debe estar tutelada por la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal basándome en el Artículo 1. Objeto. La
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/22
presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor e intimidad
personal y familiar. El webmaster de esta web trata así de evitar la utilización no
autorizada de sus datos personales por terceras personas amparándose en la Ley de
protección de datos, y desea cumplir con las obligaciones de la LSSI.
La finalidad principal de la LSSI sugiere un fichero informatizado de tratamiento de
datos personales a nivel de la Red en España que la Ley orgánica de Protección de
datos en el Titulo IV, capítulo I define como Ficheros de Titularidad pública, puesto
que se trata de un fichero informatizado de datos personales a nivel de la red que
asimismo debería estar controlado por la Agencia de protección de Datos de España,
ente independiente de la Administración. Para cumplir con los requisitos de la LSSI y
sin ánimo de entorpecer la aplicación de dicha ley, el webmaster de esta web enviará
la información de sus datos personales a toda persona o ente que tenga un interés
directo y licito desarrollando el Art 4.1 de la Ley de protección de datos. Los datos de
carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a
dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con
el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido: Para ello puede solicitarlo previa exposición de motivos en el e-mail:
***EMAIL.1?.
c).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, cuyos dominios son los siguientes:
- Del dominio ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas
al dominio del responsable de la web (***URL.1)
- Del dominio ?***DOMINIO.1?: c-tag; impressions __uvt
- Del dominio ?***DOMINIO.2?: c-tag __uvt
2.- No existe ningún tipo de banner que informe sobre cookies en la página principal o
primera capa de la web.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no son
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de estas, de una forma granular o por grupos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/22
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: ***URL.5, donde se proporciona información sobre, qué son las cookies y qué
tipos de cookies existen.
Sobre las cookies utilizadas en la web indica lo siguiente:
?Ponemos a tu disposición un cuadro que recoge las cookies insertadas tanto
por bingoporno como por terceros en el Sitio Web, con la finalidad de
informarle claramente sobre las mismas. Las cookies serán eliminadas
automáticamente en el dispositivo en que se instalen una vez transcurra el
tiempo que en ellas se indique para su caducidad: FINALIDAD: Medir y
analizar el tráfico del sitio web; COOKIE: Google Analytics; TITULARIDAD:
Google; CADUCIDAD: indefinido?.
Sobre el consentimiento, se indica lo siguiente:
?Las cookies empleadas en el Sitio Web no suponen un riesgo para tu
privacidad puesto que no procesan datos personales. ***URL.1 utiliza las
cookies para mejorar la experiencia de navegación de los usuarios y obtener
información sobre la utilización del Sitio Web. Mediante la navegación por el
Sitio Web usted acepta y consiente que. almacene cookies en su ordenador o
dispositivo electrónico con las finalidades previamente mencionadas.
El Sitio Web es accesible sin necesidad de que usted acepte las cookies,
aunque su desactivación puede obstaculizar su navegación e imposibilitar la
utilización de algunas de las funcionalidades del Sitio Web?.
No existe ningún mecanismo que posibilite el rechazo de todas las cookies no técnicas
o la posibilidad de gestionar las cookies de forma granular. Para la gestión de las
cookies se proporciona la siguiente información:
?Usted puede permitir, consultar, bloquear o eliminar las cookies instaladas en
su ordenador o dispositivo por nosotros o por terceras partes configurando las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/22
opciones en su navegador. Ponemos a su disposición los siguientes links,
donde podrá obtener información sobre cómo hacerlo (?)?.
QUINTO: De conformidad con las evidencias de que se dispone, la Inspección de
Datos de esta Agencia Española de Protección de Datos considera que, lo indicado
anteriormente, no cumple con la normativa vigente, por lo que se procede la apertura
del presente procedimiento sancionador.
FUNDAMENTOS DE DERECHO
I.- Competencia:
- Sobre la ?Política de Privacidad?:
Es competente para iniciar y resolver este Procedimiento Sancionador, la Directora de
la Agencia Española de Protección de Datos, en virtud de los poderes que el art 58.2
del RGPD y arts. 47, 64.2 y 68.1 de la Ley LOPDGDD.
