Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00555-2021 de 31 de octubre de 2022
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 314 min
Órgano: Agencia Española de Protección de Datos
Fecha: 31/10/2022
Num. Resolución: PS-00555-2021
Cuestión
1 / 122Procedimiento Nº: PS/00555/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas de oficio por la Agencia Española de Protección de
Datos ante la entidad , TECHPUMP SOLUTIONS S.L . con CIF.: B33950338, titular de
las páginas web: www....
Contestacion
1/122
Procedimiento Nº: PS/00555/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas de oficio por la Agencia Española de Protección de
Datos ante la entidad, TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la presunta vulneración de la normativa de
protección de datos: Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27/04/16, relativo a la Protección de las Personas Físicas en lo que
respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos
(RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (LOPDGDD) y Ley 34/2002, de 11 de
julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) y
atendiendo a los siguientes:
ANTECEDENTES
PRIMERO: Con fecha 11/03/21, la Directora de la Agencia Española de Protección de
Datos acordó la apertura de actuaciones previas de investigación frente a la entidad,
TECHPUMP SOLUTIONS S.L. atendiendo a los poderes de investigación que la
autoridad de control puede disponer al efecto, establecidos en el apartado 1), del
artículo 58 el RGPD, y en relación con el posible tratamiento de datos los personales
de menores de catorce años, obtenidos durante la navegación por las páginas webs y
el posible perfilado de los mismos, abriéndose para ello el expediente: E/02419/2021.
SEGUNDO: Con fecha 23/03/21, por parte de esta Agencia, en relación con lo
estipulado en el artículo 65.4 de la Ley LOPDGDD, se envió a la entidad, TECHPUMP
SOLUTIONS S.L. escrito de solicitud de información sobre los siguientes puntos: - La
gestión de los riesgos asociado a las actividades de tratamiento en que se pudiera
producir un acceso ilegítimo de un menor a los contenidos que ofrecen; - La
evaluación de impacto relativa a la protección de datos respecto del análisis de
riesgos; - Medidas técnicas y organizativas implantadas en su entidad que suponga
limitación de acceso de menores de edad a los contenidos ofrecidos; - Limitaciones
para que los menores accedan dichos contenidos; - Política de privacidad y ubicación
pública de la misma; - Medidas técnicas y organizativas a tomar en su entidad ante
eventual comprobación de un acceso indebido de un menor a sus contenidos; -
Medidas técnicas y organizativas que reflejen la protección de datos personales y los
procesos de verificación y evaluación de la eficacia de las medidas y sobre si realizan
perfilado de los datos personales de quienes acceden a sus contenidos.
TERCERO: Con fecha 05/04/21, la entidad, TECHPUMP SOLUTIONS S.L., remite a
esta Agencia, escrito de contestación, en el cual, entre otras, indica lo siguiente:
?TECHPUMP SOLUTIONS S.L., es propietaria de diferentes dominios en
internet, creadas con contenido para adultos. Entiendo que se hace referencia
a una de nuestras páginas web, y en este momento no sabemos exactamente
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
2/122
a qué página o dominio se refiere la Autoridad de control que pueda incumplir.
Precisaríamos de más exactitud para poder otorgar más información acerca de
lo que nos solicita en su escrito. De todos modos y a modo general cabe
indicar que Techpump Solutions S.L., no trata datos de carácter personal de
menores.
Solamente tratamos datos de carácter personal, en un apartado concreto de
las páginas que está dedicada a ?MIEMBROS?, y para acceder se solicita un
USUARIO y CONTRASEÑA. Para poder tener acceso a ese apartado, se
recogen mediante un formulario datos básicos de contacto. No solicitando en
nuestros formularios de recogida de datos, ningún dato sensible que pueda ser
encuadrado en el Art. 9 del RGPD.
Aportamos una captura de pantalla de la zona de acceso a miembros así como
del formulario de registro, donde se puede comprobar cómo se solicita una
cuenta de correo electrónico y un número de tarjeta de crédito, donde se
precisa expresamente que, al proceder al pago, se estaría certificando que el
usuario es, una vez más, mayor de edad según su jurisdicción, lo que por otra
parte es ajustado a la normativa bancaria en materia de servicios de pago que
exige la mayoría de edad al titular de la tarjeta.
