Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00554-2021 de 22 de marzo de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 195 min
Órgano: Agencia Española de Protección de Datos
Fecha: 22/03/2023
Num. Resolución: PS-00554-2021
Cuestión
1 / 76- Procedimiento Nº: PS/00554/2021
RESOLUCIÓN PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas de oficio por la Agencia Española de Protección de
Datos ante la entidad , BURWEBS S.L., con CIF.: B09414913, titular de la página web
***URL.1 , por la...
Contestacion
1/76
? - Procedimiento Nº: PS/00554/2021
RESOLUCIÓN PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas de oficio por la Agencia Española de Protección de
Datos ante la entidad, BURWEBS S.L., con CIF.: B09414913, titular de la página web
***URL.1, por la presunta vulneración de la normativa de protección de datos:
Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27/04/16,
relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de
Datos Personales y a la Libre Circulación de estos Datos (RGPD) y la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los
Derechos Digitales (LOPDGDD), y Ley 34/2002, de 11 de julio, de Servicios de la
Sociedad de la Información y Comercio Electrónico (LSSI) y atendiendo a los
siguientes:
ANTECEDENTES
PRIMERO: Con fecha Con fecha 11/03/21, la Directora de la Agencia Española de
Protección de Datos acordó la apertura de actuaciones previas de investigación frente
a la entidad, BURWEBS S.L., titular de la página web ***URL.1, atendiendo a los
poderes de investigación que la autoridad de control puede disponer al efecto,
establecidos en el apartado 1), del artículo 58 el RGPD, y en relación con el posible
tratamiento de datos personales de menores de catorce años, obtenidos durante la
navegación por la página web y el posible perfilado de los mismos, abriéndose para
ello el expediente: E/02422/2021.
SEGUNDO: Con fecha 24/03/21 y 13/04/21, por parte de esta Agencia, en relación con
lo estipulado en el artículo 65.4 de la Ley LOPDGDD, se envió a la entidad, sendos
escritos de solicitud de información sobre la gestión de la página web en lo referente al
tratamiento de datos personales, indicando expresamente en los mismos, lo siguiente:
?(?) se solicita que, en el plazo de quince días hábiles presente la siguiente
información relativa a los posibles accesos de menores a la página web
***URL.1, la recogida de datos de menores de edad y las actuaciones
realizadas para evitarlo: - La gestión de los riesgos asociado a las actividades
de tratamiento en que se pudiera producir un acceso ilegítimo de un menor a
los contenidos que ofrecen; - La evaluación de impacto relativa a la protección
de datos respecto del análisis de riesgos; - Medidas técnicas y organizativas
implantadas en su entidad que suponga limitación de acceso de menores de
edad a los contenidos ofrecidos; - Limitaciones para que los menores accedan
dichos contenidos; - Política de privacidad y ubicación pública de la misma; -
Medidas técnicas y organizativas a tomar en su entidad ante eventual
comprobación de un acceso indebido de un menor a sus contenidos; - Medidas
que reflejen la protección de datos personales y los procesos de verificación y
evaluación de la eficacia de las medidas y sobre si realizan perfilado de los
datos personales de quienes acceden a sus contenidos (?)?.
TERCERO: Con fecha 26/04/21, la entidad BURWEBS S.L, remite a esta Agencia,
escrito de contestación a la solicitud realizada, en el cual, entre otras, indica lo
siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/76
?La mercantil BURWEBS S.L., es propietaria de diferentes dominios en
internet, creadas con contenido para adultos. Entiendo que se hace referencia
a una de nuestras páginas web, y en este momento no sabemos exactamente
a qué página o dominio se refiere la Autoridad de control que pueda incumplir.
Precisaríamos de más exactitud para poder otorgar más información acerca de
lo que nos solicita en su escrito.
De todos modos y a modo general cabe indicar que BURWEBS S.L., no trata
datos de carácter personal de menores. 2.- En relación con la mercantil
BURWEBS S.L. solamente tratamos datos de carácter personal, en un
apartado concreto ?regístrate gratis?, y para acceder se solicita un nombre de
USUARIO y CONTRASEÑA, y un MAIL. Para poder tener acceso a ese
apartado concreto, se recogen mediante un formulario datos básicos de
contacto. No solicitando en nuestros formularios de recogida de datos, ningún
dato sensible que pueda ser encuadrado en el Art. 9 del RGPD 679/2016.
El enlace a la página web que recoge el apartado regístrate gratis es en https://
***URL.1: He realizado una captura de pantalla para que se pueda ver que está
totalmente recogida en esta web nuestra.
Contestando a su requerimiento en el punto número OCHO, tampoco hacemos
ningún PERFILADO DE DATOS, en relación con los datos que puedan darnos
nuestros clientes, en todo caso nuestras cookies, tal y como indica nuestra
política de cookies lo que hacen es un análisis de las visitas que recibimos,
principalmente donde navegan los usuarios en nuestras páginas. Nuestro
negocio y así lo decimos es la publicidad que insertan en nuestras webs
marcas del mercado de las páginas web de adultos.
La mercantil BURWEBS S.L., cuenta con mi asesoramiento como Delegado de
Protección de datos, y con un departamento formado y encargado de fiscalizar
que en todas nuestras webs se informe adecuadamente y se cumpla,
informando tanto del contenido adulto, como la obligatoriedad de tener más de
18 años.
Se cuenta con un clic afirmativo, advirtiendo que el sitio web es sólo para
adultos, informando que para entrar en el mismo es obligatorio tener al menos
18 años y ser mayor de edad en la jurisdicción en la que te encuentres, todo
ello con la finalidad de poner una barrera de entrada en una web de contenido
para adultos.
En su momento, se decidió implementar dicha medida como medida de control
de acceso o por lo menos avisar mediante esta medida que el contenido es
para adultos. Hacemos referencia incluso por escrito diciendo ?tienes que tener
más de 18 años para verlo? , en nuestras webs, al igual que avisamos que todo
lo que aparece en la página web esta realizado por profesionales (actores y
actrices) y que todos son mayores de 18 años. Hecho que recogemos en cada
uno de los contratos que tenemos para poder grabar las películas.
Independientemente del clic obligatorio para entrar.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/76
En el caso de nuestra web que hemos utilizado para contestar este escrito,
aunque las demás son del mismo modo, colgamos videos de otras productoras
con las que tenemos acuerdos para la exhibición de estos, y en ningún caso,
se cede ningún dato de miembros a esas productoras, ni son encargados del
tratamiento de estos.
En relación con su requerimiento en el PUNTO DOS Y TRES, en su momento
se evaluó la información que se recogía y trataba de forma automatizada en el
apartado MIEMBROS, y desde luego, se comprobó en relación sobre la
necesidad de realizar un PIA o EIPD, en relación con los datos que
tratábamos.
Creímos conveniente que la información que almacenábamos no justificaba el
tener obligación de realizar una EIPD. Lo qué si se realizó, tal como indica la
legislación sobre protección de datos, fue un análisis de riesgos en relación
con la privacidad y manejo de datos y siempre en relación con la obtención,
tratamiento, conservación de los datos que le adjuntamos en documento
aparte.
DOCUMENTO Nº 1 ANALISIS DE RIESGOS EN DATOS CLIENTES
MIEMBROS En relación con el RIESGO DE ACCESO DE MENORES en
nuestras páginas web: En su momento, vimos que podía ser un problema, pero
un problema que no debería estar en nuestro ámbito. Se analizo el Código
Civil, y el control que nuestra entidad podía tener sobre los actos de menores
de edad que se conectasen a nuestras web, llegando a la conclusión que la
medida a tomar más drástica y eficaz en España era utilizar el DNI electrónico
para acceder a las páginas web, pero esta solución a priori eficaz y posible de
implementar a todas las personas que se conectan en nuestras webs, es
imposible de implementar por varios motivos: a) Las personas que se conectan
no están todas ubicadas en España en países que carecen de ese sistema de
identificación valido. b) En España (si nos limitamos a personas que acceden
desde España) la tenencia y uso del DNI es obligatoria desde los 14 años.
Por lo que se decidió en su momento, como no podía ser de otra forma, que
conforme al art. 1903 del CC, en relación con la responsabilidad es de las
personas que ostentan la Patria Potestad, dado que son menores de edad.
Creímos que no podíamos asumir un riesgo que no podíamos controlar por lo
que el riesgo era asumible implementando un sistema de control por nuestra
parte donde se recordase que las páginas eran para mayores de edad y tener
un banner indicando si el usuario es mayor o menor de edad.
Al igual que los menores no pueden (por capacidad legal), contratar un servicio
de internet, ni ser responsables de lo que hagan nuestra limitación, conforme a
nuestro análisis de riesgos se queda en el momento que los padres tienen un
deber de vigilancia y responsabilidad sobre lo que los menores realizan. Art.
154 y 269 del Código Civil, existe una Responsabilidad In vigilando pudiendo
implantar en el uso aplicaciones dirigidas específicamente a niños que impiden
que el menor acceda a otro tipo de aplicaciones o alguna de las aplicaciones
de control parental que ofrecen los propios desarrolladores de sistemas
operativos, operadores de telefonía y otras empresas, como control de tiempo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/76
de uso de dispositivos, bloqueo de acceso a aplicaciones, control de tiempo de
uso por aplicación, control de actividad en redes sociales, gestión remota para
padres e incluso localización GPS del menor.
Como alternativa a las aplicaciones de control parental, existen otras
herramientas que permiten evitar el acceso a contenido inapropiado mediante
la configuración de servidores DNS que filtrarán y no resolverán aquellas
peticiones que puedan dirigir al menor a este tipo de contenido. Por lo tanto,
entendimos en el momento que la fórmula es que los padres apliquen un
CONTROL PARENTAL tal y como la propia AEPD, recomienda en su
publicación ?PROTECCION DE DATOS DEL MENOR EN INTERNET? es un
elemento que hace que nuestro riesgo a estos hechos disminuyan.
No anunciamos en medios, que no sean para adultos, nuestras páginas web
de contenidos para adultos, por lo que es difícil que en buscadores habituales
de uso de menores salgan anunciadas, si no se accede voluntariamente.
Le entregamos en documento aparte como DOCUMENTO Nº 2 la POLITICA
DE PRIVACIDAD DE NUESTRA PAGINA WEB. 6.- En contestación a su
requerimiento en el punto Nº 6, y tal como le hemos expuesto en el punto Nº 1,
le indicamos de nuevo que hemos procedido a mantener una reunión entre el
Delegado de Protección de datos, la Dirección de la mercantil y el Director de
programación, donde el resultado de la misma ha sido que se realice
inmediatamente una comprobación de todas las páginas web propiedad de la
mercantil afectada, para subsanar las barreras que se acordaron incorporar
con la finalidad de proteger que un menor acceda a contenido de adultos.
Hemos sacado de la Guía AEPD nos hace llegar ideas como las que se
exponen en la misma, y que puede ser una solución más robusta a lo que
tenemos implementado. Como la herramienta YOTI que parece como la más
adecuada.
De todas formas, entender el negocio es vital para entender por qué no está
esa herramienta implementada. En caso de que requiera una ampliación de la
información requerida háganoslo saber para que podamos aportarla y poder
solventar este asunto de la forma más rápida y eficaz posible?.
CUARTO: Con fecha 09/01/22, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web, https://***URL.1:
a).- Sobre el acceso a la página web y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia donde se
informa de lo siguiente:
?+ 18. SITIO WEB PARA MAYORES DE EDAD: ?El sitio al que estás accediendo
contiene material pornográfico y su acceso es para mayores de edad. Para acceder
al mismo tienes que confirmar que cumples con la edad legal de tu país para poder
acceder a este tipo de contenido?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/76
?Soy mayor de edad y acepto las cookies >?.
>
>
El acceso a la web es gratuito y libre, no requiriéndose registro alguno para la
visualización de los vídeos.
(i).- No existe ningún enlace a ningún tipo de herramienta de control parental para
poder ser utilizado por los padres o tutores. Solamente existe el mensaje de
advertencia de que el sitio web es de contenido para adultos.
(ii).- Si se cliquea en la opción >, la web desaparece devolviendo al usuario al
buscador del navegador que se esté utilizando.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos clic en cualquier parte de la pantalla, desaparece el banner de advertencia y
la web permite el acceso a su contenido sin ningún tipo de impedimento.
b).- Sobre la posibilidad de obtener datos personales de los usuarios:
Una vez accedido a la página, a través de la pestaña ?Regístrate Gratis?, situada en la
parte superior de la página principal, se despliega un formulario donde se pueden
introducir datos personales de los usuarios, como el nombre y el correo electrónico.
Antes de enviar el formulario para registrarse, se debe cliquear en el botón de:
?_ No soy un robot?.
En la parte inferior del formulario, existe un mensaje premarcado:
?X acepto los términos del servicio?.
c).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través de los enlaces existentes, en el
banner de advertencia, en el formulario de registro o en la parte inferior de la página
principal, >, la web redirige al usuario a una nueva página:
https://***URL.1/aviso/ , donde se proporciona información sobre: -el titular del sitio
web; los datos de contacto del responsable de tratamiento; los datos de contacto del
data protection officer (d.p.o.); - la finalidad prevista; - la transferencia internacional de
datos destinatarios de cesiones de datos; - los derechos; - como ejercitar sus
derechos; - como se pueden solicitar los derechos; - sobre los principios básicos que
rigen la política de privacidad; - sobre la confidencialidad; - información sobre la
voluntad de dejar los datos y sus consecuencias; - información sobre los datos que se
conservan y durante cuánto tiempo en relación con determinados tratamientos y con
qué finalidad se conservan datos.
d).- Sobre la Política de Cookies:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/76
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, cuyo dominio es de ?Google Analytics?: _ga, _gid, _gat, pero que se
instalan asociadas al dominio del responsable de la web.
2.- No existe ningún tipo de banner que informe sobre cookies en la página principal o
primera capa de la web. La única referencia que se hace a las cookies en la página
principal es en el banner de advertencia de ?página de contenido pornográfico?, donde
se indica ?Soy mayor de edad y acepto las cookies >?.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no son
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la ?Política de Cookies? a través del enlace existente en la
parte inferior de la página principal, >, la web redirige al
usuario a una nueva página: https://***URL.1/cookies/, donde se proporciona
información sobre, qué son las cookies y qué tipos de cookies existen, pero no se
informa de las cookies que utiliza la página, si son propias o de terceros, su finalidad y
el tiempo que estarán activas.
Tampoco existe ningún mecanismo que posibilite el rechazo de todas las cookies que
no sean técnicas o, en su caso, la posibilidad de gestionar las cookies de forma
granular.
QUINTO: Con fecha 12/01/22, por parte de la Directoria de la Agencia Española de
Protección de Datos, se inicia procedimiento sancionador a la entidad BURWEBS S.L,
al apreciar indicios razonables de vulneración de los artículos 6.1 RGPD y 22.2 LSSI.
SEXTO: Notificado el acuerdo de inicio del expediente sancionador a la entidad
investigada el 16/01/22, ésta mediante escrito de fecha 30/01/22 formuló, en síntesis,
las siguientes alegaciones:
?1.- Que efectivamente y viendo el comunicado que la Agencia nos notifica, y
comprobando los errores cometidos que nos manifiesta la Inspección, hemos
comprobado que efectivamente tenemos un formulario con la aceptación
premarcada. Por lo que, como no puede ser de otra forma, hemos procedido a
rectificarlo inmediatamente, para evitar que se nos pueda imputar en el futuro
cualquier cuestión relativa a la obtención del consentimiento de forma irregular.
2.- En relación a las cookies, y a la instalación de sistemas que permita otorgar
o rechazar el consentimiento previamente a la instalación de las mismas, y a la
vez tengamos un banner que permita dar información acerca de la instalación
de cookies en el equipo de la persona, poco podemos decir, la Inspección
claramente tiene razón en sus argumentos, y lo único y antes de que nos
insten a cumplir con la legislación, y en aras de poder reducir las sanciones lo
más que se pueda, indicamos que hemos procedido a subsanar este hecho,
colocando esos banner donde corresponde con las funciones descritas por el
comunicado de la Inspección de la Agencia de Protección de datos. Por lo cual,
entendemos que hemos cumplido con el requerimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/76
3.- Por supuesto, y teniendo como referencia el art. 58.2 del RGPD, y en la
potestad que la Agencia en sus funciones tiene de poder requerir las medidas
correctivas, indicar que nosotros hemos corregido las deficiencias que la
Agencia ha encontrado al inspeccionar nuestra página web, siempre con la
finalidad de mejorar lo existente y huyendo rápidamente de una polémica que
no ayuda a prosperar en el cumplimiento normativo. Asimismo, y en el cuadro
que debería estar en blanco para que las personas manifiesten su
consentimiento en los formularios de datos, hemos procedido a dejarlo sin
premarcar.
4.- Indicar, por último, que en relación con las sanciones que nos propone la
Agencia, nos parecen excesivas, no por las cuantías que sabemos que podrían
incluso ser mayores, si no, porque Burwebs S.L., es una empresa pequeña, sin
personal y, por lo tanto, creemos que aun habiendo cometido errores, que
reconocemos, nunca se han producido con una intencionalidad ni económica,
ni con voluntad de cometerlos. Además, los hemos subsanado inmediatamente
sin que la Agencia haya intervenido requiriéndonos esa subsanación.
Conforme al art. 58 del RGPD, y dentro de las potestades que tiene la Agencia,
en aras a que por parte del Responsable del Tratamiento de los datos cumpla
o cesen determinadas conductas de este cabe indicar que, en este caso, y por
parte de la empresa, se ha realizado lo posible para tratar de cumplir a
rajatabla con lo que la normativa nos impone como Responsables.
Por todo ello, solicitamos que la Agencia dentro de su potestad del art. 58, 2
del RGPD, y viendo todo lo realizado por la empresa como una actitud
proactiva, pueda imponernos una sanción recogida como es el
APERCIBIMIENTO, hecho que hiciera que, para la mercantil no fuese tan
afectada en el pago de una cantidad alta de dinero que podría poner en peligro
la economía de esta. Además, creo que habría que tener en cuenta el hecho
también favorable de no haber sido nunca sancionados. Entendemos que
puede ser una petición razonable, en una ajustada aplicación del principio de
proporcionalidad, principio general del Derecho público que sostiene la
exigencia de que cualquier actuación de los poderes públicos limitadora o
restrictiva de derechos responda a los criterios de necesidad y adecuación al
fin perseguido. En una acepción más estricta, representa la existencia de una
debida adecuación entre la gravedad del hecho constitutivo de la infracción y la
sanción aplicada que puede contemplarse en su vertiente normativa o en su
vertiente aplicativa por la Administración o los Tribunales.
El principio de proporcionalidad ha sido tratado en la jurisprudencia como un
importante mecanismo de control ante los Tribunales del ejercicio de la
potestad sancionadora de la Administración cuando la norma establece para
una infracción varias sanciones posibles o señala un margen cuantitativo para
la fijación de la sanción impuesta. De hecho, tanto en la anterior Ley 30/1992
como en la actual Ley 40/2015 se recoge tal principio como uno de los
informadores de la potestad sancionadora de la Administración en su vertiente
normativa y aplicativa. Respecto de la discrecionalidad de la Administración en
la graduación de la sanción, procede tener en cuenta, que, si bien la
Administración puede usar de una cierta discrecionalidad en la graduación de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/76
la sanción para acomodarla al conjunto de circunstancias concurrentes en la
infracción, no es menos cierto que el principio de proporcionalidad se halla
sometido al control jurisdiccional.
La discrecionalidad que se otorga a la Administración debe ser desarrollada
ponderando en todo caso las circunstancias concurrentes al objeto de alcanzar
la necesaria y debida proporcionalidad entre los hechos imputados y la
responsabilidad exigida, dado que toda sanción debe de determinarse en
congruencia con la entidad de la infracción cometida y según un criterio de
proporcionalidad atento a las circunstancias objetivas del hecho,
proporcionalidad que constituye un principio normativo que se impone como un
precepto más a la Administración y que reduce el ámbito de sus potestades
sancionadoras, pues a la actividad jurisdiccional corresponde no tan sólo la
calificación para subsumir la conducta en el tipo legal, sino también adecuar la
sanción al hecho cometido, ya que en uno y otro caso el tema es la aplicación
de criterios valorativos jurídicos plasmados en la norma escrita, como son en
este campo sancionador, los de congruencia y proporcionalidad entre la
infracción y la sanción, que han de ser tenidos en consideración por esa
Agencia, a la vista de las circunstancias concurrentes, descritas?.