Por su parte, los apartados 1) y 2), del artículo 58 el RGPD, enumeran,
respectivamente, los poderes de investigación y correctivos que la autoridad de control
puede disponer al efecto, mencionando en el punto 1.d), el de: ?notificar al
responsable o encargo del tratamiento las presuntas infracciones del presente
Reglamento? y en el 2.i), el de: ?imponer una multa administrativa con arreglo al
artículo 83, además o en lugar de las medidas mencionadas en el presente apartado,
según las circunstancias de cada caso.?.
- Sobre la Política de Cookies:
Es competente para iniciar y resolver este Procedimiento Sancionador, la Directora de
la Agencia Española de Protección de Datos, de conformidad con lo establecido en el
art. 43.1, párrafo segundo, de la de la Ley, LSSI.
II.- Sobre la no existencia de una casilla de aceptación, que genere un registro del consentimiento
en el formulario de compra.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/22
Se ha podido comprobar que la página web puede obtener datos personales de los
usuarios de la misma, como mínimo su correo electrónico, a través del enlace
> situado en la parte inferior de la página principal, ***URL.2 , donde se
ofrece la posibilidad de ponerse en contacto con el responsable de la página, enviando
un correo electrónico a, ***EMAIL.1, con el asunto a tratar.
El responsable de la página web también tiene la posibilidad de obtener datos
personales de los usuarios de la misma, a través del enlace: nosotros>>, situado en la parte inferior de la página principal, ***URL.3 donde se
ofrece la posibilidad de trabajar como ?actualizador web?, previo envío de un correo
electrónico a, ***EMAIL.1, solicitando información sobre las condiciones del trabajo.
En este sentido, el artículo 6 del RGPD, establece, sobre la licitud del tratamiento de
datos personales, que el tratamiento de éstos solo será lícito si se cumple al menos
una de las condiciones indicadas en el apartado primero, entre las que se encuentra:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos (?)?.
Pero este consentimiento debe darse una vez obtenido del responsable del tratamiento
, la información legalmente establecida sobre las finalidades a las que destinará los
datos personales, (artículo 13 del RGPD), y debe darse mediante un acto voluntario,
afirmativo y libre. Por tanto, el silencio o la inacción no se consideran ?haber dado un
consentimiento implícito?, para el tratamiento de los datos personales.
Antes de facilitar los datos personales y dar el consentimiento al tratamiento de estos,
el responsable debe solicitar al interesado que lea la política de privacidad del sitio
web, a través de un enlace directo a la ?Política de Privacidad? y que la acepte mediante
un acto de confirmación voluntario y libre.
Por todo ello, el hecho de que el responsable de la página web en cuestión pueda
obtener datos personales de los usuarios sin haber obtenido previamente su
consentimiento para el tratamiento de estos puede ser constitutivo de una infracción al
artículo 6.1 del RGPD antes citado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/22
En este sentido, el artículo 72.1.b) de la LOPDGDD, considera muy grave, a efectos
de prescripción, ?El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento?.
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
El balance de las circunstancias contempladas, con respecto a la infracción cometida,
al vulnerar lo establecido en su artículo 6.1 del RGPD, permite fijar una sanción inicial
de 5.000 euros, (cinco mil euros), al realizar un tratamiento ilícito de los datos
personales obtenidos a través de los correos electrónicos recibidos de los usuarios de
la web.
Junto a ello y de conformidad con el artículo 58.2 del RGPD, la medida correctiva que
podría imponerse al titular de la página web consistiría en ordenarle que, tome las medidas
necesarias para adecuarla a la normativa vigente, con la inclusión en la misma
de un mensaje de advertencia para lea la ?Política de Privacidad? y de un mecanismo
que posibilite a los usuarios proporcionar su consentimiento para el tratamiento de sus
datos personales, de una forma afirmativa y voluntaria, previo al envió de sus datos
personales al responsable de la web.
II.- Sobre la ?Política de Privacidad? de la web :
Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal, la web redirige al usuario a una nueva página: ***URL.4,
donde la información que se proporciona no se ajusta a la que debería facilitarse
según el artículo 13 del RGPD, pues toda ella está referida y enfocada a la derogada
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD).