Tampoco hacemos ningún PERFILADO DE DATOS, en relación con los datos
que puedan darnos nuestros clientes, en todo caso nuestras cookies, tal y
como indica nuestra política de cookies lo que hacen es un análisis de las
visitas que recibimos, principalmente donde navegan los usuarios en nuestras
páginas.
TECHPUMP SOLUTIONS S.L., cuenta con mi asesoramiento como DPD, y
con un departamento formado y encargado de fiscalizar que en todas nuestras
webs se informe adecuadamente y se cumpla, informando tanto del contenido
adulto, como la obligatoriedad de tener más de 18 años.
Se cuenta además con un clic afirmativo, advirtiendo que el sitio web es sólo
para adultos, informando que para entrar y utilizar el mismo es obligatorio tener
al menos 18 años y ser mayor de edad en la jurisdicción en la que te
encuentres, todo ello con la finalidad de poner una barrera ante el hecho de
entrar en una web de contenido para adultos. En su momento, se decidió
implementar dicha medida como medida de control de acceso o por lo menos
avisar mediante esta medida que el contenido es para adultos. Hacemos
referencia incluso por escrito diciendo ?tienes que tener más de 18 años para
verlo? , en nuestras webs, al igual que avisamos que todo lo que aparece en
las páginas webs esta realizado por profesionales (actores y actrices) y que
todos son mayores de 18 años. Hecho que recogemos en cada uno de los
contratos que tenemos para poder grabar las películas. Independientemente
del clic obligatorio para entrar. Adjuntamos el registro de tratamiento de
personas que acceden a nuestra página web y se encuadran en el apartado
miembros, tal y como nos solicita.
En su momento se evaluó la información que se recogía y trataba de forma
automatizada en el apartado MIEMBROS. Se comprobó en relación sobre la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
3/122
necesidad de realizar un PIA o EIPD, en relación con los datos que
tratábamos. Creímos conveniente que la información que almacenábamos no
justificaba el tener obligación de realizar una EIPD. Lo que sí se realizó, tal
como indica la legislación sobre protección de datos, fue un análisis de riesgos
en relación con la privacidad y manejo de datos y siempre en relación con la
obtención, tratamiento y conservación de los datos.
En relación con el RIESGO DE ACCESO DE MENORES en nuestras páginas
web: En su momento, vimos que podía ser un problema, pero un problema que
no debería estar en nuestro ámbito. Se analizo el Código Civil, y el control que
nuestra entidad podía tener sobre los actos de menores de edad que se
conectasen a nuestras web, llegando a la conclusión que la medida a tomar
más drástica y eficaz en España era utilizar el DNI electrónico para acceder a
las páginas web, pero esta solución a priori eficaz y posible de implementar a
todas las personas que se conectan en nuestras webs, es imposible de
implementar por varios motivos: a) Las personas que se conectan no están
todas ubicadas en España en países que carecen de ese sistema de
identificación valido. b) En España (si nos limitamos a personas que acceden
desde España) la tenencia y uso del DNI es obligatoria desde los 14 años. Por
lo que se decidió, como no podía ser de otra forma, que conforme al art. 1903
del CC, en relación con la responsabilidad es de las personas que tienen la
Patria Potestad.
Creímos que no podíamos asumir un riesgo que no podíamos controlar por lo
que el riesgo era asumible implementando un sistema de control por nuestra
parte donde se recordase que las páginas eran para mayores de edad y tener
un banner indicando si el usuario es mayor o menor de edad.
Al igual que los menores no pueden (por capacidad legal), contratar un servicio
de internet, ni ser responsables de lo que hagan nuestra limitación, conforme a
nuestro análisis de riesgos se queda en el momento que los padres tienen un
deber de vigilancia y responsabilidad sobre lo que los menores realizan. Art.
154 y 269 del Código Civil, existe una Responsabilidad In vigilando pudiendo
implantar en el uso aplicaciones dirigidas específicamente a niños y launchers
que impiden que el menor acceda a otro tipo de aplicaciones o alguna de las
aplicaciones de control parental que ofrecen los propios desarrolladores de
sistemas operativos, operadores de telefonía y otras empresas, como control
de tiempo de uso de dispositivos, bloqueo de acceso a aplicaciones, control de
tiempo de uso por aplicación, control de actividad en redes sociales, gestión
remota para padres y tutores e incluso localización GPS.