SÉPTIMO: Con fecha 12/03/22, por parte de esta Agencia se efectuaron las diligencias
pertinentes con el objeto de verificar si, tal y como se afirma en las alegaciones
presentadas por la entidad al acuerdo de inicio del procedimiento sancionador se
habían corregido las irregularidades detectadas, obteniendo los siguientes resultados
sobre la ?Política de Cookies? y la ?Política de Privacidad? de la página web:
1.- Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal
y sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado
que se utilizan cookies que no son técnicas o necesarias con las siguientes
características:
a).- Cookies Publicitarias: Se utilizan por proveedores de anuncios y permiten
gestionar la oferta de los espacios publicitarios que hay en la página web, adecuando
el contenido del anuncio al contenido del servicio solicitado.
Cookies
detectadas
Proveedor Descripción Consentimiento
user Adition Technologies
GmbH
Gestión de los
espacios publicitarios
en la web
Instalada sin
consentimiento
b).- Cookies Analíticas: Los visitantes, las visitas al sitio web y otros datos se
almacenan en el sitio web para elaborar perfiles de navegación y poder conocer las
preferencias de los usuarios:
Cookies detectadas Proveedor Descripción Consentimiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/76
_gat_gtag_
UA_2407138_5
_ga
_gid
Google Recopilación de estadísticas
sobre las visitas y navegación
en sitio web
Instalada sin
consentimiento
del usuario
2.- No existe ningún tipo de banner exclusivo que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido para
adultos: ?Soy mayor de edad y acepto las cookies >?.
Por tanto, en éste área de confirmación de mayoría de edad, a la vez que se declara
que se es mayor de edad, se aceptan las cookies utilizadas por la web, sin que exista
ningún mecanismo que posibilite al usuario rechazar de forma voluntaria, las cookies
que no sean técnicas o necesarias.
3º.- Existe un panel de control de cookies que posibilita la gestión de estas, de una
forma granular o por grupos. Si se accede a él, a través del enlace existente en el
banner de la página principal, >, la web redirige a una nueva
página, https://***URL.1/cookies / , donde, se comprueba que las cookies que, la web
afirma que se utilizan, están premarcadas en la opción de ?aceptadas?:
?CONFIGURACION DE COOKIES INDEPENDIENTES - Debes tener en
cuenta que al denegar alguna de las cookies puede hacer que no funcione
correctamente el sitio web:?
Nombre Cookie: acc4 Caducidad Cookie: 24 horas OFF ? ON
Nombre Cookie: coocfg Caducidad Cookie: 60 días: OFF ? ON
Nombre Cookie: pucam Caducidad Cookie: 24 horas OFF ? ON
Nombre Cookie: scrm Caducidad Cookie: 60 días OFF ? ON
Nombre Cookie: user Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: usercomm Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: favs Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: avscoo Caducidad Cookie: 365 días OFF ? ON
>
Si se opta por deshabilitar todas las cookies que se indican, desplazando el cursor
desde la posición ?ON? a la posición ?OFF?, con el objetivo de rechazar la utilización de
cookies que no sean técnicas, se comprueba como la opción de ?Guardar la
configuración? desaparece, imposibilitando al usuario el rechazo de todas las cookies.
La única forma de que la opción ?guardar la configuración? no desaparezca es
habilitando una cookie, pero incluso, en este caso, si se deja habilitada unas cookies y
se rechazan las demás, se comprueba como la opción ?Guardar la Configuración? está
deshabilitada. Esto es, no funciona.
Además, las cookies que, en un principio, la página web afirma utilizar y que son las
indicadas en el panel de control (acc4; coocfg; pucam; scrm; user; usercomm; favs y
avscoo) no coinciden con las que realmente utiliza la página incluso antes de solicitar
el consentimiento del usuario (_gat_gtag_; UA_2407138_5; _ga y _gid).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/76
4.- Si se opta por acceder a la ?Política de Cookies? a través del enlace existente en la
parte inferior de la página principal, >, la web redirige al
usuario a una nueva página: https://***URL.1/cookies / , donde se proporciona
información sobre: qué son las cookies y qué tipos de cookies existen, pero no se
informa sobre las cookies que utiliza la página.
OCTAVO: Con fecha 20/06/22, por parte de esta Agencia se acuerda abrir periodo de
práctica de pruebas, según lo dispuesto en el artículo 77 y 78 de la Ley 39/2015, de 1
de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP) y practicar las siguientes pruebas:
- Dar por reproducidos a efectos probatorios los documentos obtenidos y generados
durante las fases previas, y el informe de actuaciones de investigación
que forman parte del procedimiento E/02422/2021.
- Dar por reproducidos a efectos probatorios, las alegaciones al acuerdo de inicio
del procedimiento sancionador PS/0554/2021, presentadas por la entidad BURWEBS
, S.L., y la documentación que a ellas acompaña.
- Dar por reproducidos a efectos probatorios las diligencias efectuadas el para
verificar si, tal y como afirma en las alegaciones presentadas por la entidad BURWEBS
, S.L. al acuerdo de inicio del procedimiento sancionador han corregido
las irregularidades detectadas.
- Requerir a la entidad BURWEBS, S.L. para que en el plazo de diez días hábiles computados desde la recepción de este escrito remita informe sobre los siguientes
aspectos:
a) Respecto del acceso a la página web, sin necesidad de registrarse: Cuando
un usuario accede a la página web, determinar qué datos de los usuarios
recopilan. Finalidad de recopilación de los datos. indicación de qué tratamientos
realizan con dichos datos. Cesiones efectuadas de los datos. Determinación
del plazo de conservación de los datos recopilados y justificación
del plazo de conservación. Aportación del RAT en relación con el tratamiento
de datos personales de usuarios que acceden y navegan por la página
web. Mecanismos implementados para confirmar que se tratan sólo
datos de mayores de edad. Descripción de las medidas técnicas y organizativas
que estén establecidas y su funcionamiento para limitar el acceso de
menores de edad a la página web. Informe sobre el análisis de riesgos que,
tras la evaluación de los riesgos y su valoración, han determinado la elección
de tales medidas técnicas y organizativas. En la página web aparece
un banner que hay que cliquear afirmativamente para poner de manifiesto
que se es mayor de edad. Mecanismos establecidos para confirmar que se
es mayor de edad. Especificación de si se realizan comprobaciones posteriores
, tras cliquear afirmativamente en el banner, para garantizar que quien
ha accedido a la página web es mayor de edad.
b) Respecto al acceso a la página web de usuarios registrados: Ante la contradicción
entre la información que se suministra a la AEPD en la contestación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/76
a nuestros requerimientos (26 de abril de 2021) en relación con la información
que consta en el Aviso Legal y el contenido del RAT: (Determinar qué
datos de los usuarios recopilan con el registro y posterior navegación por la
página web en la zona de usuarios registrados, además de los dispuestos
en el formulario (en la contestación al requerimiento y en el RAT se señala
que se recogen nombre de usuario, contraseña, mail y dirección IP; en el
aviso legal se indica por la mercantil que se recogen datos de contacto,
como el nombre, apellido, e-mail, teléfono, etc. y también que en ocasiones
tratan datos de navegación como IP, wifi, etc.; finalidad de recopilación de
los datos; indicación de qué tratamientos realizan con dichos datos; cesiones
efectuadas de los datos; determinación del plazo de conservación de
cada uno de los datos recopilados y justificación del plazo de conservación
). Medidas técnicas y organizativas establecidas para verificar y confirmar
la edad del usuario que va a registrarse.
- Realizar diligencia relativa al acceso de la página web y al funcionamiento del
banner establecido para advertir y confirmar que se requiere la mayoría de
edad para acceder a contenido pornográfico.
- Realizar diligencia relativa al acceso a la zona registrada de la página web para
proceder al registro y verificar si se confirma la edad del usuario que pretende
registrarse o registrado y si se tratan datos de menores de edad.
NOVENO: Con fecha 01/07/22, se realizan las diligencias relativa al acceso a la
página web y al funcionamiento del banner establecido para advertir y confirmar que
se requiere la mayoría de edad para acceder a contenido pornográfico y el acceso a la
zona restringida de la página web para verificar si se confirma la edad del usuario que
pretende registrarse o registrado y si se tratan datos de menores de edad.
a).- Sobre el acceso a la página web y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia donde se
informa de lo siguiente:
?+ 18. SITIO WEB PARA MAYORES DE EDAD: ?El sitio al que estás accediendo
contiene material pornográfico y su acceso es para mayores de edad. Para acceder
al mismo tienes que confirmar que cumples con la edad legal de tu país para poder
acceder a este tipo de contenido?.
?Soy mayor de edad y acepto las cookies >?.
>
> >
El acceso a la web es gratuito y libre, no requiriéndose registro alguno para la
visualización de los vídeos.
(i).- No existe ningún enlace a ningún tipo de herramienta de control parental para
poder ser utilizado por los padres o tutores. Solamente existe el mensaje de
advertencia de que el sitio web es de contenido para adultos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/76
(ii).- Si se cliquea en la opción >, la web desaparece
devolviendo al usuario al buscador del navegador que se esté utilizando.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos clic en cualquier parte de la pantalla, desaparece el banner de advertencia y
la web permite el acceso a su contenido sin ningún tipo de impedimento.
(iv).- Si se desea leer la ?Política de Privacidad?, cliqueando en la opción Legal LSSI>>, la web redirige al usuario a la página https://***URL.1/aviso / pero a la
vez sigue mostrando el banner inicial de advertencia sin posibilitar el acceso a la
?Política de Privacidad? pues ésta aparece difuminada en un segundo plano.
Solamente cuando se cliquea en cualquier punto de la página, cómo cuando se
declara que, se es mayor de edad, desaparece el banner dejando al descubierto la
información de la política de privacidad y posibilitando su lectura.
Si después se cliquea en el enlace >, situado en la parte superior
derecha de la página se posibilita el acceso a la web https://***URL.1/ sin ningún tipo
de requerimiento sobre la mayoría de edad.
b).- Sobre la posibilidad de obtener datos personales de los usuarios:
A través de la pestaña ?Regístrate Gratis?, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre y el correo electrónico. También se solicita que se cree
una contraseña y la confirmación de esta. Antes de enviar el formulario para
registrarse en la página web, se debe cliquear en el botón de:
?_ No soy un robot?.
En la parte inferior del formulario, existe un mensaje marcado con el siguiente
mensaje, que debe ser marcado antes de poder enviar el formulario:
?_ Acepto los términos del servicio?. >
Para proceder al registro no se solicita ningún tipo de requerimiento o acreditación
sobre la mayoría de edad.
Una vez registrado, el usuario accede a su perfil, en que comparte con los demás, su
nombre de usuario, edad, sexo, así como el país y ciudad de este (localización).
Puede poner una fotografía en su perfil.
Cabe la posibilidad de suscribirse al perfil de usuario. También la posibilidad de dar un
?like? o un ?unlike? y consta el número de vídeos subidos por el usuario.
El usuario puede compartir vídeos y ver los vídeos compartidos por otros usuarios y
sus perfiles en los términos anteriormente expresados.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/76
Hay perfiles de usuarios con edades inferiores a los 18 años. En las diligencias
practicadas hay un perfil del usuario ?(...)? que indica que tiene 2 años.
c).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través de los enlaces existentes, en el
banner inicial de advertencia de mayoría de edad, en el formulario de registro o en la
parte inferior de la página principal, ( > ), la web redirige al
usuario a una nueva página: https://***URL.1/aviso/ , donde se proporciona
información sobre: -el titular del sitio web; los datos de contacto del responsable de
tratamiento; los datos de contacto del DPD; - la finalidad prevista para los datos
personales obtenidos; - la transferencia internacional de datos; - los destinatarios de
las cesiones de datos; - los derechos que asisten a los usuarios de la página web y
cómo ejercitarlos; - sobre los principios básicos que rigen la política de privacidad; -
sobre la confidencialidad; - información sobre la voluntad de dejar los datos y sus
consecuencias; - información sobre los datos que se conservan en relación con
determinados tratamientos y durante cuánto tiempo.
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2019 y a la LO 3/2018? indican expresamente que, ?El cliente que accede a
poner sus datos en los formularios de contacto de esta página web, conforme a lo
expuesto en este párrafo de este aviso legal, DECLARA Y MANIFIESTA
EXPRESAMENTE QUE:
?Autoriza expresamente a la entidad BURWEBS S.L. con domicilio en
AVENIDA DEL CID Nº10 3ºD de - BURGOS (Burgos a la recogida y
tratamiento de los datos de carácter personal de quien firma, o actúa como
representante legal, tutor o curador, de alguna persona menor de edad. Así
mismo declara que se le ha informado convenientemente acerca de la tabla
que se presenta en relación con el derecho recogido en el art. 13 del RGPD?
En el mismo apartado y bajo el epígrafe ?Información básica sobre protección de datos
fichero de datos clientes? se indica respecto de los ?Destinatarios de cesiones de
datos? que será a:
?Empresas del mismo grupo.
No se cederán datos salvo que sea necesario para cumplir con la propia
prestación solicitada.
No se cederán datos salvo por mandato legal.
Asesoría fiscal y contable (en caso de compra a través de la web).
Empresas de transporte para la poder entregar las compras realizadas?.
A continuación, en relación con ?Cómo ejercitar tus derechos?, se indica: ?Solicite
nuestros formularios para el ejercicio de derechos en: ***EMAIL.1?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/76
Asimismo, en un párrafo aparte, indican que ?Se prohíbe el que menores de 14 años
pongan los datos en nuestros formularios de recogida de datos, dado que es contrario
al art. 8 RGPD, en caso de necesitar el consentimiento de un menor, deberá darlo y
por lo tanto recoger datos de la persona que ostenta la Patria Potestad y/o tutela del
menor?.
En el apartado 1.4 relativo a ?Cómo puedo solicitar los derechos? se manifiesta que
pueden ejercerse enviando su solicitud de ejercicio de derechos ?a o bien por correo
postal a nuestra dirección que ponemos conforme al art. 10 de la LSSI ? CE. Le
pedimos que, siempre para el ejercicio de estos, tengan en cuenta lo siguiente:
Previa presentación de su documento nacional de identidad o pasaporte, los titulares
de los datos personales (interesados) podrán ejercer sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento?.
No obstante, lo anterior, en la ?Política de Privacidad?, además de la imprecisión
respecto de los datos que se conservan, no los recopilados (se señala en el apartado
2.3 que ?son los meramente recogidos en los formularios que se tienen en la página
web como son datos de contacto (carácter básico): el nombre, apellido, e-mail,
teléfono, etc. ? En ocasiones, recogemos los datos de navegación, como datos de IP,
de wifi, etc.?) no se especifica si existe una posterior recopilación de datos personales,
una vez realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los
datos recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?:
?(?) En ocasiones, recogemos los datos de navegación, como datos de IP, de wifi,
etc.?.
En el apartado 2.4 de la Política de Privacidad se recoge ?DURANTE CUANTO
TIEMPO? indicándose que ?Datos recogidos para la entrega de nuestro newsletter:
Desde la suscripción hasta el momento que solicita el usuario la baja del servicio
mediante el envío de un mail. Datos de los usuarios subidos a páginas y redes
sociales: Desde que el usuario ofrece su consentimiento hasta que nos comunica su
voluntad de permanecer en las mismas?.
d).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal
y sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado
que se utilizan cookies que no son técnicas o necesarias con las siguientes
características:
a).- Cookies Publicitarias: Se utilizan por proveedores de anuncios y permiten
gestionar la oferta de los espacios publicitarios que hay en la página web, adecuando
el contenido del anuncio al contenido del servicio solicitado.
Cookies
detectadas
Proveedor Descripción Consentimiento
user Adition Technologies
GmbH
Gestión de los espacios
publicitarios en la web
Instalada sin
consentimiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/76
b).- Cookies Analíticas: Los visitantes, las visitas al sitio web y otros datos se
almacenan en el sitio web para elaborar perfiles de navegación y poder conocer las
preferencias de los usuarios:
Cookies detectadas Proveedor Descripción Consentimiento
_gat_gtag_
UA_2407138_5
_ga
_gid
Google Recopilación de estadísticas
sobre las visitas y navegación
en sitio web
Instalada sin
consentimiento
del usuario
2.- No existe ningún tipo de banner exclusivo que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido para
adultos:? Soy mayor de edad y acepto las cookies >?.
Por tanto, en éste área de confirmación de mayoría de edad, a la vez que se declara
que se es mayor de edad, se aceptan las cookies utilizadas por la web, sin que exista
ningún mecanismo que posibilite al usuario rechazar de forma voluntaria, las cookies
que no sean técnicas o necesarias.
3º.- Existe un panel de control de cookies que posibilita la gestión de estas, de una
forma granular o por grupos. Si se accede a él, a través del enlace existente en el
banner de la página principal, >, la web redirige a una nueva
página, https://***URL.1/cookies/ , donde, se comprueba que las cookies que, la web
afirma que se utilizan, están premarcadas en la opción de ?aceptadas?:
?CONFIGURACION DE COOKIES INDEPENDIENTES - Debes tener en
cuenta que al denegar alguna de las cookies puede hacer que no funcione
correctamente el sitio web:?
Nombre Cookie: acc4 Caducidad Cookie: 24 horas OFF ? ON
Nombre Cookie: coocfg Caducidad Cookie: 60 días: OFF ? ON
Nombre Cookie: pucam Caducidad Cookie: 24 horas OFF ? ON
Nombre Cookie: scrm Caducidad Cookie: 60 días OFF ? ON
Nombre Cookie: user Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: usercomm Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: favs Caducidad Cookie: 365 días OFF ? ON
Nombre Cookie: avscoo Caducidad Cookie: 365 días OFF ? ON
>
Si se opta por deshabilitar todas las cookies que se indican, desplazando el cursor
desde la posición ?ON? a la posición ?OFF?, con el objetivo de rechazar la utilización de
cookies que no sean técnicas, se comprueba como la opción de ?Guardar la
configuración? desaparece, imposibilitando al usuario el rechazo de todas las cookies.
La única forma de que la opción ?guardar la configuración? no desaparezca es
habilitando una cookie, pero incluso, en este caso, si se deja habilitada unas cookies y
se rechazan las demás, se comprueba como la opción ?Guardar la Configuración? está
deshabilitada. Esto es, no funciona.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/76
Además, las cookies que, en un principio, la página web afirma utilizar y que son las
indicadas en el panel de control ( acc4; coocfg; pucam; scrm; user; usercomm; favs y
avscoo) no coinciden con las que realmente utiliza la página incluso antes de solicitar
el consentimiento del usuario (_gat_gtag_; UA_2407138_5; _ga y _gid).
4.- Si se opta por acceder a la ?Política de Cookies? a través del enlace existente en la
parte inferior de la página principal, >, la web redirige al
usuario a la página https://***URL.1/aviso / , pero a la vez sigue mostrando el banner
inicial de advertencia sin posibilitar el acceso a la ?Política de Cookies? pues ésta
aparece difuminada en un segundo plano. Solamente cuando se cliquea en cualquier
punto de la página, cómo cuando se declara que se es mayor de edad, desaparece el
banner dejando al descubierto la información de la política de cookies y posibilitando
su lectura, proporcionando información sobre, qué son las cookies y qué tipos de
cookies existen, pero no se informa sobre las cookies que utiliza la página.
En este caso también, si después se cliquea en el enlace >, situado
en la parte superior derecha de la página se posibilita el acceso a la web
https://***URL.1/ sin ningún tipo de requerimiento sobre la mayoría de edad.
En este caso también, si después se cliquea en el enlace >, situado
en la parte superior derecha de la página se posibilita el acceso a la web
https://***URL.1/ sin ningún tipo de requerimiento sobre la mayoría de edad.