De acuerdo con lo establecido en el artículo 99 del RGPD, la entrada en vigor y
aplicación del nuevo RGPD fue: ?a los veinte días de su publicación en el Diario Oficial
de la Unión Europea (25/05/16)? y sería aplicable a partir del 25 de mayo de 2018?. Por
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/22
tanto, a partir del 25/05/18, quedó derogada la LOPD, aplicándose obligatoriamente,
desde esa fecha, el vigente RGPD y a partir del 07/12/18 la nueva LOPDGDD.
En aplicación del RGPD, su artículo 13, establece la información que se debe
proporcionar al interesado en el momento de obtener sus datos personales. Esto es:
?1.Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará: a)
la identidad y los datos de contacto del responsable y, en su caso, de su
representante; b) los datos de contacto del delegado de protección de datos, en su
caso; c) los fines del tratamiento a que se destinan los datos personales y la base
jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6, apartado 1,
letra f), los intereses legítimos del responsable o de un tercero; e) los destinatarios o
las categorías de destinatarios de los datos personales, en su caso; f) en su caso, la
intención del responsable de transferir datos personales a un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación
de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o
el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o
apropiadas y a los medios para obtener una copia de estas o al hecho de que se
hayan prestado.
2.Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente: a) el plazo durante el cual se conservarán los datos personales o,
cuando no sea posible, los criterios utilizados para determinar este plazo; b) la
existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación de su
tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los
datos; c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada; d) el derecho a presentar una reclamación ante
una autoridad de control; e) si la comunicación de datos personales es un requisito
legal o contractual, o un requisito necesario para suscribir un contrato, y si el
interesado está obligado a facilitar los datos personales y está informado de las
posibles consecuencias de que no facilitar tales datos; f) la existencia de decisiones
automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/22
aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento
para el interesado?.
De conformidad con las evidencias obtenidas y sin perjuicio de lo que resulte de la
instrucción, los hechos expuestos podrían suponer la vulneración, por parte de la
entidad titular de la página web en cuestión, del artículo 13 del RGPD.
Respecto a esto, el artículo 72.1.h) de la LOPDGDD, considera muy grave, a efectos
de prescripción, ?la omisión del deber de informar al afectado acerca del tratamiento
de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD?
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
De acuerdo con los preceptos indicados, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción a imponer en
el presente caso, se considera que procede graduar la sanción de acuerdo con los
siguientes criterios agravantes que establece el artículo 83.2 del RGPD:
- La duración de la infracción, teniendo en cuenta que la normativa vigente, esto
es, el RGPD, es de obligado cumplimiento desde el 25/05/18, y que desde esa
fecha quedó derogada la LOPD, por la que se sigue rigiendo aún la página web
en cuestión, (apartado a).
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida, al vulnerar lo establecido en el artículo 13 del
RGPD, posibilita fijar una sanción inicial de 5.000 euros (cinco mil euros).
Por otra parte, y de conformidad con el artículo 58.2 del RGPD, la medida correctiva
que podría imponerse al responsable de la página web en cuestión consistiría en
ordenarle que tomase las medidas necesarias para adaptar la política de privacidad a
lo estipulado en la normativa vigente, esto es, al RGPD y a la LOPDGDD.
III.- Sobre la ?Política de Cookies? de la web:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/22
a).- Sobre la instalación de cookies en el equipo terminal previo al
consentimiento:
El artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información
clara y completa sobre la utilización de los dispositivos de almacenamiento y
recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.
Esta información debe facilitarse con arreglo a lo dispuesto el RGPD. Por tanto,
cuando la utilización de una cookie conlleve un tratamiento que posibilite la
identificación del usuario, los responsables del tratamiento deberán asegurarse del
cumplimiento de las exigencias establecidas por la normativa sobre protección de
datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las
obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias
para la intercomunicación de los terminales y la red y aquellas que prestan un servicio
expresamente solicitado por el usuario.
En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales. Estas cookies quedarían
excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería
necesario informar ni obtener el consentimiento sobre su uso.
Por el contrario, será necesario informar y obtener el consentimiento previo del usuario
antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de
tercera parte, de sesión o persistentes.