Como alternativa a las aplicaciones de control parental, existen otras
herramientas que permiten evitar el acceso a contenido inapropiado mediante
la configuración de servidores DNS que filtrarán y no resolverán aquellas
peticiones que puedan dirigir al menor a este tipo de contenido. Por lo tanto,
entendimos en el momento que la fórmula es que los padres apliquen un
CONTROL PARENTAL tal y como la propia Agencia, es un elemento que hace
que nuestro riesgo a estos hechos disminuya.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
4/122
No anunciamos en medios, que no sean para adultos, nuestras páginas web
de contenidos para adultos, por lo que es difícil que en buscadores habituales
de uso de menores salgan anunciadas las mismas, si no se accede
voluntariamente. Le entregamos la política de privacidad de nuestra web.
Hemos procedido a mantener una reunión entre el Delegado de Protección de
datos, la Dirección de la mercantil y el Director de programación, donde el
resultado de esta ha sido que se realice inmediatamente una comprobación de
todas las páginas web propiedad de la mercantil afectada, para subsanar las
barreras que se acordaron incorporar con la finalidad de proteger que un
menor acceda a contenido de adultos.
La Guía que la AEPD nos hace llegar ideas como las que se exponen en la
misma, y que puede ser una solución más robusta a lo que tenemos
implementado. Como la herramienta YOTI que parece según la Guía como la
más adecuada. Realizaremos estudio de la posible implantación?.
CUARTO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web www.cumlouder.com :
a).- Sobre el acceso a las páginas webs y el control parental:
1.- Al entrar en la web por primera vez, aparece un banner de advertencia de
contenido para adultos a pie de página: ?Tienes que tener más de 18 años para poder
visitarlo. Todas las modelos de esta web son mayores de edad?.
2.- A través de la pestaña ?Miembros ? Regístrate ahora?, situada en la parte superior
de la página principal, se despliega un formulario donde se pueden introducir datos
personales de los usuarios, como el nombre y el correo electrónico, así como los datos
de la tarjeta de crédito.
Antes de enviar el formulario para registrarse, se debe cliquear en el botón de ?_Está
de acuerdo con los >, la >, la
>, de Techpump Solutions S.L.U. para esta compra?.
b).- Sobre la Política de Privacidad:
1.- Si se accede a la >, a través del enlace existente en el
formulario de registro y en la parte inferior de la página principal, la web redirige al
usuario a una nueva página: https://www.cumlouder.com/legal/ donde se proporciona
información, únicamente en idioma inglés, sobre, la propiedad del sitio web; Los datos
de contacto del responsable del tratamiento de datos; - información sobre la protección
de datos de los archivos de datos de clientes; la finalidad prevista; - la legitimidad del
consentimiento del usuario; - los destinatarios de las transferencias de datos; - cómo
ejercer sus derechos; - la confidencialidad; - información sobre los datos almacenados,
por cuanto tiempo; - sobre la eliminación de la lista de distribución de información; -
sobre la legitimidad consentimiento y sobre los destinatarios de las transferencias de
datos.
c).- Sobre la Política de Cookies:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
5/122
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, entre las que se encuentran cookies cuyos dominios pertenecen a terceras
partes, como a ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas al
dominio del responsable de la web.
2.- No existe ningún tipo de banner en la página principal que informe sobre la ?Política
de Cookies?.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no sean
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de éstas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.cumlouder.com/es/cookies-policy/ , donde se proporciona, en
idioma inglés, información sobre, qué son las cookies y qué tipos de cookies existen y
sobre la gestión de las cookies, la web remite usuario a hacerlo a través del navegador
instalado en su equipo terminal.
QUINTO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web: https://www.serviporno.com/:
a).- Sobre el tratamiento de datos personales:
1.- Al entrar en la web por primera vez, no aparece ningún tipo de banner de
advertencia de contenido para adultos.
2.- A través de la pestaña ?Regístrate?, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre, apellidos, correo electrónico y fecha de nacimiento.