DÉCIMO: Con fecha 20/06/22 se envía a la entidad BURWEBS, S.L. escrito de la
práctica de pruebas requiriéndole información sobre los puntos indicados en el
apartado ?octavo?.
DÉCIMO PRIMERO: Con fecha 12/07/22, la entidad BURWEBS, S.L. presenta escrito
de contestando al requerimiento de información, en el que alegan:
?2.- En cuanto a la página web, y EN LA NO NECESIDAD DE REGISTRO.
Hay que indicar que no se recogen y guardan datos personales. Solamente y
en relación con este aspecto, se recoge la IP solamente en la conexión con la
única finalidad de conocer el Estado o País desde el que se conecta la
persona. Concretamente este dato, se recoge mediante la cookie llamada
USER, cuya función es la siguiente: ?Controla el logueo o login de usuarios en
el sitio web. La cookie guarda el dispositivo usado al acceder al sitio web, un
cifrado de seguridad asignado al usuario por el sitio web, la IP del usuario, el
país del usuario, continente del usuario, el navegado y el sistema operativo?
En el caso de uso de ese dato de IP, entiende este DPD, que no se da el caso
de ser una persona identificada, y dudosamente identificable sin tener más
datos que un número sin acceso a los datos de la base de datos que en cada
país corresponda a un usuario concreto. No tenemos acceso a ese dato, ni por
supuesto analizamos perfiles en relación con esas IP.
Estos son los únicos datos que se recogen a través de esta cookie, y por lo
tanto estos son los datos a los que tenemos acceso. Un numero de IP, con una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/76
serie de datos que en principio dudo que puedan considerarse como datos
personales salvo el número de la IP.
En cuanto al Registro de Actividades de Tratamiento, en este caso, se adjunta
la única actividad que se da dentro de la página web, y a través de una cookie,
porque el resto, son cookies necesarias.
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS FICHERO
DE DATOS CLIENTES
RESPONSABLE
BURWEBS S.L.
FINALIDAD PREVISTA
Gestión de los datos recogidos por las cookies. La IP, el sistema
operativo, el país desde donde se conecta.
D.P.O. (Data Protection Officer)
A.A.A., abogado (...) y con despacho para notificaciones en HONOS
ABOGADOS S.L.P. en Calle Langreo nº 2, 1º d de Gijón. Con teléfono
608781399 y mail: ***EMAIL.1
LEGITIMACIÓN
Consentimiento expreso del interesado. Mediante la aceptación de uso
de cookies.
TRANSFERENCIA INTERNACIONAL DE DATOS
No se hará transferencia internacional de datos
DESTINATARIOS DE CESIONES DE DATOS
No existe cesión de datos, salvo por mandato legal o ejercicio de la
potestad de los tribunales.
Fuerzas y Cuerpos de seguridad del Estado, en casos de colaboración
con los mismos para control de delitos en la red.
DERECHOS
Derecho a solicitar el acceso a los datos personales relativos al
interesado, o Derecho a solicitar su rectificación o supresión, o Derecho
a solicitar la limitación de su tratamiento, o Derecho a oponerse al
tratamiento, o Derecho a la portabilidad de los datos o Derecho a la
exclusión publicitaria.
INFORMACIÓN ADICIONAL
Puede ver nuestra política de privacidad en: www.burwebs.com
COMO EJERCITAR SUS DERECHOS
Solicite nuestros formularios para el ejercicio de derechos en:
***EMAIL.1
En relación con la duración de tratamiento de los datos, hay que indicar en este
punto que dichos datos se mantienen (tal y como se indica en la cookie que los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/76
recaba) que son durante 365 días y la finalidad es meramente estadística, así
como para poder ofertar a determinados países otros tipos de producciones.
En el control de menores una vez que han accedido a la página web, los
mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible.
2.- En cuanto a la página web, y EN USUARIOS REGISTRADOS.
Tal y como se puede comprobar, se recogen los siguientes datos:
NOMBRE DE USUARIO
DIRECCION DE E-MAIL
CONTRASEÑA
CONFIRMAR CONTRASEÑA
Se recoge la IP solamente en la conexión con la única finalidad de conocer el
Estado o País desde el que se conecta la persona. Concretamente este dato,
se recoge mediante la cookie llamada USER, cuya función es la siguiente:
?Controla el logueo o login de usuarios en el sitio web. La cookie guarda el
dispositivo usado al acceder al sitio web, un cifrado de seguridad asignado al
usuario por el sitio web, la IP del usuario, el país del usuario, continente del
usuario, el navegador y su versión del usuario y el sistema operativo?
En el caso de los datos de registro, se tratan los datos única y exclusivamente
para acceder y ser miembro de ?la comunidad?, generarte una ficha para
agregar videos y además poder comentar los videos con personas que están
dentro de la comunidad.
En el caso de uso de ese dato de IP, entiende este DPD, que no se da el caso
de ser una persona identificada, y dudosamente identificable sin tener más
datos que un número sin acceso a los datos de la base de datos que en cada
país corresponda a un usuario concreto. No tenemos acceso a ese dato, ni por
supuesto analizamos perfiles en relación con esas IP.
Estos son los únicos datos que se recogen a través de esta cookie, y por lo
tanto estos son los datos a los que tenemos acceso. Un numero de IP, con una
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/76
serie de datos que en principio dudo que puedan considerarse como datos
personales salvo el número de la IP.
En cuanto al Registro de Actividades de Tratamiento, en este caso, se adjunta
la única actividad que se da dentro de la página web, y a través de una cookie,
porque el resto, son cookies necesarias.
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS FICHERO
DE DATOS CLIENTES
RESPONSABLE
BURWEBS S.L.
FINALIDAD PREVISTA
Gestión de datos recogidos en el formulario de recogida de datos
?regístrate?. Para comentar videos. Gestión de los datos recogidos por
las cookies. La IP, el sistema operativo, el país desde donde se
conecta.
D.P.O. (Data Protection Officer)
A.A.A., abogado (...) y con despacho para notificaciones en HONOS
ABOGADOS S.L.P. en Calle Langreo nº 2, 1º d de Gijón. Con teléfono
608781399 y mail: ***EMAIL.1.
LEGITIMACIÓN o Consentimiento expreso del interesado, mediante el
click confirmando haber leído el aviso legal y política de privacidad.
Mediante la aceptación de uso de cookies.
TRANSFERENCIA INTERNACIONAL DE DATOS
No se hará transferencia internacional de datos
DESTINATARIOS DE CESIONES DE DATOS
No existe cesión de datos, salvo por mandato legal o ejercicio de la
potestad de los tribunales. o Fuerzas y Cuerpos de seguridad del
Estado, en casos de colaboración con los mismos para control de
delitos en la red.
DERECHOS
Derecho a solicitar el acceso a los datos personales relativos al
interesado,
Derecho a solicitar su rectificación o supresión,
Derecho a solicitar la limitación de su tratamiento,
Derecho a oponerse al tratamiento,
Derecho a la portabilidad de los datos
Derecho a la exclusión publicitaria.
INFORMACIÓN ADICIONAL
Puede ver nuestra política de privacidad en: www.burwebs.com
COMO EJERCITAR SUS DERECHOS
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/76
Solicite nuestros formularios para el ejercicio de derechos en:
***EMAIL.1
En relación con la duración de tratamiento de los datos, hay que indicar en este
punto que dichos datos se mantienen (tal y como se indica en la cookie que los
recaba) que son durante 365 días en cuanto a la IP, y en caso de los datos de
REGISTRATE, se mantienen por un tiempo indefinido, dado que es la persona
la que se registra la que otorga o no el consentimiento para su tratamiento.
En el control de menores una vez que han accedido a la página web, los
mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible?.
DÉCIMO SEGUNDO: Con fecha 24/08/22 la Instrucción formuló propuesta de
resolución que propuso y elevó al órgano competente para resolver, con la siguiente
propuesta:
Primero: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 5.1.a) del
RGPD, lo que constituye una infracción tipificada en el artículo 83.5.a) del
RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD por la falta de lealtad y transparencia, con una sanción
de 15.000 euros (quince mil euros).
Segundo: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 5.1.b) del
RGPD, lo que constituye una infracción tipificada en el artículo 83.5.a) del
RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, con una sanción de 15.000 euros (quince mil euros).
Tercero: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 5.1.e) del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/76
RGPD, lo que constituye una infracción tipificada en el artículo 83.5.a) del
RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD mantenimiento con carácter indefinido de los datos
personales de los usuarios registrados, con una sanción de 15.000 euros
(quince mil euros).
Cuarto: Que por la Directora de la Agencia Española de Protección de Datos se
proceda a sancionar a la entidad BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 13 del
RGPD, tipificada en el artículo 83.5.b) del RGPD y calificada como leve a los
efectos de la prescripción en el artículo 74.a) de la LOPDGDD, por no informar
a los interesados de la posibilidad de revocar en cualquier momento el
consentimiento prestado por los usuarios para registrarse mediante el
formulario, de la posibilidad de presentar una reclamación ante una autoridad
de control y del plazo de conservación de los datos personales de los usuarios
registrados con una sanción de 3.000 euros (tres mil euros).
Quinto: Que por la Directora de la Agencia Española de Protección de Datos se
proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 12.2 del
RGPD, tipificada en el artículo 83.5.b) del RGPD y calificada como muy grave a
los efectos de la prescripción en el artículo 72.1.k) de la LOPDGDD , por la
exigencia de aportar el DNI o el pasaporte en todo caso y con carácter previo al
ejercicio de los derechos conferidos en el RGPD, independientemente de si hay
dudas razonables sobre la identidad del interesado, con una sanción de 5.000
euros (cinco mil euros).
Sexto: Que por la Directora de la Agencia Española de Protección de Datos se
proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 30.1 del
RGPD, tipificada en el artículo 83.4.a) del RGPD y calificada como leve a los
efectos de la prescripción en el artículo 74.l) de la LOPDGDD, por no incorporar
el registro de las actividades del tratamiento toda la información exigida por el
art. 30.1 del RGPD, con una con una sanción de 1.000 euros (mil euros).
Séptimo: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 8 del RGPD,
tipificada en el artículo 83.4.a) del RGPD y calificada como grave a los efectos
de la prescripción en el artículo 73. a) y b) de la LOPDGDD, con una con una
sanción de 6.000 euros (seis mil euros).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/76
Octavo: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo 25 del
RGPD, tipificada en el artículo 83.4.a) del RGPD y calificada como grave a los
efectos de la prescripción en el artículo 73.d) de la LOPDGDD, con una con
una sanción de 10.000 euros (diez mil euros).
Noveno: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, BURWEBS S.L., titular de la página web
***URL.1 con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por la infracción del artículo Infracción
del artículo 22.2 de la LSSI, respecto a las irregularidades detectadas en la
?Política de Cookies? de la página web, con una sanción de 5.000 euros (cinco
mil euros).
Décimo: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a requerir al BURWEBS, S.L. que implante, en el plazo de un mes,
las medidas correctoras necesarias para adecuar su actuación a la normativa
de protección de datos personales, así como que informe a esta Agencia en el
mismo plazo sobre las medidas adoptadas.
Dicha propuesta de resolución fue puesta a disposición de la entidad a través del
Servicio de Notificaciones Electrónicas, el 24/08/22 y transcurrido el plazo de 10 días
naturales desde su puesta a disposición para su acceso, según establece el párrafo 2,
del artículo 43, de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, sin que se produjese el acceso al
documento, se produjo el rechazo automático el 04/09/22. No se han realizado
alegaciones a la propuesta de resolución.
HECHOS PROBADOS
De las actuaciones practicadas en el presente procedimiento, de la información y
documentación presentada por la entidad han quedado acreditados los siguientes
hechos:
Primero: De las comprobaciones realizadas por esta Agencia en la página web en
cuestion, respecto al acceso a la página y el tratamiento de datos personales, quedan
acreditado los siguientes hechos:
Sobre el banner de advertencia de página para adultos se ha detectado que, al entrar
por primera vez en el sitio aparece una ventana emergente (banner) advirtiendo del
contenido para adultos solicitando al usuario que declare, antes de entrar en el sitio,
que es mayor de edad, existiendo tres opciones:
1.- Opción: ?Entrar?: Existe un área claramente definida para declarar que se es mayor
de edad (>) y donde se debe hacer clic para declararlo y poder entrar en el
sitio web. No obstante, si hacemos clic en cualquier parte vacía del banner fuera del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/76
área de confirmación, (?entrar?), la web permite el acceso sin ningún tipo de
impedimento. Además, en éste área de declaración de mayoría de edad, (?Soy mayor
de edad y acepto las cookies?), a la vez que se declara que se es mayor de edad, se
aceptan implícitamente las cookies, sin que exista ninguna posibilidad, en este banner,
de acceder al sitio web rechazando las cookies.
2.- Opción: ?No, deseo abandonar el sitio?: Si se opta por abandonar el sitio,
cliqueando en la opción >, la web devuelve al usuario
al navegador
3.- Opción ?aviso legal LSSI?: Si se opta por cliquear en esta opción para leer el aviso
legar de la página, la web no responde, entra en bucle, refrescando el banner y sin
posibilitar el acceso al aviso legal sobre la LSSI de la web. Solamente cuando se
cliquea en cualquier punto de la página, desaparece el banner dejando al descubierto
una nueva página, h ttps://***URL.1/aviso/ donde aparece información sobre: -el
titular del sitio web; los datos de contacto del responsable de tratamiento; los datos de
contacto del DPD; -la legitimación para el tratamiento de datos personales; - la
finalidad prevista para los datos personales obtenidos; - la transferencia internacional
de datos; -los destinatarios de las cesiones de datos; - los derechos que asisten a los
usuarios de la página web y cómo ejercitarlos; - sobre los principios básicos que rigen
la política de privacidad; - sobre la confidencialidad; - sobre la voluntad de dejar los
datos y sus consecuencias; - información sobre los datos que se conservan en
relación con determinados tratamientos y durante cuánto tiempo.
Si después se cliquea en el enlace >, situado en la parte superior
derecha de la página https://***URL.1/aviso/ , se posibilita el acceso a la web https://
***URL.1/ sin ningún tipo de requerimiento sobre la mayoría de edad.
Segundo: En relación con la posibilidad de obtención de datos personales de los
usuarios se ha probado que, una vez que el usuario ha accedido a la página web, a
través de la pestaña >, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre y el correo electrónico. Antes de enviar dicho formulario
se debe cliquear en el botón de:
?_ No soy un robot?.
En la parte inferior del formulario, existe un mensaje marcado con el siguiente
mensaje, que debe ser marcado antes de poder enviar el formulario:
?_ acepto los términos del servicio?. >
Para proceder al registro no se solicita ningún tipo de requerimiento o acreditación
sobre la mayoría de edad.
En el caso de que se trate de un menor de edad de menos de 14 años, en los términos
recogidos en la política de privacidad, no se requiere consentimiento de quien ostente
la patria potestad o la tutela del menor.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/76
Una vez registrado, el usuario accede a su perfil, en que comparte con los demás, su
nombre de usuario, edad, sexo, así como el país y ciudad de este (localización).
Puede compartir una fotografía de perfil.
Cabe la posibilidad de suscribirse al perfil de otro usuario. También la posibilidad de
dar un ?like? o un ?unlike?. Consta el número de vídeos subidos por el usuario.
El usuario puede compartir vídeos y ver los vídeos compartidos por otros usuarios y
sus perfiles en los términos anteriormente expresados.
Hay perfiles de usuarios con edades inferiores a los 18 años. En las diligencias
practicadas hay un perfil de usuario ?(...)? con la edad de 2 años.
Tercero: Respecto de la ?Política de Privacidad? ha quedado acreditado que con fecha
1 de julio de 2022, fecha de realización de las diligencias, que:
Si se accede a la ?Política de Privacidad?, a través de los enlaces existentes, en el
banner inicial de advertencia de mayoría de edad, en el formulario de registro o en la
parte inferior de la página principal, ( > ), la web redirige al
usuario a una nueva página: https://***URL.1/aviso/, donde se proporciona
información sobre: -el titular del sitio web; los datos de contacto del responsable de
tratamiento; los datos de contacto del DPD; -la legitimación para el tratamiento de
datos personales; - la finalidad prevista para los datos personales obtenidos; - la
transferencia internacional de datos; -los destinatarios de las cesiones de datos; - los
derechos que asisten a los usuarios de la página web y cómo ejercitarlos; - sobre los
principios básicos que rigen la política de privacidad; - sobre la confidencialidad; -
información sobre la voluntad de dejar los datos y sus consecuencias; - información
sobre los datos que se conservan en relación con determinados tratamientos y durante
cuánto tiempo.
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2019 y a la LO 3/2018? indican expresamente que ?El cliente que accede a
poner sus datos en los formularios de contacto de esta página web, conforme a lo
expuesto en este párrafo de este aviso legal, DECLARA Y MANIFIESTA
EXPRESAMENTE QUE:
Autoriza expresamente a la entidad BURWEBS S.L. con domicilio en AVENIDA DEL
CID Nº10 3ºD de - BURGOS (Burgos a la recogida y tratamiento de los datos de
carácter personal de quien firma, o actúa como representante legal, tutor o curador, de
alguna persona menor de edad. Declara que se le ha informado convenientemente
acerca de la tabla que se presenta en relación con el derecho recogido en el art. 13
del RGPD?.
En el mismo apartado y respecto de la información suministrada a los interesados
respecto del fichero de datos de clientes se indica:
?INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS FICHERO DE
DATOS CLIENTES
o RESPONSABLE
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/76
o BURWEBS S.L.
o FINALIDAD PREVISTA
o Gestión de los datos introducidos en los formularios de recogida de datos
de la página web.
o D.P.O. (Data Protection Officer)
o A.A.A., abogado (...) y con despacho para notificaciones en HONOS
ABOGADOS S.L.P. en Avenida del Mar Cantábrico nº 16, esc. 2, 3º D,
33204- Gijón). Con teléfono 608781399 y mail:***EMAIL.1
o LEGITIMACIÓN
o Consentimiento expreso del interesado.
o TRANSFERENCIA INTERNACIONAL DE DATOS
o No se hará transferencia internacional de datos
o DESTINATARIOS DE CESIONES DE DATOS
o Empresas del mismo grupo.
o No se cederán datos salvo que sea necesario para cumplir con la propia
prestación solicitada.
o No se cederán datos salvo por mandato legal.
o Asesoría fiscal y contable (en caso de compra a través de la web).
o Empresas de transporte para la poder entregar las compras realizadas.
o DERECHOS
o Derecho a solicitar el acceso a los datos personales relativos al interesado
,
o Derecho a solicitar su rectificación o supresión,
o Derecho a solicitar la limitación de su tratamiento,
o Derecho a oponerse al tratamiento,
o Derecho a la portabilidad de los datos
o Derecho a la exclusión publicitaria.
o INFORMACIÓN ADICIONAL
o Puede ver nuestra política de privacidad en: www.burwebs.com
o COMO EJERCITAR SUS DERECHOS
o Solicite nuestros formularios para el ejercicio de derechos en:
***EMAIL.1?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
?Empresas del mismo grupo.
No se cederán datos salvo que sea necesario para cumplir con la propia
prestación solicitada.
No se cederán datos salvo por mandato legal.
Asesoría fiscal y contable (en caso de compra a través de la web).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/76
Empresas de transporte para la poder entregar las compras realizadas?.
A continuación, en relación con ?Cómo ejercitar tus derechos? dicen ?Solicite nuestros
formularios para el ejercicio de derechos en: ***EMAIL.1?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que ?Se prohíbe el que menores de 14 años
pongan los datos en nuestros formularios de recogida de datos, dado que es contrario
al art. 8 RGPD, en caso de necesitar el consentimiento de un menor, deberá darlo y
por lo tanto recoger datos de la persona que ostenta la Patria Potestad y/o tutela del
menor?.
En el apartado 1.4 relativo a ?Cómo puedo solicitar los derechos? se manifiesta que
pueden ejercerse enviando su solicitud de ejercicio de derechos ?o bien por correo
postal a nuestra dirección que ponemos conforme al art. 10 de la LSSI ? CE. Le
pedimos que, siempre para el ejercicio de estos, tengan en cuenta lo siguiente:
Previa presentación de su documento nacional de identidad o pasaporte, los titulares
de los datos personales (interesados) podrán ejercer sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento?.