En la comprobación realizada en la página web en cuestión se pudo constatar que, al
entrar en su página principal y sin realizar ningún tipo de acción sobre la misma, se
utilizan cookies no necesarias sin el previo consentimiento del usuario.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/22
b).- Sobre el banner de información de cookies existente en la primera capa
(página principal):
El banner sobre cookies de la primera capa deberá incluir información referente a la
identificación del editor responsable del sitio web, en el caso de que sus datos identificativos
no figuren en otras secciones de la página o que su identidad no pueda desprenderse
de forma evidente del propio sitio. Deberá incluir también una Identificación
genérica de las finalidades de las cookies que se utilizarán y si éstas son propias o
también de terceros, sin que sea necesario identificarlos en esta primera capa. Además
, deberá incluir información genérica sobre el tipo de datos que se van a recopilar
y utilizar en caso de que se elaboren perfiles de los usuarios y deberá incluir información
y el modo en que el usuario puede aceptar, configurar y rechazar la utilización de
cookies, con la advertencia, en su caso, de que, si se realiza una determinada acción,
se entenderá que el usuario acepta el uso de las cookies.
A parte de la información genérica sobre cookies, en este banner deberá existir un enlace
claramente visible dirigido a una segunda capa informativa sobre el uso de las
cookies. Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración
de cookies, siempre que el acceso al panel de configuración sea directo, esto
es, que el usuario no tenga que navegar dentro de la segunda capa para localizarlo.
En el caso que nos ocupa, se ha podido constatar que no existe ningún tipo de banner
que informe sobre cookies en la página principal o primera capa de la web.
c).- Sobre el consentimiento a la utilización de cookies no necesarias:
Para la utilización de las cookies no exceptuadas, será necesario obtener el consentimiento
del usuario de forma expresa. Este consentimiento se puede obtener haciendo
clic en, ?aceptar? o infiriéndolo de una inequívoca acción realizada por el usuario que
denote que el consentimiento se ha producido inequívocamente. Por tanto, la mera
inactividad del usuario, hacer scroll o navegar por el sitio web, no se considerará a estos
efectos, una clara acción afirmativa en ninguna circunstancia y no implicará la
prestación del consentimiento por sí misma. Del mismo modo, el acceso a la segunda
capa si la información se presenta por capas, así como la navegación necesaria para
que el usuario gestione sus preferencias en relación con las cookies en el panel de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/22
control, tampoco es considerada una conducta activa de la que pueda derivarse la
aceptación de cookies.
No está permitido tampoco la existencia de ?Muros de Cookies?, esto es, ventanas
emergentes que bloquean el contenido y el acceso a la web, obligando al usuario a
aceptar el uso de las cookies para poder acceder a la página y seguir navegando.
Si la opción es dirigirse a una segunda capa o panel de control de cookies, el enlace
debe llevar al usuario directamente a dicho panel de configuración. Para facilitar la selección
, en el panel podrá implementarse, además de un sistema de gestión granular
de cookies, dos botones más, uno para aceptar todas las cookies y otro para rechazarlas
todas. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, se
entenderá que ha rechazo todas las cookies. En relación con esta segunda posibilidad,
en ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies.
Si para la configuración de las cookies, la web remite a la configuración del navegador
instalado en el equipo terminal, esta opción podría ser considerada complementaria
para obtener el consentimiento, pero no como único mecanismo. Por ello, si el editor
se decanta por esta opción, debe ofrecer además y en todo caso, un mecanismo que
permita rechazar el uso de las cookies y/o hacerlo de forma granular, en su propia página
web.
Por otra parte, la retirada del consentimiento prestado previamente por el usuario deberá
poder ser realizado en cualquier momento. A tal fin, el editor deberá ofrecer un
mecanismo que posibilite retirar el consentimiento de forma fácil en cualquier momento.
Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso
sencillo y permanente al sistema de gestión o configuración de las cookies.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la
utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información
sobre las herramientas proporcionadas por el navegador y los terceros, debiendo
advertir que, si el usuario acepta cookies de terceros y posteriormente desea
eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los
terceros para ello.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/22
En el presente caso, se ha podido constatar que, no existe ningún mecanismo que
posibilite rechazar las cookies que no sean técnicas o necesarias. Tampoco existe
ningún panel de control que posibilitase la gestión de las cookies de una forma
granular o por grupos.
d).- Sobre la información suministrada en la segunda capa (Política de
Cookies):
En la Política de Cookies se debe proporcionar información más detallada sobre las
características de las cookies, incluyendo información sobre, la definición y función genérica
de las cookies (qué son las cookies); sobre el tipo de cookies que se utilizan y
su finalidad (qué tipos de cookies se utilizan en la página web); la identificación de
quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada
solo por el editor y/o también por terceros con identificación de estos últimos; el periodo
de conservación de las cookies en el equipo terminal; y si es el caso, información
sobre las transferencias de datos a terceros países y la elaboración de perfiles que implique
la toma de decisiones automatizadas.
En el caso que nos ocupa, de la información sobre cookies que se proporciona en la
segunda capa de la web, se ha detectado que no se proporciona la identificación de
las cookies que se utilizan, si estás son propias o de terceros, ni del tiempo que estarán
activas en el equipo terminal.
IV- Infracción en la Política de Cookies:
Las deficiencias detectadas en la ?Política de Cookies? de la página web en cuestión,
podrían suponer por parte de la entidad JIMBO NETWORKS, S.L, la comisión de la
infracción del artículo 22.2 de la LSSI, pues establece que:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición de que
los mismos hayan dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular, sobre los fines del
tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/22
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para
aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros
adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo
fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de
un servicio de la sociedad de la información expresamente solicitado por el
destinatario?.
Esta Infracción está tipificada como ?leve? en el artículo 38.4 g), de la citada Ley, que
considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del
destinatario del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser
sancionada con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada
LSSI.
Tras las evidencias obtenidas en la fase de investigaciones previas, y sin perjuicio de
lo que resulte de la instrucción, se considera que procede graduar la sanción a
imponer de acuerdo con los siguientes criterios agravantes, que establece el art. 40 de
la LSSI:
- La existencia de intencionalidad, expresión que ha de interpretarse como
equivalente a grado de culpabilidad de acuerdo con la Sentencia de la
Audiencia Nacional de 12/11/07 recaída en el Recurso núm. 351/2006,
correspondiendo a la entidad JIMBO NETWORKS, S.L la determinación de un
sistema de obtención del consentimiento informado que se adecue al mandato
de la LSSI.
Con arreglo a dichos criterios, se estima adecuado imponer una sanción inicial de
5.000 euros, (cinco mil euros), por la infracción del artículo 22.2 de la LSSI, respecto
de la política de cookies realizada en la página web en cuestión.
De conformidad con el art 58.2 del RGPD, la medida correctiva que podría imponerse
a la entidad responsable de la página web consistiría en ordenarle que, tomase las
medidas necesarias sobre la página web de su titularidad para adecuarla a la normativa
vigente, incluyendo un mecanismo que imposibilite la utilización de cookies no necesarias
antes de que el usuario dé su consentimiento para ello; incluyendo un mecanismo
que posibilite rechazar todas las cookies o realizarlo de forma granular a través
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/22
de un panel de control y ampliar la información suministrada en el banner de la página
principal y en la ?Política de Cookies? adaptándola a la normativa vigente.
V-Sanción total inicial:
Con arreglo a los criterios expuestos en los puntos anteriores, la sanción total inicial a
imponer sería de 15.000 euros (quince mil euros): 5.000 euros (cinco mil euros) por la
infracción del artículo 6.1 del RGPD; 5.000 euros (cinco mil euros), por la infracción del
artículo 13 del RGPD y 5.000 euros (cinco mil euros), por la infracción del artículo 22.2
de la LSSI.
Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia
Española de Protección de Datos,
SE ACUERDA:
INICIAR: PROCEDIMIENTO SANCIONADOR a la entidad, JIMBO NETWORKS, S.L.
con CIF.: B66209784, titular de la página web: ***URL.1, por las siguientes
infracciones:
- Infracción del artículo 6.1 del RGPD, por la utilización ilícita de los datos
personales obtenidos.