No obstante, lo anterior, en la ?Política de Privacidad?, respecto de los datos que se
conservan se señala en el apartado 2.3 que ?son los meramente recogidos en los
formularios que se tienen en la página web como son datos de contacto (carácter
básico), como son el nombre, apellido, e-mail, teléfono, etc. ? En ocasiones,
recogemos los datos de navegación, como datos de IP, de wifi, etc.?) no se especifica
si existe una posterior recopilación de datos personales, una vez realizado el registro.
Tampoco se indica la finalidad a la que se dedicarán los datos recopilados de la IP del
usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?) En ocasiones,
recogemos los datos de navegación, como datos de IP, de wifi, etc.?.
En el apartado 2.4 de la Política de Privacidad se recoge ?DURANTE CUANTO
TIEMPO? indicándose que ?Datos recogidos para la entrega de nuestro newsletter:
Desde la suscripción hasta el momento que solicita el usuario la baja del servicio
mediante el envío de un mail. Datos de los usuarios subidos a páginas y redes
sociales: Desde que el usuario ofrece su consentimiento hasta que nos comunica su
voluntad de permanecer en las mismas?.
Cuarto: La entidad BURWEBS, S.L., según el escrito presentado por ésta el
12/07/2022 en el marco del trámite de prueba señala que el registro de las actividades
del tratamiento del fichero de datos de clientes no registrados es el siguiente:
?INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS FICHERO DE
DATOS CLIENTES
o RESPONSABLE
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/76
o BURWEBS S.L.
o FINALIDAD PREVISTA
o Gestión de datos recogidos en el formulario de recogida de datos
?regístrate?. Para comentar videos. Gestión de los datos recogidos por
las cookies. La IP, el sistema operativo, el país desde donde se
conecta.
o D.P.O. (Data Protection Officer)
o A.A.A., abogado (...) y con despacho para notificaciones en HONOS
ABOGADOS S.L.P. en Calle Langreo nº 2, 1º d de Gijón. Con teléfono
608781399 y mail: ***EMAIL.1
o LEGITIMACIÓN
o Consentimiento expreso del interesado, mediante el click confirmando
haber leído el aviso legal y política de privacidad. Mediante la
aceptación de uso de cookies.
o TRANSFERENCIA INTERNACIONAL DE DATOS
o No se hará transferencia internacional de datos
o DESTINATARIOS DE CESIONES DE DATOS
o No existe cesión de datos, salvo por mandato legal o ejercicio de la
potestad de los tribunales. o Fuerzas y Cuerpos de seguridad del
Estado, en casos de colaboración con los mismos para control de
delitos en la red.
o DERECHOS
o Derecho a solicitar el acceso a los datos personales relativos al
interesado,
o Derecho a solicitar su rectificación o supresión, o Derecho a solicitar
la limitación de su tratamiento,
o Derecho a oponerse al tratamiento,
o Derecho a la portabilidad de los datos o Derecho a la exclusión
publicitaria.
o INFORMACIÓN ADICIONAL
o Puede ver nuestra política de privacidad en: www.burwebs.com
o COMO EJERCITAR SUS DERECHOS
o Solicite nuestros formularios para el ejercicio de derechos en:
***EMAIL.1?.
En cuanto al registro de las actividades del tratamiento del fichero de datos de clientes
registrados es el siguiente:
?INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS FICHERO DE
DATOS CLIENTES
o RESPONSABLE
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/76
o BURWEBS S.L.
o FINALIDAD PREVISTA
o Gestión de datos recogidos en el formulario de recogida de datos
?regístrate?. Para comentar videos. Gestión de los datos recogidos por
las cookies. La IP, el sistema operativo, el país desde donde se
conecta.
o D.P.O. (Data Protection Officer)
o A.A.A., abogado (...) y con despacho para notificaciones en HONOS
ABOGADOS S.L.P. en Calle Langreo nº 2, 1º d de Gijón. Con teléfono
608781399 y mail: ***EMAIL.1
o LEGITIMACIÓN
o Consentimiento expreso del interesado, mediante el click confirmando
haber leído el aviso legal y política de privacidad. Mediante la
aceptación de uso de cookies.
o TRANSFERENCIA INTERNACIONAL DE DATOS
o No se hará transferencia internacional de datos
o DESTINATARIOS DE CESIONES DE DATOS
o No existe cesión de datos, salvo por mandato legal o ejercicio de la
potestad de los tribunales. o Fuerzas y Cuerpos de seguridad del
Estado, en casos de colaboración con los mismos para control de
delitos en la red.
o DERECHOS
o Derecho a solicitar el acceso a los datos personales relativos al
interesado,
o Derecho a solicitar su rectificación o supresión,
o Derecho a solicitar la limitación de su tratamiento, o Derecho a
oponerse al tratamiento,
o Derecho a la portabilidad de los datos
o Derecho a la exclusión publicitaria.
o INFORMACIÓN ADICIONAL
o Puede ver nuestra política de privacidad en: www.burwebs.com
o COMO EJERCITAR SUS DERECHOS
o Solicite nuestros formularios para el ejercicio de derechos en:
***EMAIL.1?.
No se hace mención en ninguno de los registros de las actividades de tratamiento al
plazo de supresión de los datos personales.
En el escrito de 12/07/2022 referenciado la entidad manifiesta, respecto de la duración
del tratamiento de los usuarios no registrados que ?En relación con la duración de
tratamiento de los datos, hay que indicar en este punto que dichos datos se mantienen
(tal y como se indica en la cookie que los recaba) que son durante 365 días y la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/76
finalidad es meramente estadística, así como para poder ofertar a determinados
países otros tipos de producciones?.
Y, en relación con la duración del tratamiento de los datos de los usuarios registrados
que ?En relación con la duración de tratamiento de los datos, hay que indicar en este
punto que dichos datos se mantienen (tal y como se indica en la cookie que los
recaba) que son durante 365 días en cuanto a la IP, y en caso de los datos de
REGISTRATE, se mantienen por un tiempo indefinido, dado que es la persona la que
se registra la que otorga o no el consentimiento para el tratamiento de estos?.
Asimismo, indica que ?En el caso de los datos de registro, se tratan los datos única y
exclusivamente para acceder y ser miembro de ?la comunidad?, generarte una ficha
para agregar videos y además poder comentar los videos con personas que están
dentro de la comunidad?, de tal forma que los usuarios agregan sus vídeos y los
comparten con otros usuarios registrados.
Quinto: En relación con la ?Política de Cookies?, ha quedado probado que:
Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal y
sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que
se utilizan cookies que no son técnicas o necesarias con las siguientes características:
user; _gat_gtag_; _ga; y _gid
No existe ningún tipo de banner exclusivo que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido para
adultos: ?Soy mayor de edad y acepto las cookies >?.
Por tanto, en éste área de confirmación de mayoría de edad, a la vez que se declara
que se es mayor de edad, se aceptan las cookies utilizadas por la web, sin que exista
ningún mecanismo que posibilite al usuario rechazar de forma voluntaria, las cookies
que no sean técnicas o necesarias.
Existe un panel de control de cookies que posibilita la gestión de estas, de una forma
granular o por grupos. Si se accede a él, a través del enlace existente en el banner de
la página principal, >, la web redirige a una nueva página,
https://***URL.1/cookies / , donde, se comprueba que las cookies que, la web afirma
que se utilizan, están premarcadas en la opción de ?aceptadas?
Si se opta por deshabilitar todas las cookies que se indican, desplazando el cursor
desde la posición ?ON? a la posición ?OFF?, con el objetivo de rechazar la utilización de
cookies que no sean técnicas, se comprueba como la opción de ?Guardar la
configuración? desaparece, imposibilitando al usuario el rechazo de todas las cookies.
La única forma de que la opción ?guardar la configuración? no desaparezca es
habilitando una cookie, pero incluso, en este caso, si se deja habilitada unas cookies y
se rechazan las demás, se comprueba como la opción ?Guardar la Configuración? está
deshabilitada. Esto es, no funciona.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/76
Además, las cookies que, en un principio, la página web afirma utilizar y que son las
indicadas en el panel de control ( acc4; coocfg; pucam; scrm; user; usercomm; favs y
avscoo) no coinciden con las que realmente utiliza la página incluso antes de solicitar
el consentimiento del usuario (_gat_gtag_; UA_2407138_5; _ga y _gid).
Si se opta por acceder a la ?Política de Cookies? a través del enlace existente en la
parte inferior de la página principal, >, la web redirige al
usuario a la página https://***URL.1/aviso / pero a la vez sigue mostrando el banner
inicial de advertencia sin posibilitar el acceso a la ?Política de Cookies? pues ésta
aparece difuminada en un segundo plano. Solamente cuando se cliquea en cualquier
punto de la página, cómo cuando se declara que se es mayor de edad, desaparece el
banner dejando al descubierto la información de la política de cookies y posibilitando
su lectura. Así, la web redirige al usuario a una nueva página:
https://***URL.1/cookies / , donde se proporciona información sobre: qué son las
cookies y qué tipos de cookies existen, pero no se informa sobre las cookies que
utiliza la página, si éstas son propias o de terceros, su cometido y el tiempo que
estarán activas
En este caso también, si después se cliquea en el enlace >, situado
en la parte superior derecha de la página se posibilita el acceso a la web
https://***URL.1 / sin ningún tipo de requerimiento sobre la mayoría de edad.
Sexto: De las actuaciones practicadas se constata que en la página se tratan datos
personales de los usuarios, esto es, la dirección IP, nombre de usuario, correo
electrónico, edad, sexo, así como el país y ciudad de este (localización), así como la
imagen y la voz (para la foto del perfil de usuario, además de que se comparten vídeos
en la página web que pueden ser propios) y los gustos y preferencias sexuales, pues
se pueden comentar los vídeos con las personas que forman parte de la comunidad.
FUNDAMENTOS DE DERECHO
I.- Competencia:
- Sobre el RGPD:
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.
- Sobre la Política de Cookies:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/76
Es competente para resolver este Procedimiento Sancionador, la Directora de la
Agencia Española de Protección de Datos, de conformidad con lo establecido en el art.
43.1, párrafo segundo, de la Ley LSSI.
II.- Tratamiento de datos de carácter personal.
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?1) «datos personales»: toda información sobre una persona física identificada
o identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración
, conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción?.
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que, solo o junto con otros, determine
los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados
miembros determina los fines y medios del tratamiento, el responsable
del tratamiento o los criterios específicos para su nombramiento podrá establecerlos
el Derecho de la Unión o de los Estados miembros?
En el presente supuesto, consta que BURWEBS S.L., es la responsable de los tratamientos
de datos referidos en los hechos probados de procedimiento sancionador,
toda vez que conforme a la definición del artículo 4.7 del RGPD es el que determina la
finalidad y medios de los tratamientos realizados con las finalidades señaladas en su
Política de Privacidad.
La entidad BURWEBS S.L. indica en su escrito de fecha 12/07/2022, contestando al
requerimiento de información derivado del trámite de prueba, que no se recogen y
guardan datos personales a través de la página web: https://***URL.1 .
Resulta esta una contradicción evidente con la realidad:
En primer lugar, porque admite en ese mismo escrito que se recoge la IP de quien accede
a la página web (en abierto) y la IP y el nombre y dirección de correo de quienes
se registran en la misma. Admite, asimismo, que los datos se tratan para generar una
ficha -el perfil de usuario- para poder agregar videos y comentarlos con otras personas.
A ello tenemos que añadir que, tal y como consta acreditado en los hechos probado, el
perfil de usuario contiene más datos personales que el nombre del usuario, pues per-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/76
mite compartir con el resto de los miembros la localización, el sexo, la edad, los gustos
sexuales a través de los comentarios y la imagen y la voz.
Además, en la política de privacidad hacen referencia, indican, ?sobre los datos que se
conservan?, a que ?Los datos que conservamos son los meramente recogidos en los
formularios que se tienen en la página web como son datos de contacto (carácter básico
), como son el nombre, apellido, e-mail, teléfono, etc. ?. En ocasiones, recogemos
los datos de navegación, como datos de IP, de wifi, etc.?.
Segundo, porque todos ellos son datos de carácter personal, a pesar de que la entidad
niegue expresamente que lo sea la IP.
En concreto, y respecto de la IP, es incontrovertido que nos encontremos ante un dato
de carácter personal tal y como viene siendo considerado por la AEPD a través de sus
Informes de su Gabinete Jurídico 327/2003 o de 1 de marzo de 2007 o ampliamente
por la jurisprudencia (por todas, Sentencia del Tribunal Supremo de 16/2014 de 30 de
enero o de 3 de octubre de 2014 o Sentencia de la Audiencia Nacional de 1 de septiembre
de 2011 o Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre
de 2016, asunto C-582/14).
Por último, hemos de indicar que, no obstante, la entidad asevera en su escrito de
26/04/2021 contestando al requerimiento efectuado por la AEPD que es obligatorio ser
mayor de edad para entrar y utilizar el sitio web - ??informando tanto del contenido
adulto, como la obligatoriedad de tener más de 18 años. Se cuenta además con un click
afirmativo, advirtiendo que el sitio web es sólo para adultos, informando que para
entrar y utilizar el mismo es obligatorio tener al menos 18 años de edad y ser mayor
de edad en la jurisdicción en la que te encuentres, todo ello con la finalidad de poner
una barrera ante el hecho de entrar en una web de contenido para adultos?- y que a
modo general no tratan datos de carácter personal de menores, lo cierto es que no se
puede afirmar que no trate datos de carácter personal de menores.
Máxime cuando en su política de privacidad así lo pone de manifiesto haciendo referencia
a que ?Se prohíbe el que menores de 14 años pongan los datos en nuestros
formularios de recogida de datos, dado que es contrario al art. 8 RGPD, en caso de
necesitar el consentimiento de un menor, deberá darlo y por lo tanto recoger datos de
la persona que ostenta la Patria Potestad y/o tutela del menor?.
En conclusión, la entidad BURWEBS S.L. como responsable del tratamiento realiza un
tratamiento de datos personales a través de su página web https://***URL.1, tanto de
mayores de edad como de menores de edad.
III.- Sobre la falta de lealtad y transparencia.
El artículo 5.1.a) del RGPD dispone que ?Los datos personales serán: a) tratados de
manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia
»);?.
El considerando 38 del RGPD sobre la lealtad y transparencia determina que:
?Todo tratamiento de datos personales debe ser lícito y leal. Para las personas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/76
físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando
o tratando de otra manera datos personales que les conciernen, así
como la medida en que dichos datos son o serán tratados. El principio de
transparencia exige que toda información y comunicación relativa al tratamiento
de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice
un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información
de los interesados sobre la identidad del responsable del tratamiento y los
fines de este y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a
obtener confirmación y comunicación de los datos personales que les conciernan
que sean objeto de tratamiento?.
Asimismo, el considerando 60 del RGPD señala que.
?Los principios de tratamiento leal y transparente exigen que se informe al interesado
de la existencia de la operación de tratamiento y sus fines. El responsable
del tratamiento debe facilitar al interesado cuanta información complementaria
sea necesaria para garantizar un tratamiento leal y transparente, habida
cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales?.
El artículo 12 del RGPD establece cómo se articula la transparencia de la información
y la comunicación al interesado. Y los artículos 13 y 14 del RGPD especifican la información
concreta que ha de suministrarse al interesado para garantizar la lealtad y la
transparencia.
El principio de transparencia no se agota en la concreción material de suministrar la información
de los artículos 13 y 14 del RGPD, en los términos del artículo 12 del RGPD
y 11 de la LOPDGDD.
El principio de transparencia fijado en el artículo 5.1.a) del RGPD es mucho más y tiene
entidad en sí mismo. Ligado al principio de lealtad implica el conocimiento efectivo
de la información precisa por parte de los interesados que redunde en el poder de disposición
y control que los interesados tienen respecto del tratamiento de sus datos
personales, en los términos dispuestos en la Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre de 2000: ?De suerte que, sin la garantía que supone el
derecho a una información apropiada mediante el cumplimiento de determinados requisitos
legales (art. 5 L.O.P.D.) quedaría sin duda frustrado el derecho del interesado
a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer
otras facultades que se integran en el contenido del derecho fundamental al que estamos
haciendo referencia?.
En este sentido, las Directrices del Grupo de Trabajo del Artículo 29 sobre la transparencia
en virtud del Reglamento (UE) 2016/679, adoptadas el 29 de noviembre de
2017y revisadas por última vez y adoptadas el 11 de abril de 2018 (WP 260) previenen
que ?10. Una consideración fundamental del principio de transparencia esbozado en
estas disposiciones es que el interesado debe poder determinar de antemano el alcance
y las consecuencias derivadas del tratamiento, y que no debe verse sorprendido en
un momento posterior por el uso que se ha dado a sus datos personales. Se trata, asimismo
, de un aspecto importante del principio de lealtad en virtud del artículo 5, apartado
1, del RGPD y, efectivamente, guarda relación con el considerando 39 ??.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/76
De nada sirve que se suministre formalmente la información requerida en los artículos
13 y 14 del RGPD si esta no concuerda con la realidad del tratamiento fijada en el registro
de las actividades del tratamiento o si la información es contradictoria, oscura y
no permite a los interesados conocer realmente en qué consiste el tratamiento de sus
datos personales.
En cuanto a la lealtad, las Directrices 4/2019 del CEPD relativas al artículo 25 Protección
de datos desde el diseño y por defecto, adoptadas el 20 de octubre de 2020 disponen
que ?69. La lealtad es un principio general que exige que los datos personales
no se traten de manera injustificadamente perjudicial, ilícitamente discriminatoria, inesperada
o engañosa para el interesado?. Siguen estableciendo manifestación de la lealtad
será que ?Los interesados deben tener el máximo grado de autonomía posible
para determinar el uso que se haga de sus datos personales, así como el ámbito y las
condiciones de dicho uso o tratamiento (?) El tratamiento debe corresponderse con
las expectativas razonables de los interesados (?) El responsable del tratamiento no
abusará de las necesidades o vulnerabilidades de los interesados. (?) El responsable
no debe «forzar» la elección de sus usuarios de manera desleal (?) Los responsables
del tratamiento no deben transferir los riesgos de la empresa a los interesados.
(?) La información y las opciones del tratamiento de datos personales deben proporcionarse
de manera objetiva y neutral, evitando todo tipo de lenguaje o diseño engañoso
o manipulador (?) El responsable debe apreciar los efectos generales que tenga
el tratamiento sobre los derechos y la dignidad de las personas. (?) El responsable
debe poner a disposición del interesado la información relativa a la forma en que se
tratan los datos personales, debe actuar tal como haya declarado que lo va a hacer, y
no inducir al interesado a engaño?.
Así, en primer lugar, podemos observar una clara incongruencia entre el contenido del
registro de las actividades del tratamiento de los clientes (de los usuarios no registrados
y de los usuarios registrados en la página web https://***URL.1 remitido a esta
AEPD el 12/07/22) y la información suministrada a los interesados a través de la política
de privacidad de la página web.
En relación con las cesiones de datos, mientras que en el registro de las actividades
del tratamiento de los usuarios no registrados y en el registro de las actividades del
tratamiento de los usuarios registrados consta respecto de los ?DESTINATARIOS DE
CESIONES DE DATOS? que
?No existe cesión de datos, salvo por mandato legal o ejercicio de la potestad
de los tribunales. Fuerzas y Cuerpos de seguridad del Estado, en casos de colaboración
con los mismos para control de delitos en la red?.
Sin embargo, en la política de privacidad consta respecto de los destinatarios de las
cesiones de datos que
?Empresas del mismo grupo.
No se cederán datos salvo que sea necesario para cumplir con la propia prestación
solicitada.
No se cederán datos salvo por mandato legal.
Asesoría fiscal y contable (en caso de compra a través de la web)
Empresas de transporte para la poder entregar las compras realizadas?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/76
Como podemos comprobar, lo relativo a las cesiones de datos personales no es coincidente
entre el registro de las actividades del tratamiento y la política de privacidad,
comprendiendo esta última muchas más cesiones de datos no incluidas en el registro
de las actividades del tratamiento.
Mientras que el en registro de las actividades del tratamiento se proscriben las cesiones
salvo mandato legal o colaboración con la justica, en la política de privacidad se
prevén diversas cesiones de datos.
A lo anterior hemos de añadir también la contradicción respecto de las cesiones de datos
en la propia política de privacidad, pues si bien se afirma que no se cederán datos
salvo por mandato legal, se prevén cesiones a empresas del mismo grupo (sin determinar
cuáles son estas empresas y para qué se ceden sus datos), cesiones para cumplir
con la prestación solicitada (sumando la gran indefinición de en qué consiste la
prestación solicitada), para asesoría fiscal y contable en caso de compra a través de la
web y a las empresas de transporte para entregar las compras realizadas.
Por otro lado, también existe vaguedad, falta de concreción y de transparencia respecto
de los datos personales tratados y la información suministrada al efecto a los usuarios.
Indicaremos que el artículo 30.1 del RGPD dispone, en cuanto al contenido del registro
de las actividades del tratamiento la obligatoriedad de incluir por parte del responsable
del tratamiento ?c) una descripción de las categorías de interesados y de las categorías
de datos personales?.
Ni en el registro de las actividades del tratamiento de los usuarios no registrados ni en
el registro de las actividades del tratamiento de los usuarios registrados se comprende
tal previsión.
La entidad BURWEBS, S.L. se limita en su escrito de 12/07/2022 a aseverar que respecto
de los usuarios no registrados ?no se recogen y guardan datos personales. Solamente
y en relación con este aspecto, se recoge la IP solamente en la conexión con la
única finalidad de conocer el Estado o País desde el que se conecta la persona?.
Y respecto de los usuarios registrados que ?Tal y como se puede comprobar, se recogen
los siguientes datos: NOMBRE DE USUARIO DIRECCION DE E-MAIL CONTRASEÑA
CONFIRMAR CONTRASEÑA Se recoge la IP solamente en la conexión con la
única finalidad de conocer el Estado o País desde el que se conecta la persona. ? En
el caso de los datos de registro, se tratan los datos única y exclusivamente para acceder
y ser miembro de ?la comunidad?, generarte una ficha para agregar videos y además
poder comentar los videos con personas que están dentro de la comunidad?.
Sin embargo, en la política de privacidad de la página web referenciada consta en el
apartado 2.3 ?INFORMACIÓN SOBRE LOS DATOS QUE SE CONSERVAN? que ?son
los meramente recogidos en los formularios que se tienen en la página web como son
datos de contacto (carácter básico), como son el nombre, apellido, e-mail, teléfono,
etc. ? En ocasiones, recogemos los datos de navegación, como datos de IP, de wifi,
etc.?).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/76
A la vista del contenido de la política de privacidad podemos observar cómo no diferencian
entre los datos que se recopilan de los usuarios no registrados y los registrados
, pareciendo de la lectura del apartado 2.3 antes transcrito que esos datos se refieren
sólo a los usuarios registrados, al comenzar la dicción de tal apartado haciendo referencia
a los formularios de recogida de información establecidos para registrarse.
Sin embargo, queda probado por las propias aseveraciones del BURWEBS, S.L. que
respecto de los usuarios no registrados al menos ?se recoge la IP solamente en la conexión
con la única finalidad de conocer el Estado o País desde el que se conecta la
persona?.
Por otro lado, en la política de privacidad se informa al usuario que se recogen una serie
de datos personales que exceden de aquellos que indican en su escrito de
12/07/2022 que se recogen para los usuarios no registrados (wifi) o que se recogen
para los usuarios registrados en los formularios y en lo que denominan ficha (perfil de
usuario), como es el teléfono o datos de wifi.
Además, no se informa específicamente de otros datos personales que se recopilan y
que se comparten con otros usuarios registrados, tales como los contenidos en la ficha
o perfil de usuario y que son, tal y como constan en los hechos probados, la edad,
sexo, así como el país y ciudad de este (localización), la fotografía de perfil y los vídeos
que decida compartir el usuario (imagen y voz), así como los comentarios que
realice.
Igualmente, y conforme a la información que se suministra en la política de privacidad
respecto de las cesiones de datos, parece que se recopilan más datos personales que
los citados en la misma, en concreto y respecto a las compras que puedan realizarse
en la web, los datos precisos para llevarlas a cabo, que podrían englobar nombre y
apellidos, DNI o NIE, número de cuenta o de tarjeta de débito o crédito, dirección de
entrega, etc.
A mayor abundamiento, se ha de significar que, en la política de privacidad, al hacer
mención de los datos personales que son recogidos y conservados se utiliza por dos
veces la abreviatura ?etc.? en cuanto a la significación de estos. Ello redunda de nuevo
en la falta de lealtad y transparencia.
Y que, respecto de la recopilación del dato de la IP, que la mercantil admite se recopila
siempre, la política de privacidad matiza que es ?en ocasiones?, sin explicitar a los
usuarios, registrados o no, cuáles son esas ocasiones.
Segundo, y en relación con el registro de las actividades del tratamiento de los usuarios
no registrados consta como ?Finalidad prevista? la ?Gestión de los datos recogidos
por las cookies. La IP, el sistema operativo, el país desde donde se conecta?.
Respecto del registro de las actividades del tratamiento de los usuarios registrados
nos indican que la ?Finalidad prevista? es la de ?Gestión de datos recogidos en el formulario
de recogida de datos ?regístrate?. Para comentar videos. Gestión de los datos
recogidos por las cookies. La IP, el sistema operativo, el país desde donde se conecta?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/76
Sin embargo, en la política de privacidad, amén de que no se diferencia entre usuarios
registrados y no registrados, en la ?información básica sobre protección de datos fichero
de datos clientes?, en la ?Finalidad prevista? se limita a la ?Gestión de los datos introducidos
en los formularios de recogida de datos de la página web?.
Como podemos comprobar, además de que no es coincidente la finalidad del registro
de las actividades del tratamiento con lo consignado en la política de privacidad, existe
una gran vaguedad en cuanto a lo que consiste la finalidad del tratamiento, pues la
?gestión? en sí misma no determina para qué se tratan los datos personales, dado que
todo tratamiento comprende una gestión de datos personales.
Máxime si a través del escrito de 12/07/2022 que la entidad BURWEBS, S.L. remite a
la AEPD explica someramente que ?En el caso de los datos de registro, se tratan los
datos única y exclusivamente para acceder y ser miembro de ?la comunidad?, generarte
una ficha para agregar videos y además poder comentar los videos con personas
que están dentro de la comunidad?.
No es que no hayan sido suficientemente claros respecto de las finalidades del tratamiento
de datos personales, es que no indican cuáles son estas finalidades a los usuarios
, si se presta un servicio y en qué consiste éste.
En este momento tenemos simplemente que apuntar que, la falta de lealtad y de transparencia
afectaría a la prestación libre del consentimiento respecto de los usuarios registrados
, que no reciben la información de forma leal y transparente.
En conclusión, la actuación de la entidad BURWEBS, S.L. adolece de lealtad y transparencia
, puesto que la información suministrada a los interesados a través de la política
de privacidad de la página web no se corresponde con el tratamiento realmente
efectuado. La lealtad y la transparencia implican que el interesado sea perfectamente
consciente de que se está produciendo el tratamiento de sus datos personales, con
qué fines y de qué forma.
Por ello, y de conformidad con las evidencias expuestas, los citados hechos suponen
una vulneración de lo dispuesto en el artículo 5.1.a), que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia
Española de Protección de datos.
IV.- Infracción
Los hechos expuestos incumplen lo establecido en el artículo 5.1.a) del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente: ?5. Las infracciones de las disposiciones siguientes se sancionarán, de
acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo
del volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consenti-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/76
miento a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción ?1. En función de lo que establece el artículo 83.5 del
Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679?.
V.- Sobre la limitación de la finalidad.
El artículo 5.1.b) del RGPD dispone que los datos personales serán ?recogidos con fines
determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera
incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento
ulterior de los datos personales con fines de archivo en interés público, fines de investigación
científica e histórica o fines estadísticos no se considerará incompatible con
los fines iniciales («limitación de la finalidad»)?.
El principio de limitación de la finalidad impone que los datos personales sean recogidos
con fines determinados, explícitos y legítimos.
Así, las finalidades deben de estar perfectamente identificadas para que el interesado
pueda determinar si el tratamiento que efectúa el responsable está dentro de tales finalidades.
Además, y ligado con la transparencia, que los fines sean explícitos supone que el
afectado entienda cuáles son estos, a los efectos de mantener el control real sobre sus
datos personales y pueda ejercer efectivamente sus derechos. Para comprender cuál
es la finalidad explícita, ésta ha de ser revelada al interesado.
Sin olvidarnos que los fines tienen que ser legítimos, esto es, conforme a lo permitido
por el ordenamiento jurídico.
En este sentido, se manifiesta el Dictamen 3/2013 del Grupo de Trabajo del Artículo
29, adoptado el 2 de abril de 2013, sobre la limitación de la finalidad.
De todo ello se infiere que, no se pueden realizar tratamientos de datos personales
porque puedan ser útiles en un futuro al responsable del tratamiento. Tienen que estar
ligados con las finalidades determinadas, explícitas y legítimas actuales del mismo y
respecto de sus propios tratamientos.
La entidad BURWEBS, S.L. dispone en su política de privacidad, en relación con los
?destinatarios de cesiones de datos? que se cederán para ?Asesoría fiscal y contable
(en caso de compra a través de la web)?.
Esto pone de manifiesto que el responsable del tratamiento realiza un tratamiento de
datos para una finalidad distinta de las recogidas en el registro de actividades del tratamiento
remitido mediante escrito de 12/07/2022 y en la política de privacidad. Finalidad
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/76
consistente en el tratamiento de los datos de los usuarios para realizar compras, esto
es, mantener una relación contractual con el usuario, con una base jurídica que no es
el consentimiento; finalidad que no está prevista expresamente en ni en el registro de
actividades del tratamiento ni en la política de privacidad, ni se informa explícitamente
al interesado.
En conclusión, todo lo explicitado supone una vulneración del principio de limitación de
la finalidad, da lugar a la aplicación de los poderes correctivos que el artículo 58 del
citado Reglamento otorga a la AEPD.
VI.- Infracción.
El tratamiento de datos personales conforme a una finalidad ajena, no explicitada a los
interesados y dispuesta con la intencionalidad de utilizar los datos en tanto en cuanto
le puedan ser requeridos en un futuro, incumple lo establecido en el artículo 5.1.b) del
RGPD, con el alcance expresado en los Fundamentos de Derecho anteriores, lo que
supone la comisión de una infracción tipificada en el artículo 83.5.a) del RGPD, que
bajo la rúbrica ?Condiciones generales para la imposición de multas administrativas?
dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: a) El tratamiento de
datos personales vulnerando los principios y garantías establecidos en el
artículo 5 del Reglamento (UE) 2016/679?.
VII.- Conservación de los datos personales.
El artículo 5.1.e) del RGPD establece que:
?Los datos personales serán: e)mantenidos de forma que se permita la identificación
de los interesados durante no más tiempo del necesario para los fines
del tratamiento de los datos personales; los datos personales podrán conservarse
durante períodos más largos siempre que se traten exclusivamente con
fines de archivo en interés público, fines de investigación científica o histórica o
fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio
de la aplicación de las medidas técnicas y organizativas apropiadas que impone
el presente Reglamento a fin de proteger los derechos y libertades del inte-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/76
resado («limitación del plazo de conservación»)?.
El considerando 39 se refiere a que: ?Los datos personales deben ser adecuados, pertinentes
y limitados a lo necesario para los fines para los que sean tratados. Ello requiere
, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación?, lo que implica que, en todo caso, los datos personales han de ser suprimidos
cuando se hayan cumplido dichos fines.
Añade el considerando 39 que: ?Para garantizar que los datos personales no se conservan
más tiempo del necesario, el responsable del tratamiento ha de establecer plazos
para su supresión o revisión periódica?.
De todo ello se infiere que está prohibido el mantenimiento con carácter indefinido de
los datos personales de un interesado.
Sin embargo, la entidad BURWEBS, S.L. asevera en su escrito de 12/07/2022 contestando
al requerimiento de prueba efectuado por la AEPD, y en relación con los datos
obtenidos de los usuarios registrados, que ?En relación a la duración de tratamiento de
los datos, hay que indicar en este punto que dichos datos se mantienen (tal y como se
indica en la cookie que los recaba) que son durante 365 días en cuanto a la IP, y en
caso de los datos de REGISTRATE, se mantienen por un tiempo indefinido, dado que
es la persona la que se registra la que otorga o no el consentimiento para el tratamiento
de los mismos?.
Hemos de significar que, aunque la base legitimadora del tratamiento sea el consentimiento
, esta no abarca el mantenimiento con carácter indefinido de los datos recopilados
por el responsable del usuario, máxime cuando tal previsión ni consta en el registro
de las actividades del tratamiento, ni el usuario ha sido informado a través de la Política
de Privacidad de la página web referenciada, de este particular.
En conclusión, la actuación de la entidad BURWEBS, S.L. manteniendo con carácter
indefinido los datos recopilados de los usuarios registrados en la página web https://
***URL.1 supone una vulneración del RGPD, lo que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia
Española de Protección de datos.
VIII.- Infracción.
El mantenimiento con carácter indefinido de los datos personales incumple lo
establecido en el artículo 5.1.e) del RGPD, con el alcance expresado en los
Fundamentos de Derecho anteriores, lo que supone la comisión de una infracción
tipificada en el artículo 83.5.a) del RGPD, que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/76
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción ?1. En función de lo que establece el artículo 83.5 del
Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: a) El tratamiento de datos
personales vulnerando los principios y garantías establecidos en el artículo 5 del
Reglamento (UE) 2016/679?.
IX.- Falta de información al interesado sobre la revocación del consentimiento, sobre el
derecho a presentar una reclamación ante la autoridad de control y sobre el plazo de
conservación de los datos de los usuarios registrados.
El artículo 13 del RGPD establece cuál es la información que deberá facilitarse cuando
los datos personales se obtengan del interesado,
?1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de
su representante;
b) los datos de contacto del delegado de protección de datos, en su
caso;
c)los fines del tratamiento a que se destinan los datos personales y la
base jurídica del tratamiento;
d)cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los
intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales
, en su caso;
f) en su caso, la intención del responsable de transferir datos personales
a un tercer país u organización internacional y la existencia o ausencia
de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado
1, párrafo segundo, referencia a las garantías adecuadas o apropiadas
y a los medios para obtener una copia de estas o al hecho de que
se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento
de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando
no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el
acceso a los datos personales relativos al interesado, y su rectificación
o supresión, o la limitación de su tratamiento, o a oponerse al tratamien-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/76
to, así como el derecho a la portabilidad de los datos;
c)cuando el tratamiento esté basado en el artículo 6, apartado 1, letra
a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar
el consentimiento en cualquier momento, sin que ello afecte a la licitud
del tratamiento basado en el consentimiento previo a su retirada;
d)el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual
, o un requisito necesario para suscribir un contrato, y si el interesado
está obligado a facilitar los datos personales y está informado de
las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de
perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en
tales casos, información significativa sobre la lógica aplicada, así como
la importancia y las consecuencias previstas de dicho tratamiento para
el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará
al interesado, con anterioridad a dicho tratamiento ulterior, información
sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado
2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en
la medida en que el interesado ya disponga de la información?.
El artículo 6 del RGPD dispone que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones: a) el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos?.
En cuanto a las condiciones para el consentimiento, el artículo 7.3 del RGPD establece
que ?El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
La retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo?.
Así, el artículo 13.2.c) del RGPD obliga al responsable del tratamiento a suministrar información
sobre la revocación del consentimiento cuando sea la base jurídica legitimadora
del tratamiento: ?cuando el tratamiento esté basado en el artículo 6, apartado 1,
letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento
en cualquier momento, sin que ello afecte a la licitud del tratamiento basado
en el consentimiento previo a su retirada?.
De los hechos probados se constata que la entidad BURWEBS, S.L. no informa a los
interesados de la posibilidad de revocar en cualquier momento el consentimiento prestado
por los usuarios para registrarse mediante el formulario dispuesto al efecto en la
web https://***URL.1.
Por otro lado, el artículo 13.2.d) del RGPD también obliga al responsable del trata-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/76
miento a suministrar información a los interesados sobre el derecho a presentar una
reclamación ante una autoridad de control, cuestión que no consta en ningún apartado
de la política de privacidad.
Además, el art. 13.2.a) del RGPD impone que el responsable informe al interesado sobre
?el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo?.
Pues bien, de la Política de Privacidad de la página web h ttps://***URL.1 se constata
que no se indica cuál es el plazo de conservación de los datos de los usuarios registrados
, que son el nombre y correo electrónico, así como todos aquellos que se comparten
a través del perfil (además del nombre, fotografía del perfil, en su caso, sexo,
edad, localización, etc.). No consta en lo que denominan ?Información básica sobre
protección de datos fichero de datos cliente?.
En la política de privacidad y respeto del plazo de conservación, tan sólo consta en el
apartado 2.4 durante cuánto tiempo conservan los datos recogidos para la entrega de
su newsletter y los datos de usuarios subidos a páginas y redes sociales.
En conclusión, la actuación de la entidad BURWEBS, S.L. al no suministrar toda la información
precisa a los interesados supone una vulneración del RGPD, lo que da lugar
a la aplicación de los poderes correctivos que el artículo 58 del citado Reglamento
otorga a la Agencia Española de Protección de datos.
X.- Infracción.
Los hechos acreditados incumplen lo establecido en el artículo 13 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.b) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22?.
A este respecto, la LOPDGDD, en su artículo 74 considera como infracción ?leve? a
efectos de prescripción ?las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho
de información del afectado por no facilitar toda la información exigida por
los artículos 13 y 14 del Reglamento (UE) 2016/679?.
XI.- Sobre el ejercicio de derechos y la presentación del DNI por el interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/76
Los derechos de las personas en materia de protección de datos personales están regulados
en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan
los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del
tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos
12 del RGPD y 12 de la LOPDGDD.
El artículo 12 ?Transparencia de la información, comunicación y modalidades de
ejercicio de derechos? del RGPD establece lo siguiente:
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar
al interesado toda información indicada en los artículos 13 y 14, así como
cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al
tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño. La información será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus
derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el
artículo 11.2, el responsable no se negará a actuar a petición del interesado
con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que
pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información relativa a
sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a
22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la
solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario,
teniendo en cuenta la complejidad y el número de solicitudes. El responsable
informará al interesado de cualquiera de dichas prórrogas en el plazo de un
mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el interesado presente la solicitud por medios electrónicos, la
información se facilitará por medios electrónicos cuando sea posible, a menos
que el interesado solicite que se facilite de otro modo.?
4.Si el responsable del tratamiento no da curso a la solicitud del interesado, le
informará sin dilación, y a más tardar transcurrido un mes de la recepción de la
solicitud, de las razones de su no actuación y de la posibilidad de presentar
una reclamación ante una autoridad de control y de ejercitar acciones
judiciales.
5.La información facilitada en virtud de los artículos 13 y 14 así como toda
comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22
y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente
infundadas o excesivas, especialmente debido a su carácter repetitivo, el
responsable del tratamiento podrá: a) cobrar un canon razonable en función de
los costes administrativos afrontados para facilitar la información o la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/76
comunicación o realizar la actuación solicitada, o b) negarse a actuar respecto
de la solicitud. El responsable del tratamiento soportará la carga de demostrar
el carácter manifiestamente infundado o excesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el art 11, cuando el responsable del
tratamiento tenga dudas razonables en relación con la identidad de la persona
física que cursa la solicitud a que se refieren los art. 15 a 21, podrá solicitar
que se facilite la información adicional necesaria para confirmar la identidad del
interesado.