- Infracción del artículo 13 del RGPD, al recabar datos personales de los
usuarios de las páginas web de su titularidad sin haberla adaptado a la
normativa vigente en materia de protección de datos.
- Infracción del artículo 22.2 de la LSSI, respecto a las irregularidades
detectadas en la ?Política de Cookies? de la página web.
NOMBRAR: como Instructor a D. A.A.A., y Secretaria, en su caso, a Dª B.B.B., indicando
que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo establecido
en los art 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del
Sector Público (LRJSP).
INCORPORAR: al expediente sancionador, a efectos probatorios, la reclamación interpuesta
por el reclamante y su documentación, los documentos obtenidos y generados
por la Subdirección General de Inspección de Datos durante la fase de investigaciones
, todos ellos parte del presente expediente administrativo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/22
QUE: a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas, la sanción que
pudiera corresponder sería de:
- 5.000 euros (cinco mil euros),por infracción del artículo 6.1 del RGPD, sin
perjuicio de lo que resulte de la instrucción del presente expediente.
- 5.000 euros (cinco mil euros), por la infracción del artículo 13 del RGPD, sin
perjuicio de lo que resulte de la instrucción del presente expediente.
- 5.000 euros (cinco mil euros) por la infracción del artículo 22.2 de la LSSI, sin
perjuicio de lo que resulte de la instrucción del presente expediente.
NOTIFICAR: el presente acuerdo de inicio de expediente sancionador a la entidad,
JIMBO NETWORKS, S.L, otorgándole un plazo de audiencia de diez días hábiles para
que formule las alegaciones y presente las pruebas que considere convenientes.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en lo sucesivo, LPACAP).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la
sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del plazo
otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo que
llevará aparejada una reducción de un 20% de la sanción que proceda imponer en el
presente procedimiento, equivalente en este caso a 3.000 euros. Con la aplicación de
esta reducción, la sanción quedaría establecida en 12.000 euros, resolviéndose el procedimiento
con la imposición de esta sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que supondrá
una reducción de un 20% del importe de esta, equivalente en este caso a 3.000
euros. Con la aplicación de esta reducción, la sanción quedaría establecida en 12.000
euros y su pago implicará la terminación del procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento
de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/22
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 9.000 euros (nueve mil euros).
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa
contra la sanción.
Si se optara por proceder al pago voluntario de cualquiera de las cantidades señaladas
anteriormente, deberá hacerlo efectivo mediante su ingreso en la cuenta Nº ES00
0000 0000 0000 0000 0000 abierta a nombre de la Agencia Española de Protección de
Datos en el Banco CAIXABANK, S.A., indicando en el concepto el número de referencia
del procedimiento que figura en el encabezamiento de este documento y la causa
de reducción del importe a la que se acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de Inspección
para continuar con el procedimiento en concordancia con la cantidad ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha
del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido
ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones;
de conformidad con lo establecido en el artículo 64 de la LOPDGDD.
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP
, contra el presente acto no cabe recurso administrativo alguno.
Mar España Martí
Directora de la Agencia Española de Protección de Datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/22
>>
SEGUNDO: En fecha 24 de febrero de 2022, la parte reclamada ha procedido al pago
de la sanción en la cuantía de 9000 euros haciendo uso de las dos reducciones
previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el
reconocimiento de la responsabilidad.
TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a
la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción y el reconocimiento de responsabilidad en relación con
los hechos a los que se refiere el Acuerdo de Inicio.
FUNDAMENTOS DE DERECHO
I
De acuerdo con lo establecido en el artículo 43.1 de la Ley 34/2002, de 11 de Julio, de
servicios de la sociedad de la información y de comercio electrónico (en adelante
LSSI), los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento
General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de
control y según lo establecido en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de
5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este
procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
Por último, la Disposición adicional cuarta "Procedimiento en relación con las
competencias atribuidas a la Agencia Española de Protección de Datos por otras
leyes" establece que: "Lo dispuesto en el Título VIII y en sus normas de desarrollo
será de aplicación a los procedimientos que la Agencia Española de Protección de
Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por
otras leyes."
II
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/22
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.?
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00482/2021, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a JIMBO NETWORKS, S.L..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
936-240122
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es