7.La información que deberá facilitarse a los interesados en virtud de los
artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados
que permitan proporcionar de forma fácilmente visible, inteligible y claramente
legible una adecuada visión de conjunto del tratamiento previsto. Los iconos
que se presenten en formato electrónico serán legibles mecánicamente.
8.La Comisión estará facultada para adoptar actos delegados de conformidad
con el artículo 92 a fin de especificar la información que se ha de presentar a
través de iconos y los procedimientos para proporcionar iconos normalizados?.
Por su parte, el artículo 12 ?Disposiciones generales sobre ejercicio de los derechos?
de la LOPDGDD, en sus apartados 2 y 4, añade lo siguiente:
?2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios
a su disposición para ejercer los derechos que le corresponden. Los medios deberán
ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser
denegado por el solo motivo de optar el afectado por otro medio?.
?4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de
sus derechos formulado por el afectado recaerá sobre el responsable?.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes
RGPD
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento
debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos
, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3
del RGPD); viene obligado a responder las solicitudes formuladas a más tardar en un
mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado
; así como a expresar sus motivos en caso de que no atendiera la solicitud.
De lo anterior se desprende que la solicitud de ejercicio de derechos formulada por el
interesado debe ser respondida en todo caso, recayendo sobre el responsable la prueba
del cumplimiento de este deber.
Esta obligación de actuar no resulta exigible cuando el responsable del tratamiento
pueda demostrar que no está en condiciones de identificar al interesado (en los casos
a que se refiere el artículo 11.2 del RGPD). En supuestos distintos al previsto en este
artículo, en los que el responsable del tratamiento tenga dudas razonables en relación
con la identidad del solicitante, podrá requerir información adicional necesaria para
confirmar esa identidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/76
A este respecto, el Considerando 64 del RGPD se expresa en los términos siguientes:
?El responsable del tratamiento debe utilizar todas las medidas razonables para
verificar la identidad de los interesados que soliciten acceso, en particular en el
contexto de los servicios en línea y los identificadores en línea. El responsable
no debe conservar datos personales con el único propósito de poder responder
a posibles solicitudes?.
Sobre la cuestión relativa a verificación de la identidad de los solicitantes de derechos,
las normas antes expuestas son claras al señalar que este proceso de verificación
debe limitarse a los supuestos concretos en los que el responsable tenga dudas ?razonables? en relación con la identidad de la persona física que cursa la solicitud.
El artículo 12.6 del RGPD se refiere a todas las solicitudes de derechos y admite la posibilidad
de requerir, en aquellos supuestos, ?información adicional? necesaria para
confirmar la identidad del interesado. Particularmente, en relación con las solicitudes
de acceso en el contexto de los servicios en línea, el Considerando 64 del mismo Reglamento
se refiere a la posibilidad de que el responsable utilice todas las ?medidas
razonables? para verificar la identidad de los interesados.
Las normas que regulan el ejercicio de derechos no establecen, por tanto, la necesidad
de aportar ningún documento identificativo concreto para que puedan ser atendidas
, ni siquiera exigen que esa verificación de la identidad se realice mediante documentación.
Se refieren a la posibilidad de recabar ?información adicional? y a la utilización
de ?medidas razonables?, correspondiendo al responsable determinar qué información
y qué medidas resultan razonables en cada caso, atendidas las circunstancias
concurrentes y acudiendo siempre a los medios menos invasivos para la intimidad de
las personas solicitantes. Todo ello, bajo la condición previa de que se trate de un supuesto
en el que existan ?dudas razonables? sobre la identidad del solicitante.
La entidad BURWEBS, S.L. establece en su política de privacidad en relación con
?CÓMO PUEDO SOLICITAR LOS DERECHOS? que se hará ?Previa presentación de
su documento nacional de identidad o pasaporte, los titulares de los datos personales
(interesados) podrán ejercer sus derechos de acceso, rectificación, oposición, portabilidad
y limitación del tratamiento?.
Pues bien, podemos comprobar que se establece con carácter general y conditio sine
qua non, la aportación del DNI o pasaporte del interesado como exigencia para atender
el derecho que se ejercite. El procedimiento de gestión de derechos diseñado por
la entidad misma, en su condición de responsable, exige la documentación antes mencionada
en todos los casos, sin analizar previamente si se planteaban o no esas dudas
razonables.
Tampoco el procedimiento diseñado por la BURWEBS, S.L. contempla la posibilidad
de verificar la identidad del solicitante mediante otra información o medidas distintas a
la aportación de aquellos documentos acreditativos.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 12.2 del RGPD, por la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/76
exigencia de aportar el DNI o el pasaporte en todo caso y con carácter previo al
ejercicio de los derechos conferidos en el RGPD, independientemente de si hay dudas
razonables sobre la identidad del interesado, que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la AEPD.
XII.- Infracción.
Los hechos acreditados incumplen lo establecido en el artículo 12.2 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.b) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente: ?5. Las infracciones de las disposiciones siguientes se sancionarán, de
acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo
del volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22?.
A este respecto, la LOPDGDD, en su artículo 72 considera como infracción ?muy grave? a efectos de prescripción ?las infracciones que supongan una vulneración sustancial
de los artículos mencionados en aquel y, en particular, las siguientes:
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio
de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679?.
XIII.- Sobre el contenido obligatorio del registro de las actividades del tratamiento.
El artículo 30 del RGPD dispone que:
?1. Cada responsable y, en su caso, su representante llevará un registro de las
actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro
deberá contener toda la información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable
, del representante del responsable, y del delegado de protección de
datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos
personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los
datos personales, incluidos los destinatarios en terceros países u organizaciones
internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización
internacional, incluida la identificación de dicho tercer país u organización
internacional y, en el caso de las transferencias indicadas en el artículo
49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes
categorías de datos;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/76
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas
de seguridad a que se refiere el artículo 32, apartado 1?.
Así, la llevanza y el mantenimiento del registro de actividades del tratamiento es una
obligación del responsable del tratamiento por mor de la responsabilidad proactiva, y
que sirve para demostrar el cumplimiento de las obligaciones del responsable en relación
con lo dispuesto en el RGPD. En este sentido, el considerando 82 del RGPD dispone
que ?para demostrar la conformidad con el presente Reglamento, el responsable
o el encargado del tratamiento debe mantener registros de las actividades de tratamiento
bajo su responsabilidad. Todos los responsables y encargados están obligados
a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos
registros, de modo que puedan servir para supervisar las operaciones de tratamiento?.
Respecto de la obligatoriedad por parte del responsable del tratamiento de describir en
el registro de las actividades del tratamiento ?c) una descripción de las categorías de
interesados y de las categorías de datos personales?, hay que indicar que en el registro
de las actividades del tratamiento de los usuarios no registrados ni en el registro de
las actividades del tratamiento de los usuarios registrados se comprende tal previsión.
Por otro lado, el registro de las actividades del tratamiento debe establecer, cuando
sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
Tampoco se dispone en el registro de las actividades del tratamiento de los usuarios
no registrados y de los usuarios registrados cuál es el plazo de conservación de
los datos personales, máxime, cuando sí está previsto por el responsable del tratamiento.
Así, la entidad asevera en su escrito de 12/07/2022 contestando al requerimiento de
prueba efectuado por la AEPD, en relación con los datos obtenidos de los usuarios no
registrados señala que ?En relación a la duración de tratamiento de los datos, hay que
indicar en este punto que dichos datos se mantienen (tal y como se indica en la cookie
que los recaba) que son durante 365 días y la finalidad es meramente estadística así
como para poder ofertar a determinados países otros tipos de producciones?.
Y en relación con los datos obtenidos de los usuarios registrados, que ?En relación
con la duración de tratamiento de los datos, hay que indicar en este punto que dichos
datos se mantienen (tal y como se indica en la cookie que los recaba) que son durante
365 días en cuanto a la IP, y en caso de los datos de REGISTRATE, se mantienen por
un tiempo indefinido, dado que es la persona la que se registra la que otorga o no el
consentimiento para el tratamiento de estos?.
Por último, se denota la ausencia de determinación de la descripción general de las
medidas técnicas y organizativas de seguridad el artículo 32.1 del RGPD; si bien el
precepto determina que tales medidas se recogerán en el registro de las actividades
del tratamiento ?cuando sea posible?, el responsable del tratamiento no las integra en
el registro sin explicitarnos cuál es la imposibilidad.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 30.1 del RGPD, ya que el
registro de las actividades el tratamiento no comprende la totalidad de la información
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/76
requerida por la norma, que da lugar a la aplicación de los poderes correctivos que el
artículo 58 del citado Reglamento otorga a la Agencia Española de Protección de
datos.
XIV.- Infracciones
Los hechos acreditados incumplen lo establecido en el artículo 30.1 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía: a) las obligaciones del responsable y
del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 74 considera como infracción ?leve? a
efectos de prescripción ?las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda
la información exigida por el artículo 30 del Reglamento (UE) 2016/679?.
XV.- Sobre la solicitud del consentimiento de quien ostente la patria potestad o la tutela
de los menores de edad.
En el RGPD existen menciones específicas en relación con los menores en atención a
la especial protección que merecen los niños, tal y como previene el considerando 38
del RGPD: ?Los niños merecen una protección específica de sus datos personales, ya
que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos
concernientes al tratamiento de datos personales. Dicha protección específica
debe aplicarse en particular, a la utilización de datos personales de niños con fines de
mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención
de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente
a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser
necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente
a los niños?.
El artículo 8 del RGPD referido a las condiciones aplicables al consentimiento del niño
en relación con los servicios de la sociedad de la información:
?1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta
directa a niños de servicios de la sociedad de la información, el tratamiento
de los datos personales de un niño se considerará lícito cuando tenga como
mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se
considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad
o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/76
Los Estados miembros podrán establecer por ley una edad inferior a tales fines
, siempre que esta no sea inferior a 13 años.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en
tales casos que el consentimiento fue dado o autorizado por el titular de la patria
potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual
de los Estados miembros, como las normas relativas a la validez, formación
o efectos de los contratos en relación con un niño?.
Completa el anterior la previsión del artículo 7 de la LOPDGDD que determina que ?1.
El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse
en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria
potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se
recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento
, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance
que determinen los titulares de la patria potestad o tutela?.
El artículo 8 del RGPD establece en qué supuestos resulta de aplicación. Examinemos
si en el supuesto ahora examinado nos encontramos ante esta situación.
Primero requiere que el tratamiento esté relacionado con servicios de la sociedad de la
información ofrecidos directamente a un niño.
En cuanto a lo que se entiende por servicio de la sociedad de la información, la Directiva
(UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de septiembre de 2015
por la que se establece un procedimiento de información en materia de reglamentaciones
técnicas y de reglas relativas a los servicios de la sociedad de la información, dispone
en su artículo 1.1.b) qué se entiende por servicio: ?«servicio»: todo servicio de la
sociedad de la información, es decir, todo servicio prestado normalmente a cambio de
una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario
de servicios. A efectos de la presente definición, se entenderá por: i) «a distancia
», un servicio prestado sin que las partes estén presentes simultáneamente, ii) «por
vía electrónica», un servicio enviado desde la fuente y recibido por el destinatario mediante
equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento
de datos y que se transmite, canaliza y recibe enteramente por hilos, radio,
medios ópticos o cualquier otro medio electromagnético, iii) «a petición individual de
un destinatario de servicios», un servicio prestado mediante transmisión de datos a
petición individual?.
Examinada la página web esta cumple con las previsiones de ser un servicio de la sociedad
de la información.
Segundo, se requiere que los servicios sean ofrecidos directamente a un niño. Esto
supone que no será ofrecido directamente a un niño si el proveedor de estos servicios
pone de manifiesto a los usuarios que los ofrece sólo a personas mayores de edad (18
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/76
años).
Pues bien, si bien la entidad BURWEBS, S.L. advierte en su banner que el sitio web es
para mayores de edad, afirmando que no tratan datos de menores y que existe la obligatoriedad
de tener más de 18 años, lo cierto es que en la política de privacidad de la
página web ahora examinada se recoge sin ambages que ?Se prohíbe el que menores
de 14 años pongan los datos en nuestros formularios de recogida de datos, dado que
es contrario al art. 8 RGPD, en caso de necesitar el consentimiento de un menor, deberá
darlo y por lo tanto recoger datos de la persona que ostenta la Patria Potestad y/
o tutela del menor?.
De esta forma queda patente que el servicio se ofrece directamente a un niño en el
sentido del RGPD, por lo que resulta claramente de aplicación el artículo 8 de dicho
texto legal.
Basándose el tratamiento de datos personales consistente en el registro del usuario en
el consentimiento del interesado, cuando este sea menor de 14 años su consentimiento
sólo será lícito si consta el del titular de la patria potestad o tutela. Así lo determina
la normativa y avala la jurisprudencia (por todas Sentencia de la Audiencia Nacional de
2 de enero de 2013, RJCA 2013, 100).
Resulta que el sistema de registro establecido por la entidad BURWEBS, S.L. en la página web https://***URL.1 no establece ninguna previsión respecto de la prestación
del consentimiento por parte de los titulares de la patria potestad o tutela.
Consta en los hechos probados como existen perfiles de usuarios registrados menores
de edad y de 14 años.
Pero hay más, pues si se trata del consentimiento prestado por mayores de 14 años,
el responsable del tratamiento debe establecer medidas razonables que le permitan
verificar que el menor supera los 14 años ya que no requiere más que su propio consentimiento.
Tampoco existe en la página web ningún instrumento que verifique que el
usuario que se pretende registrar es mayor de 14 años.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 8 del RGPD, en relación con
las condiciones aplicables al consentimiento del niño en relación con los servicios de la
sociedad de la información pues no se requiere ni el consentimiento de los titulares de
la patria potestad o de la tutela sin son niños menores de 14 años ni se establecen
mecanismos para asegurar que se registra un niño mayor de 14 años, que da lugar a
la aplicación de los poderes correctivos que el artículo 58 del citado Reglamento
otorga a la Agencia Española de Protección de datos.
XVI.- Infracciones
Los hechos acreditados incumplen lo establecido en el artículo 8 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/76
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 73 considera como infracción ?grave? a
efectos de prescripción ?las infracciones que supongan una vulneración sustancial de
los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento
, cuando tenga capacidad para ello, o el del titular de su patria potestad
o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del
consentimiento prestado por un menor de edad o por el titular de su patria potestad
o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del
Reglamento (UE) 2016/679?.
XVII.- Privacidad desde el diseño
El artículo 25 del RGPD establece que ?Teniendo en cuenta el estado de la técnica, el
coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así
como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para
los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará
, tanto en el momento de determinar los medios de tratamiento como en el momento
del propio tratamiento, medidas técnicas y organizativas apropiadas, como la
seudonimización, concebidas para aplicar de forma efectiva los principios de protección
de datos, como la minimización de datos, e integrar las garantías necesarias en el
tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos
de los interesados?.
Se complementa con lo previsto en el considerando 78 del RGPD que nos indica que
?La protección de los derechos y libertades de las personas físicas con respecto al tratamiento
de datos personales exige la adopción de medidas técnicas y organizativas
apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento.
A fin de poder demostrar la conformidad con el presente Reglamento, el
responsable del tratamiento debe adoptar políticas internas y aplicar medidas que
cumplan en particular los principios de protección de datos desde el diseño y por defecto.
Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento
de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia
a las funciones y el tratamiento de datos personales, permitiendo a los interesados
supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar
elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones,
servicios y productos que están basados en el tratamiento de datos personales o que
tratan datos personales para cumplir su función, ha de alentarse a los productores de
los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protec-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/76
ción de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones,
y que se aseguren, con la debida atención al estado de la técnica, de que los responsables
y los encargados del tratamiento están en condiciones de cumplir sus obligaciones
en materia de protección de datos. Los principios de la protección de datos
desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los
contratos públicos?.
El principio de privacidad desde el diseño es una muestra del paso de la reactividad a
la proactividad y al enfoque de riesgos que impone el RGPD. Reflejo claro de la responsabilidad
proactiva, impone que, desde los estadios más iniciales de planificación
de un tratamiento debe de ser considerado este principio: el responsable del tratamiento
desde el momento en que se diseña y planifica un eventual tratamiento de datos
personales deberá determinar todos los elementos que conforman el tratamiento,
llevado a cabo mediante un ejercicio de análisis y detección de los riesgos durante
todo el ciclo de tratamiento de los datos, con la finalidad primera y última de proteger
los datos personales y los derechos y libertades de los interesados y no sólo cuando
efectivamente se produce el tratamiento. Así se expresa en las Directrices 4/2019 del
CEPD relativas al artículo 25 Protección de datos desde el diseño y por defecto, adoptadas
el 20 de octubre de 2020.
En las citadas Directrices se indica al respecto que ?35. El «momento de determinar
los medios de tratamiento» hace referencia al período de tiempo en que el responsable
está decidiendo de qué forma llevará a cabo el tratamiento y cómo se producirá
este, así como los mecanismos que se utilizarán para llevar a cabo dicho tratamiento.
En el proceso de adopción de tales decisiones, el responsable del tratamiento debe
evaluar las medidas y garantías adecuadas para aplicar de forma efectiva los principios
y derechos de los interesados en el tratamiento, y tener en cuenta elementos
como los riesgos, el estado de la técnica y el coste de aplicación, así como la naturaleza
, el ámbito, el contexto y los fines. Esto incluye el momento de la adquisición y la implementación
del software y hardware y los servicios de tratamiento de datos.
36. Tomar en consideración la PDDD desde un principio es crucial para la correcta
aplicación de los principios y para la protección de los derechos de los interesados.
Además, desde el punto de vista de la rentabilidad, también interesa a los responsables
del tratamiento tomar la PDDD en consideración cuanto antes, ya que más tarde
podría resultar difícil y costoso introducir cambios en planes ya formulados y operaciones
de tratamiento ya diseñadas?.
Para ello debe recurrir al diseñar el tratamiento a los principios recogidos en el artículo
5 del RGPD, que servirán para aquilatar el efectivo cumplimiento del RGPD. Así, las
citadas Directrices 4/2019 del CEPD disponen que ?61. Para hacer efectiva la PDDD,
los responsables del tratamiento han de aplicar los principios de transparencia, licitud,
lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo
de conservación, integridad y confidencialidad, y responsabilidad proactiva. Estos principios
están recogidos en el artículo 5 y el considerando 39 del RGPD?.
La Guía de Privacidad desde el Diseño de la AEPD dispone que ?La privacidad debe
formar parte integral e indisoluble de los sistemas, aplicaciones, productos y servicios,
así como de las prácticas de negocio y procesos de la organización. No es una capa
adicional o módulo que se añade a algo preexistente, sino que debe estar integrada
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/76
en el conjunto de requisitos no funcionales desde el mismo momento en el que se
concibe y diseña (?) La privacidad nace en el diseño, antes de que el sistema esté en
funcionamiento y debe garantizarse a lo largo de todo el ciclo de vida de los datos?.
Por ello, la privacidad desde el diseño, obligación del responsable del tratamiento que
nace antes de que el sistema esté en funcionamiento, no son parches que se van
asentando sobre un sistema construido de espaldas al RGPD.
Ligado a la edificación de una verdadera cultura de protección de datos en la organización
, implica también por mor de la responsabilidad proactiva la capacidad de documentar
todas las decisiones que se adopten con un enfoque ?privacy design thinking?,
demostrando el cumplimiento del RGPD también en este aspecto.
Pues bien, la totalidad de los hechos descritos y probados en esta propuesta de resolución
a los que nos remitimos, sumados a las alegaciones formuladas por la entidad
BURWEBS, S.L. a lo largo del procedimiento, ponen de manifiesto la ausencia total de
privacidad desde el diseño.
Parece, más bien, como si la entidad se hubiera puesto a tratar los datos personales
de los usuarios de su página web directamente, sin pararse a evaluar el ciclo de tratamiento
de los datos personales, qué datos personales se van a tratar, en qué consiste
exactamente la finalidad prevista respecto del tratamiento, unida a la valoración de los
plazos de conservación de los datos personales en todos los casos, las cesiones de
datos, los riesgos presentes, la adopción de medidas técnicas y organizativas apropiadas
para evitar su materialización, cómo y qué ha de suministrarse como información,
el procedimiento de gestión de ejercicio de derechos o la solicitud del consentimiento y
su acreditación, entre otras cuestiones. Y todo ello obviando los principios recogidos
en el artículo 5 del RGPD.
XVIII.- Infracciones
Los hechos acreditados incumplen lo establecido en el artículo 25 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 73 considera como infracción ?grave? a
efectos de prescripción ?las infracciones que supongan una vulneración sustancial de
los artículos mencionados en aquel y, en particular, las siguientes:
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para aplicar de forma efectiva los principios de protección de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
55/76
datos desde el diseño, así como la no integración de las garantías necesarias
en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento
(UE) 2016/679?.
XIX.- Sobre la Advertencia de contenido para adultos y la ?Política del Protección del
Menor en Internet?.
El Dictamen 2/2009 del Grupo de Trabajo del Artículo 29 sobre la protección de los
datos personales de los niños (Directrices generales y especial referencia a las
escuelas) nos indica que: ?Un niño es un ser humano en el más amplio sentido de la
palabra. Por este motivo, debe disfrutar de todos los derechos de la persona, incluido
el derecho a la protección de los datos personales. Ahora bien, el niño se encuentra
en una situación particular que es preciso considerar desde dos perspectivas: estática
y dinámica. Desde el punto de vista estático, el niño es una persona que todavía no ha
alcanzado la madurez física y psicológica. Desde el punto de vista dinámico, se
encuentra en un proceso de desarrollo físico y mental que le convertirá en adulto. Los
derechos del niño y su ejercicio - incluido el derecho a la protección de datos - deben
expresarse teniendo presentes ambas perspectivas?.
Así, el Grupo de Trabajo del Artículo 29 pone de manifiesto no sólo la importancia del
niño por la dignidad inherente al mismo al ser ?un ser humano en el más amplio
sentido de la palabra?, sino que muestra la necesidad de protección de este, también
desde el Derecho Fundamental a la Protección de Datos de Carácter Personal, por la
situación de inferioridad y riesgo en la que se encuentra al no haber alcanzado plena
madurez y estar en proceso de desarrollo hacia la adultez.
El considerando 39 del RGPD resalta que ?Los niños merecen una protección
específica de sus datos personales, ya que pueden ser menos conscientes de los
riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos
personales. Dicha protección específica debe aplicarse en particular, a la utilización de
datos personales de niños con fines de mercadotecnia o elaboración de perfiles de
personalidad o de usuario, y a la obtención de datos personales relativos a niños
cuando se utilicen servicios ofrecidos directamente a un niño?.
En cuanto a los riesgos, el considerando 75 del RGPD ejemplifica algunos de los
presentes en nuestra sociedad, sin perjuicio de muchos otros que pueden al
materializarse, lesionar los derechos y libertades de las personas físicas. Llamaremos
la atención en que comprende entre las personas vulnerables a los niños, cuyo
tratamiento de datos personales constituye un riesgo en sí mismo.
Así dispone que ?Los riesgos para los derechos y libertades de las personas físicas,
de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que
pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular
en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación,
usurpación de identidad o fraude, pérdidas financieras, daño para la reputación,
pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no
autorizada de la seudonimización o cualquier otro perjuicio económico o social
significativo; en los casos en los que se prive a los interesados de sus derechos y
libertades o se les impida ejercer el control sobre sus datos personales; en los casos
en los que los datos personales tratados revelen el origen étnico o racial, las opiniones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
56/76
políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento
de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las
condenas e infracciones penales o medidas de seguridad conexas; en los casos en
los que se evalúen aspectos personales, en particular el análisis o la predicción de
aspectos referidos al rendimiento en el trabajo, situación económica, salud,
preferencias o intereses personales, fiabilidad o comportamiento, situación o
movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que
se traten datos personales de personas vulnerables, en particular niños; o en los
casos en los que el tratamiento implique una gran cantidad de datos personales y
afecte a un gran número de interesados?.
No sólo el tratamiento de datos personales de un niño como persona vulnerable es un
riesgo, sino que en el caso de los niños los riesgos que afectarían a cualquier colectivo
se amplifican por su situación de vulnerabilidad, por lo que los peligros per se son
mayores que si afectan a un mayor de edad. Ello implica que, desde el enfoque de
riesgo, pilar fundamental del RGPD, haya que habilitar las medidas técnicas y
organizativas de seguridad apropiadas para evitar la materialización de riesgo muy alto
causando una lesión en sus derechos y libertades, teniendo en consideración como
punto de partida que nos encontramos con el tratamiento de datos personales de
niños.
El considerando 76 lo abona al entender que ?La probabilidad y la gravedad del riesgo
para los derechos y libertades del interesado debe determinarse con referencia a la
naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe
ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si
las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto?.
Los riesgos a los que están afectos los niños y su evitación se fundamentan en el
interés superior del menor, consagrado en la Convención de Naciones Unidas sobre
los Derechos del Niño (artículo 3) y confirmado posteriormente por la Convención 192
del Consejo de Europea (artículo 6) y la Carta de los Derechos Fundamentales de la
UE (artículo 24, N.2).
En el Dictamen 2/2009 del Grupo de Trabajo del Artículo 29 sobre la protección de los
datos personales de los niños se prevé que ?La justificación de este principio es que
una persona que todavía no ha alcanzado la madurez física y psicológica necesita
más protección que otras personas. Su finalidad es mejorar las condiciones del niño y
reforzar el derecho de éste a desarrollar su personalidad?.
También en el Derecho español se contiene tal previsión. Así, podemos citar la Ley
Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación
parcial del Código Civil y de la Ley de Enjuiciamiento Civil o la Ley Orgánica 8/2021,
de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.
El artículo 2 de la Ley Orgánica 1/1996 determina que ?Todo menor tiene derecho a
que su interés superior sea valorado y considerado como primordial en todas las
acciones y decisiones que le conciernan, tanto en el ámbito público como privado. En
la aplicación de la presente ley y demás normas que le afecten, así como en las
medidas concernientes a los menores que adopten las instituciones, públicas o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
57/76
privadas, los Tribunales, o los órganos legislativos primará el interés superior de los
mismos sobre cualquier otro interés legítimo que pudiera concurrir?.
Idéntica protección se proyecta en protección de datos respecto de los menores.
Resulta significativo que el art. 76.2 de la LOPDGDD considere como criterio de
graduación de las sanciones la afectación de los derechos de los menores, lo que
pone de manifiesto que el legislador español, siguiendo la estela del ordenamiento
jurídico, refiere una importancia vital en su protección, en la relevancia y en la
sensibilidad de los menores.
En el supuesto que estamos examinando, la pornografía es considerada por nuestro
legislador como un riesgo específico respecto de los menores. El artículo 45 de la Ley
Orgánica 8/2021 afirma que es un riesgo ?el acceso y consumo de pornografía entre la
población menor de edad?. Especialmente en un mundo interconectado donde
los menores de edad bucean en internet desde edades cada vez más tempranas.
Así se comprende en el Dictamen 02/2013 del Grupo de Trabajo del Artículo 29 sobre
las aplicaciones de los dispositivos inteligentes, que en relación con los niños
establece lo que sigue: «(?) 3.10 Niños. Los niños son ávidos usuarios de
aplicaciones, ya sea en dispositivos propios o en dispositivos compartidos (con sus
padres, sus hermanos o en un centro educativo), y existe claramente un gran mercado
de aplicaciones diversas destinadas a ellos. Pero, al mismo tiempo, los niños apenas
comprenden o conocen, si es que lo hacen en absoluto, el alcance y la sensibilidad de
los datos a que las aplicaciones pueden acceder, o el alcance de los datos
compartidos con terceros para fines publicitarios?.
También citaremos el Acuerdo de la Comisión Nacional de los Mercados y la
Competencia de 16 de junio de 2022 en relación con la denuncia contra una
plataforma de intercambio de vídeos de pornografía por el presunto incumplimiento de
la obligación de establecer mecanismos de verificación de edad, en el que se
especifica la temprana edad de acceso a estas plataformas, en pleno proceso de
desarrollo de los menores de edad: ?Se debe tener en cuenta que en el caso español,
el acceso a la pornografía en internet resulta realmente preocupante toda vez que más
del 50% de los adolescentes españoles de entre 14 y 17 años suele ver regularmente
pornografía en internet, que la edad media de inicio en el consumo de pornografía son
los 14 años entre los adolescentes hombres y los 16 años en el caso de las mujeres y
que, sin embargo, al menos uno de cada cuatro varones se ha iniciado antes de los 13
y la edad más temprana de acceso se anticipa ya a los 8 años?.
Siguiendo con el citado Acuerdo de la Comisión Nacional de los Mercados y la
Competencia, en el mismo se describen las características de la pornografía en
internet en relación con los riesgos a los que se ven sometidos los menores:
?Entre las principales características de la pornografía en internet figura que la
misma es fácilmente accesible, a cualquier hora y desde cualquier lugar. Las
nuevas tecnologías y la proliferación de dispositivos de uso personal han
permitido un grado de accesibilidad prácticamente inmediato a este tipo de
contenidos por parte de los menores.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
58/76
Otra de las características es que la oferta de pornografía es asequible, toda
vez que se percibe como mayoritariamente gratuita, aunque es innegable la
conexión que la pornografía tiene con la publicidad se servicios o artículos
sexuales, de contenidos de pago (en directo, por encargo, por catálogo), de
contactos pagados, entre otros.
Relacionado con lo anterior, se pueden encontrar diversos niveles de
interacción del usuario final, desde la mínima interacción anónima
(visualización de vídeos) hasta una intensa interactividad de relación cara a
cara a partir del contacto a distancia, en un nuevo contexto de acceso a la
prostitución (contactos pagados), pasando por modalidades de diversa
implicación.
Otro importante aspecto a destacar es que parte de las prácticas sexuales que
exhibe la pornografía en internet muestra la relación sexual de forma
estereotipada siendo dominante la satisfacción del deseo sexual masculino y la
representación de las fantasías sexuales masculinas. Asimismo, incluyen
prácticas de alto riesgo como puede ser la práctica de sexo sin protección o
aquellas en las que media violencia física o verbal.
El acceso por parte de los menores a este tipo de pornografía en internet
preocupa especialmente por la forma en que el menor puede llegar a entender
las relaciones interpersonales y el sexo.
En efecto, la representación de unas relaciones sexuales estereotipadas, dan
pie a la cosificación sexual de la mujer, la exhibición de personajes con
atributos físicos predefinidos impacta negativamente en la autoestima de los
menores (las chicas se sienten físicamente inferiores y los chicos dudan de su
virilidad) y la normalización de ciertas prácticas extremas alteran la percepción
de los sobre su aceptabilidad.
Las características de la pornografía en internet antes descritas favorecen y
facilitan que haya un elevado interés por parte de los menores por acceder a
contenidos pornográficos. A su vez, las consecuencias de dicho acceso y
consumo masivo pueden incidir de manera importante en la formación del
carácter de los menores, cuya protección debe prevalecer?.
Como podemos comprobar, y resultando plenamente aplicable a la protección
procurada por el RGPD, cada una de las características definidas en este Acuerdo
suponen un riesgo claro en el desarrollo psicológico de los menores.
Sin perjuicio de las obligaciones que el ordenamiento jurídico impone a los padres
respecto de los menores, en virtud de las previsiones del art. 154 del Código Civil en
cuanto a velar por ellos, educarlos y procurarles una formación integral, ello no hurta al
responsable del tratamiento el cumplimiento de las obligaciones impuestas por el
RGPD respecto de los menores y de los riesgos de estos implicados en el tratamiento
de datos personales que les concierna.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
59/76
En este sentido las Directrices 4/2019 del CEPD disponen respecto del principio de
lealtad que ?Los responsables del tratamiento no deben transferir los riesgos de la
empresa a los interesados?.
Los riesgos a los que están afectos los menores, inherentes a su desarrollo, han de
ser considerados por los responsables del tratamiento, y no sólo por aquellos que
dirigen servicios directa y específicamente a los niños, sino por todos aquellos que
realizan tratamientos de datos personales dirigidos a otros colectivos en los que los
menores puedan interactuar o intervenir (en una sociedad cada vez más tecnológica) y
ver en riesgo su integridad física o psicológica y comprometidos su derechos y
libertades.
Cuando el servicio va dirigido de manera exclusiva a mayores de edad, cuando el
responsable del tratamiento auto limite su tratamiento a mayores de edad, respecto de
servicios que pueden comportar un riesgo para los menores, entonces, también sus
esfuerzos, derivados de sus obligaciones, deben ir dirigidos a garantizar que sólo se
traten datos de mayores de edad.
Este último es el supuesto en el que nos encontramos, en el que BURWEBS, S.L.
asevera repetidamente en sus alegaciones que el contenido de la web está dirigido
exclusivamente a adultos y que es obligatorio ser mayor de edad, a pesar de lo que
establecen en su política de privacidad respecto de los menores.
Al diseñar un tratamiento, el responsable del tratamiento determina, entre otras
cuestiones, cuáles son las categorías de interesados y las categorías de datos
personales concernidos en el tratamiento en relación con la finalidad perseguida por el
mismo.
La entidad decide que las categorías de interesados se limitan a los mayores de edad,
por lo que le corresponde implementar las medidas técnicas y organizativas
apropiadas para que el tratamiento se efectúe únicamente respecto de interesados
mayores de edad. Ello conlleva que también implemente las medidas técnicas y
organizativas apropiadas para que los datos de los menores de edad no sean tratados.
En el caso de la web en cuestión existe un riesgo cierto de que los menores accedan
directamente y sin limitaciones a un contenido tan perjudicial para ellos.
Si observamos las limitaciones o cautelas previstas en la página web, estas son
claramente insuficientes para limitar el acceso a los menores, tanto de forma directa a
la página web (usuarios no registrados) como para registrarse en la página web
(usuarios registrados).
Si bien hay presentes mecanismos para ?declarar? la edad, no existe ninguno para
comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría
una medida apropiada para evitar la materialización de los altos riesgos en los
derechos y libertades de los menores que, como hemos visto, están presentes. Amén
de que el tratamiento se ajuste a lo decidido por el responsable del tratamiento
(obligatoriedad de ser mayor de edad) y únicamente se traten datos de las categorías
de interesados ?mayores de edad?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
60/76
Además, el mecanismo para declarar la edad no funciona adecuadamente, pues aun
cliqueando en la opción >, si se cliquea en cualquier
otro sitio de la página, el banner de advertencia desaparece y se posibilita el acceso al
contenido de la web
Tal y como consta en los hechos probados al entrar en la web por primera vez,
aparece un banner de advertencia donde se muestra la advertencia de que el sitio web
a que se intenta acceder contiene material pornográfico y solicita la confirmación de
ser mayor de edad:
?+ 18. SITIO WEB PARA MAYORES DE EDAD: ?El sitio al que estás accediendo
contiene material pornográfico y su acceso es para mayores de edad. Para acceder
al mismo tienes que confirmar que cumples con la edad legal de tu país para poder
acceder a este tipo de contenido?.
?Soy mayor de edad y acepto las cookies >?.
>
> >
No obstante, si se opta por abandonar el sitio, cliqueando en la opción abandonar el sitio>>, la web devuelve al usuario al navegador que se esté utilizando,
pero si se cliquea en cualquier otro sitio de la página, el banner de advertencia desaparece
y se posibilita el acceso al contenido de la web.
A mayor abundamiento, la Ley 13/2022, de 7 de julio, General de Comunicación
Audiovisual, en cuyo artículo 89 y, en cuanto a lo que nos interesa a efectos
ilustrativos y vigente desde el 9 de julio de 2022, en relación con el servicio de
intercambio de vídeos, se establecen las medidas para la protección de los usuarios y
de los menores frente a determinados contenidos audiovisuales. Se establece que ?1.
Los prestadores del servicio de intercambio de vídeos a través de plataforma, para
proteger a los menores y al público en general de los contenidos audiovisuales
indicados en el artículo anterior, tomarán las siguientes medidas: e) Establecer y
operar sistemas de verificación de edad para los usuarios con respecto a los
contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores
que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más
nocivos, como la violencia gratuita o la pornografía? (el subrayado es nuestro).
Y es que la entidad BURWEBS, S.L. presta un servicio de intercambio de vídeos a
través de la página web en cuestión, pues los usuarios registrados agregan y
comparten vídeos con otros usuarios, estando obligada a establecer y operar sistemas
de verificación de edad como medida para proteger a los menores. Y ello en los
términos del Acuerdo de la Comisión Nacional de los Mercados y la Competencia de
16/06/22.
Pues bien, llegados a este punto, el responsable del tratamiento, como parte de su
responsabilidad proactiva debe cumplir y demostrar el cumplimiento de las previsiones
del RGPD y de la LOPDGDD, entre las que se encuentran la legitimación para el
tratamiento de datos personales y la adopción de medidas de seguridad adecuadas
para evitar los riesgos en los derechos y libertades de las personas físicas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
61/76
El artículo 24 del RGPD establece que:
?teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento, así como los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento es conforme con el presente Reglamento.
Dichas medidas se revisarán y actualizarán cuando sea necesario?.
Ese precepto no limita la adopción de medidas de seguridad a los sujetos objeto del
tratamiento, sino que, centrándose en el riesgo derivado del tratamiento considerando
la naturaleza, ámbito, contexto y fines del tratamiento, impone la adopción de las
medidas técnicas y organizativas precisas para garantizar que el tratamiento es
conforme al RGPD.
En atención a todo lo antedicho, la entidad BURWEBS, S.L. debe adecuar el
tratamiento de sus datos personales al RGPD, por lo que debe adoptar medidas de
seguridad apropiadas mediante las que se verifique la edad de los usuarios,
registrados o no, que accedan a la página web en cuestión, garantizando que son
mayores de edad.
XX.- Medidas
El artículo 58.2 del RGPD establece los poderes correctivos de los que dispone una
autoridad de control. El apartado d) del precepto citado establece que puede consistir
en ?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado?.
Asimismo, procede imponer la medida correctiva descrita en el artículo 58.2.d) del
RGPD y ordenar a BURWEBS, S.L. que, en el plazo de un mes, establezca las
medidas de seguridad adecuadas para que se verifique la edad de los usuarios,
garantizando que sean mayores de edad, impidiendo que se produzcan situaciones
similares en el futuro.
En el texto de la resolución se establecen cuáles han sido los hechos que determinan
la necesidad de adecuación a la normativa de protección de datos, de lo que se infiere
con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de
procedimientos, mecanismos o instrumentos concretos para implementarlas
corresponda a la parte sancionada, pues es el responsable del tratamiento quien
conoce plenamente su organización y ha de decidir, en base a la responsabilidad
proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD.
En todo caso, y a título meramente informativo, indicaremos que resultando obligatorio
implementar mecanismos de verificación de edad por la entidad BURWEBS, S.L.
respecto de lo previsto en el artículo 89 de la Ley 13/2022, de 7 de julio, General de
Comunicación Audiovisual, tales medidas puede servir también a que el tratamiento
efectuado sea conforme al RGPD, lo que, en todo caso, tendrá que ser valorado por el
responsable del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
62/76
XXI.- Poderes correctivos de la AEPD
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los poderes
correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados
a continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando
las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento
;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento
se ajusten a las disposiciones del presente Reglamento, cuando proceda, de
una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de cada
caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d) anterior
es compatible con la sanción consistente en multa administrativa.
XXII.- Sanciones
A fin de determinar la multa administrativa a imponer se han de observar las previsiones
de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición
de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente
en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento
, habida cuenta de las medidas técnicas u organizativas que hayan aplicado
en virtud de los artículos 25 y 32;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
63/76
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento
;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación
con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción?.
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD dispone
:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario
, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos
en los que existan controversias entre aquellos y cualquier interesado?.
En este caso, considerando la gravedad de las infracciones constatadas, procede la
imposición de multa y, en su caso, la adopción de medidas.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de las sanciones
a imponer en el presente caso, se considera que procede graduar las multas de
acuerdo con los siguientes criterios:
1.- Con respecto a la infracción del artículo 5.1.a) del RGPD tipificada en el artículo
83.5.a) del RGPD, calificada como muy grave a los efectos de la prescripción en el ar-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
64/76
tículo 72.1.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios
que establece el art 83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a): La falta de lealtad y de transparencia afecta
a todos los tratamientos realizados respecto de los usuarios de la página
web, estén o no registrados. Constriñe y limita la capacidad de decisión de los
usuarios, que están así perdiendo el control sobre sus datos personales.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de la página
web. Se considera de especial importancia recordar en este punto, la SAN
de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en
el caso ahora examinado, cuando la actividad de la recurrente es de constante
y abundante manejo de datos de carácter personal ha de insistirse en el rigor y
el exquisito cuidado por ajustarse a las prevenciones legales al respecto". Por
tanto, si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso
este apartado como agravante cualificado, al constatarse la falta de diligencia
debía en este caso, con respecto a la gestión de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a datos
personales relativos a la vida sexual u orientación sexual de una persona.
La tipología de vídeos que se agregan y se comparten, los que se visualizan de
otros usuarios (con la posibilidad de ?darle un me gusta?) y añadirlos a los mostrados
en el perfil del usuario, los comentarios que se vierten al respecto, ponen
de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en la web se ven implicados los datos personales de los usuarios de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
65/76
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.a) del RGPD, es de 15.000 euros (quince mil euros).
2.- Respecto de la infracción del artículo 5.1.b) del RGPD tipificada en el artículo
83.5.a) del RGPD, y calificada como muy grave a efecto de prescripción en el artículo
72.1.a) se estima concurrentes como agravantes los criterios que establece el artículo
83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
La falta de identificación de todos los fines del tratamiento, que se infieren de
las manifestaciones de la entidad, pero que no se recogen explícitamente ni en
el registro de actividades del tratamiento ni en la política de privacidad, ni se
exponen al interesado en toda su amplitud, constriñe y limita la capacidad de
decisión de los usuarios, que están así perdiendo el control sobre sus datos
personales, así como la posibilidad de ejercer efectivamente los derechos que
les confiere el RGPD.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de las páginas
webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta
con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de
que, en el caso ahora examinado, cuando la actividad de la recurrente es de
constante y abundante manejo de datos de carácter personal ha de insistirse
en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al
respecto". Por tanto, si nos atenemos a la jurisprudencia del TS, podríamos
considerar incluso este apartado como agravante cualificado, al constatarse la
falta de diligencia debía en este caso, con respecto a la gestión de los datos
personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a datos
personales relativos a la vida sexual u orientación sexual de una persona.
La tipología de compras que se realizan, incluyendo la suscripción a determinados
vídeos sexuales, muestran hábitos y preferencias sexuales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
66/76
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en las webs se ven implicados los datos personales de los usuarios de
esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.b) del RGPD, es de 15.000 euros (quince mil euros).
3.- Con respecto a la infracción del artículo 5.1.e) del RGPD tipificada en el artículo
83.5.a) del RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios
que establece el art 83.2 RGPD:
El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a): La conservación con carácter indefinido de
todos los datos personales de los usuarios registrados determina una falta
absoluta de seguridad jurídica y la pérdida el control sobre sus datos
personales.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de la página
web. Se considera de especial importancia recordar en este punto, la SAN
de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en
el caso ahora examinado, cuando la actividad de la recurrente es de constante
y abundante manejo de datos de carácter personal ha de insistirse en el rigor y
el exquisito cuidado por ajustarse a las prevenciones legales al respecto?. Por
tanto, si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso
este apartado como agravante cualificado, al constatarse la falta de diligencia
debía en este caso, con respecto a la gestión de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a datos
personales relativos a la vida sexual u orientación sexual de una persona.
La tipología de vídeos que se agregan y se comparten, los que se visualizan de
otros usuarios (con la posibilidad de ?darle un me gusta?) y añadirlos a los mos-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
67/76
trados en el perfil del usuario, los comentarios que se vierten al respecto ponen
de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla
en la web se ven implicados los datos personales de los usuarios de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los
tratamientos efectuados afectan a menores de edad en los términos recogidos
en la política de privacidad, afectando la conservación indefinida de los datos
personales a éstos.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.e) del RGPD, es de 15.000 euros (quince mil euros).
4.- Con respecto a la infracción del artículo 13 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como leve a los efectos de la prescripción en el artículo
74.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que
establece el art 83.2 RGPD:
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de la página
web. Se considera de especial importancia recordar en este punto, la SAN
de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en
el caso ahora examinado, cuando la actividad de la recurrente es de constante
y abundante manejo de datos de carácter personal ha de insistirse en el rigor y
el exquisito cuidado por ajustarse a las prevenciones legales al respecto". Por
tanto, si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso
este apartado como agravante cualificado, al constatarse la falta de diligencia
debía en este caso, con respecto a la gestión de los datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla
en la web se ven implicados los datos personales de los usuarios de esta.
El balance de las circunstancias contempladas anteriormente permite valorar la multa,
por la infracción del artículo citado en 3.000 euros (tres mil euros).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
68/76
5.- Con respecto a la infracción del artículo 12.2 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como muy grave a los efectos de la prescripción en el
artículo 72.1.k) de la LOPDGDD, se estiman concurrentes como agravantes los
criterios que establece el art 83.2 RGPD:
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de la
página web. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados datos personales de los usuarios de esta.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
Infracción del artículo 12.2 del RGPD, es de 5.000 euros (cinco mil euros).
6.- Con respecto a la infracción del artículo 30.1 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como leve a los efectos de la prescripción en el artículo
74.l) de la LOPDGDD, el balance de las circunstancias contempladas anteriormente
permite valorar la multa, por la infracción del artículo citado en 1.000 euros (mil euros).
7. Con respecto a la infracción del artículo 8 del RGPD tipificada en el artículo 83.4.a)
del RGPD y calificada como grave a los efectos de la prescripción en el artículo 73.a) y
b) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que establece
el art 83.2:
El alcance o propósito de la operación de tratamiento de datos, así como los interesados
afectados, (apartado a): Tratándose del registro como usuario en
una página web que ofrece pornografía, y en la que se comparten datos identificativos
, la edad, la localización y en la se compartir vídeos de contenido sexual
, entre otras cuestiones, el consentimiento que han de prestar los padres o
tutores de menores de 14 años para que estos se registren resulta fundamental.
Es de una gravedad inusitada que no se establezcan mecanismos para solicitar
el consentimiento y para acreditar su obtención, atendiendo especialmen-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
69/76
te a la especial vulnerabilidad de los menores de edad y a la situación de exposición
que provoca su registro como usuarios.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad, (apartado
b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de la página web.
Se considera de especial importancia recordar en este punto, la SAN de 17 de
octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal Supremo
viene entendiendo que existe imprudencia siempre que se desatiende un deber
legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia
exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente
la profesionalidad o no del sujeto, y no cabe duda de que, en el caso
ahora examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito
cuidado por ajustarse a las prevenciones legales al respecto". Por tanto,
si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso este
apartado como agravante cualificado, al constatarse la falta de diligencia debía
en este caso, con respecto a la gestión de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados menores de
edad, afecta a datos personales relativos a la vida sexual u orientación sexual
de una persona. La tipología de vídeos que se agregan y se comparten, los
que se visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se vierten
al respecto, ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados los datos personales de los usuarios de la página web.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 8 del RGPD, es de 6.000 euros (seis mil euros).
8.- Con respecto a la infracción del artículo 25 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en el artículo
73.d) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que
establece el art 83.2:
El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a): El tratamiento de los datos personales
empieza desde el diseño del tratamiento. La falta de diseño por parte del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
70/76
responsable del tratamiento afecta de una manera inmediata y directa a todos
los derechos de los interesados reconocidos en el RGPD, como sucede en el
presente caso; y ello porque en vez de responder el tratamiento a una lógica
interna y a unos parámetros prestablecidos con carácter previo siguiendo el
RGPD, estudiados y examinados en base a la responsabilidad proactiva y al
enfoque de riesgos, resulta que ninguna de las actuaciones de la entidad
BURWEBS, S.L. encajan entre sí, de tal forma que producen confusión y
disensión entre los usuarios.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de la página
web. Se considera de especial importancia recordar en este punto, la SAN
de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta con
la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en
el caso ahora examinado, cuando la actividad de la recurrente es de constante
y abundante manejo de datos de carácter personal ha de insistirse en el rigor y
el exquisito cuidado por ajustarse a las prevenciones legales al respecto". Por
tanto, si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso
este apartado como agravante cualificado, al constatarse la falta de diligencia
debía en este caso, con respecto a la gestión de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a datos
personales relativos a la vida sexual u orientación sexual de una persona.
La tipología de vídeos que se agregan y se comparten, los que se visualizan de
otros usuarios (con la posibilidad de ?darle un me gusta?) y añadirlos a los mostrados
en el perfil del usuario, los comentarios que se vierten al respecto, ponen
de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en la web se ven implicados los datos personales de los usuarios de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados e indebidamente proyectados y diseñados afectan a menores
de edad en los términos recogidos en la política de privacidad.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
71/76
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 25 del RGPD, es de 10.000 euros (diez mil euros).
XXIII.- Sobre la ?Política de Cookies? de la web:
a).- Sobre la instalación de cookies en el equipo terminal previo al consentimiento:
El artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información
clara y completa sobre la utilización de los dispositivos de almacenamiento y
recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.
Esta información debe facilitarse con arreglo a lo dispuesto el RGPD. Por tanto,
cuando la utilización de una cookie conlleve un tratamiento que posibilite la
identificación del usuario, los responsables del tratamiento deberán asegurarse del
cumplimiento de las exigencias establecidas por la normativa sobre protección de
datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las
obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias
para la intercomunicación de los terminales y la red y aquellas que prestan un servicio
expresamente solicitado por el usuario.
En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales. Estas cookies quedarían
excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería
necesario informar ni obtener el consentimiento sobre su uso.
Por el contrario, será necesario informar y obtener el consentimiento previo del usuario
antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de
tercera parte, de sesión o persistentes.
En la comprobación realizada en la página web en cuestión se pudo constatar que, al
entrar en su página principal y sin realizar ningún tipo de acción sobre la misma, se
utilizan cookies de terceros no necesarias, sin el previo consentimiento del usuario.
b).- Sobre el banner de información de cookies existente en la primera capa (página
principal):
El banner sobre cookies de la primera capa deberá incluir información referente a la
identificación del editor responsable del sitio web, en el caso de que sus datos identificativos
no figuren en otras secciones de la página o que su identidad no pueda desprenderse
de forma evidente del propio sitio. Deberá incluir también una Identificación
genérica de las finalidades de las cookies que se utilizarán y si éstas son propias o
también de terceros, sin que sea necesario identificarlos en esta primera capa. Además
, deberá incluir información genérica sobre el tipo de datos que se van a recopilar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
72/76
y utilizar en caso de que se elaboren perfiles de los usuarios y deberá incluir información
y el modo en que el usuario puede aceptar, configurar y rechazar la utilización de
cookies, con la advertencia, en su caso, de que, si se realiza una determinada acción,
se entenderá que el usuario acepta el uso de las cookies.
A parte de la información genérica sobre cookies, en este banner deberá existir un enlace
claramente visible dirigido a una segunda capa informativa sobre el uso de las
cookies. Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración
de cookies, siempre que el acceso al panel de configuración sea directo, esto
es, que el usuario no tenga que navegar dentro de la segunda capa para localizarlo.
En el caso que nos ocupa, se ha podido constatar que no existe ningún tipo de banner
que informe de forma genérica sobre cookies que utiliza la página web, sin son propias
y/o de terceros y su misión.
c).- Sobre el consentimiento a la utilización de cookies no necesarias:
Para la utilización de las cookies no exceptuadas, será necesario obtener el consentimiento
del usuario de forma expresa. Este consentimiento se puede obtener haciendo
clic en, ?aceptar? o infiriéndolo de una inequívoca acción realizada por el usuario que
denote que el consentimiento se ha producido inequívocamente. Por tanto, la mera
inactividad del usuario, hacer scroll o navegar por el sitio web, no se considerará a estos
efectos, una clara acción afirmativa en ninguna circunstancia y no implicará la
prestación del consentimiento por sí misma. Del mismo modo, el acceso a la segunda
capa si la información se presenta por capas, así como la navegación necesaria para
que el usuario gestione sus preferencias en relación con las cookies en el panel de
control, tampoco es considerada una conducta activa de la que pueda derivarse la
aceptación de cookies.
No está permitido tampoco la existencia de ?Muros de Cookies?, esto es, ventanas
emergentes que bloquean el contenido y el acceso a la web, obligando al usuario a
aceptar el uso de las cookies para poder acceder a la página y seguir navegando sin
ofrecer al usuario ningún tipo de alternativa que le permita gestionar libremente sus
preferencias sobre la utilización de las cookies.
Si la opción es dirigirse a una segunda capa o panel de control de cookies, el enlace
debe llevar al usuario directamente a dicho panel de configuración. Para facilitar la selección
, en el panel podrá implementarse, además de un sistema de gestión granular
de cookies, dos botones más, uno para aceptar todas las cookies y otro para rechazarlas
todas. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, se
entenderá que ha rechazo todas las cookies. En relación con esta segunda posibilidad,
en ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies.
Si para la configuración de las cookies, la web remite a la configuración del navegador
instalado en el equipo terminal, esta opción podría ser considerada complementaria
para obtener el consentimiento, pero no como único mecanismo. Por ello, si el editor
se decanta por esta opción, debe ofrecer además y en todo caso, un mecanismo que
permita rechazar el uso de las cookies y/o hacerlo de forma granular.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
73/76
Por otra parte, la retirada del consentimiento prestado previamente por el usuario deberá
poder ser realizado en cualquier momento. A tal fin, el editor deberá ofrecer un
mecanismo que posibilite retirar el consentimiento de forma fácil en cualquier momento.
Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso
sencillo y permanente al sistema de gestión o configuración de las cookies.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la
utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información
sobre las herramientas proporcionadas por el navegador y los terceros, debiendo
advertir que, si el usuario acepta cookies de terceros y posteriormente desea
eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los
terceros para ello.
En el presente caso, se ha podido constatar que, no existe ningún mecanismo que
posibilite rechazar de una sola vez las cookies que no son técnicas o necesarias y la
forma de gestionar la utilización de cookies es a través del panel de control. No
obstante, si se accede al panel de control, se comprueba como las cookies que se
indican (acc4; coocfg; pucam ; scrm; user; favs; avscoo), están premarcadas en la
opción de ?aceptadas?, no coincidiendo con las cookies de terceros detectadas al
entrar en la web (_ga ; _gid e gat_gtag_UA_2407138_5).
Dentro del panel de control, si se opta por deshabilitar todas las cookies que se
indican, desplazando el cursor desde la posición ?ON? a la posición ?OFF?, con el
objetivo de no permitir la utilización de cookies que no sean técnicas, se comprueba
como la opción de ?Guardar la configuración? desaparece, no posibilitando rechazar
las cookies.
La única forma de que la opción ?guardar la configuración? no desaparezca es
habilitando una cookie, pero incluso, en este caso, si se deja habilitada una cookie y
se rechazan las demás, se comprueba como la opción ?Guardar la Configuración? está
deshabilitada, pero se comprueba que esta opción no funciona.
d).- Sobre la información suministrada en la segunda capa (Política de Cookies):
En la Política de Cookies se debe proporcionar información más detallada sobre las
características de las cookies, incluyendo información sobre, la definición y función genérica
de las cookies (qué son las cookies); sobre el tipo de cookies que se utilizan y
su finalidad (qué tipos de cookies se utilizan en la página web); la identificación de
quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada
solo por el editor y/o también por terceros con identificación de estos últimos; el periodo
de conservación de las cookies en el equipo terminal; y si es el caso, información
sobre las transferencias de datos a terceros países y la elaboración de perfiles que implique
la toma de decisiones automatizadas.
En el caso que nos ocupa, de la información sobre cookies que se proporciona en la
segunda capa de la web, se ha detectado que no se proporciona la identificación de
las cookies que se utilizan, si estás son propias o de terceros, ni del tiempo que estarán
activas en el equipo terminal.
XXIV.-Infracción sobre la ?Política de Cookies?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
74/76
Las deficiencias detectadas en la ?Política de Cookies? de la página web en cuestión,
suponen por parte de la entidad BURWEBS S.L., la comisión de la infracción del artículo
22.2 de la LSSI, pues establece que:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición
de que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular, sobre
los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario
para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica
al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario,
para la prestación de un servicio de la sociedad de la información expresamente
solicitado por el destinatario?.
Esta Infracción está tipificada como ?leve? en el artículo 38.4 g), de la citada Ley, que
considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario
del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser sancionada
con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada LSSI.
XXV.- Sanción con respecto a la ?Política de Cookies?.
Con respecto a la infracción del artículo 22.2 de la LSSI, tipificada como ?leve? en el
artículo 38.4 g), de la citada Ley, se estima adecuado imponer una sanción de 5.000
euros, (cinco mil euros), por las irregularidades detectadas en la página web ***URL.1.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 5.1.a) del RGPD, tipificada en el artículo 83.5.a) del
RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, una sanción de 15.000 euros (quince mil euros).
SEGUNDO: IMPONER a la entidad, BURWEBS S.L., titular de la página web
***URL.1, por la infracción del artículo 5.1.b) del RGPD, tipificada en el artículo 83.5.a)
del RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, una sanción de 15.000 euros (quince mil euros).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
75/76
TERCERO: IMPONER a la entidad, BURWEBS S.L., titular de la página web
***URL.1, por la infracción del artículo 5.1.e) del RGPD, tipificada en el artículo 83.5.a)
del RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, con una sanción de 15.000 euros (quince mil euros).
CUARTO: IMPONER a la entidad BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 13 del RGPD, tipificada en el artículo 83.5.b) del RGPD y
calificada como leve a los efectos de la prescripción en el artículo 74.a) de la
LOPDGDD, una sanción de 3.000 euros (tres mil euros).
QUINTO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 12.2 del RGPD, tipificada en el artículo 83.5.b) del RGPD
y calificada como muy grave a los efectos de la prescripción en el artículo 72.1.k) de la
LOPDGDD , una sanción de 5.000 euros (cinco mil euros).
SEXTO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 30.1 del RGPD, tipificada en el artículo 83.4.a) del RGPD
y calificada como leve a los efectos de la prescripción en el artículo 74.l) de la
LOPDGDD, una con una sanción de 1.000 euros (mil euros).
SÉPTIMO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 8 del RGPD, tipificada en el artículo 83.4.a) del RGPD y
calificada como grave a los efectos de la prescripción en el artículo 73. a) y b) de la
LOPDGDD, una con una sanción de 6.000 euros (seis mil euros).
OCTAVO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo 25 del RGPD, tipificada en el artículo 83.4.a) del RGPD y
calificada como grave a los efectos de la prescripción en el artículo 73.d) de la
LOPDGDD, una con una sanción de 10.000 euros (diez mil euros).
NOVENO: IMPONER a la entidad, BURWEBS S.L., titular de la página web ***URL.1,
por la infracción del artículo Infracción del artículo 22.2 de la LSSI, una sanción de
5.000 euros (cinco mil euros).
DÉCIMO: ORDENAR a la entidad BURWEBS, S.L. que implante, en el plazo de un
mes, las medidas correctoras necesarias para adecuar su actuación a la normativa de
protección de datos personales, así como que informe a esta Agencia en el mismo
plazo sobre las medidas adoptadas.
DÉCIMO PRIMERO: NOTIFICAR la presente resolución a la entidad BURWEBS S.L.,
con CIF.: B09414913
DÉCIMO SEGUNDO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto
en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario
que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
76/76
0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad
bancaria CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en
período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.6 de la
LOPDGDD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición la Directora de la Agencia Española de Protección de Datos en
el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución
o directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo
de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y
en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el
artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si
el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es