En el mismo formulario, existe el siguiente mensaje premarcado en la opción ?acepto?:
?X Estoy de acuerdo con los términos y condiciones?.
b).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de los términos y condiciones?, a través del enlace
existente en el formulario de registro y en la parte inferior de la página principal
>, la web redirige al usuario a una nueva página:
https://www.serviporno.com/terms/ donde se proporciona información, únicamente en
idioma inglés, sobre: la aceptación de los términos y condiciones; la descripción; el
acceso; la política de terminación de la cuenta; la garantías; la renuncia de garantía; la
limitación de responsabilidad y la indemnización.
2.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página: https://www.serviporno.com/legal/ donde se proporciona información,
únicamente en idioma inglés, sobre: La propiedad del sitio web; Los datos de contacto
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
6/122
del responsable del tratamiento de datos; - información sobre la protección de datos de
los archivos de datos de clientes; la finalidad prevista; - la legitimidad del
consentimiento del usuario; - los destinatarios de las transferencias de datos; - cómo
ejercer sus derechos; - la confidencialidad; - información sobre los datos almacenados,
por cuanto tiempo; - sobre la eliminación de la lista de distribución de información; -
sobre la legitimidad consentimiento y sobre los destinatarios de las transferencias de
datos.
c).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, entre las que se encuentran cookies cuyos dominios pertenecen a terceras
partes, como a ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas al
dominio del responsable de la web (.serviporno.com).
2.- No existe ningún tipo de banner en la página principal que informe sobre la ?Política
de Cookies?.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no sean
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de éstas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.serviporno.com/cookies-policy/ , donde se proporciona, en idioma
inglés, información sobre, qué son las cookies y qué tipos de cookies existen; Sobre la
gestión de las cookies, la web remite usuario a hacerlo a través del navegador
instalado en su equipo terminal.
SEXTO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en las páginas webs https://www.soloporno.xxx/
a).- Sobre el tratamiento de datos personales:
1.- Al entrar en la web por primera vez, no aparece ningún tipo de banner de
advertencia de contenido para adultos a pie de página.
2.- A través de la pestaña ?Contacto?, situada en la parte inferior de la página principal,
se despliega el correo electrónico del usuario para poder enviar un mensaje a la
dirección de correo: san@techpump.com con el asunto: ?SoloPorno ? Contact?
3.- A través de la pestaña ?Webmasters?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?SoloPorno ?
Webmasters?.
4.- A través de la pestaña ?Anúnciate Aquí?, situada en la parte inferior de la página
principal, se despliega un formulario https://www.trfpump.com/ , donde se puede
introducir datos personales del usuario como, el nombre y el correo electrónico.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
7/122
b).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página, https://www.soloporno.xxx/legal.html donde se proporciona información,
únicamente en idioma inglés, sobre: La propiedad del sitio web; Los datos de contacto
del responsable del tratamiento de datos; - información sobre la protección de datos de
los archivos de datos de clientes; la finalidad prevista; - la legitimidad del
consentimiento del usuario; - los destinatarios de las transferencias de datos; - cómo
ejercer sus derechos; - la confidencialidad; - información sobre los datos almacenados,
por cuanto tiempo; - sobre la eliminación de la lista de distribución de información; -
sobre la legitimidad consentimiento y sobre los destinatarios de las transferencias de
datos.
c).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, entre las que se encuentran cookies cuyos dominios pertenecen a terceras
partes, como a ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas al
dominio del responsable de la web (.soloporno.xxx).
2.- No existe ningún tipo de banner en la página principal que informe sobre la ?Política
de Cookies?.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no sean
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.soloporno.xxx/cookies-policy.html , donde se proporciona, en
idioma inglés, información sobre, qué son las cookies y qué tipos de cookies existen y
sobre la gestión de las cookies, la web remite usuario a hacerlo a través del navegador
instalado en su equipo terminal.
SÉPTIMO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web: https://www.porn300.com/es/:
a).- Sobre el tratamiento de datos personales:
1.- Al entrar en la web por primera vez, aparece un banner de advertencia de
contenido para adultos a pie de página:
CONTROL PARENTAL
Porn300 está clasificado con la etiqueta RTA. Padres, podéis bloquear fácilmente el
acceso a este sitio. Por favor, leed > para más información.
No obstante, si se accede a través del enlace (>) se comprueba que,
en la página de destino, https://www.rtalabel.org/index.php?content=parents&t=.es# ,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
8/122
el contenido es extremadamente obsoleto. La mayoría de los enlaces conducen a
páginas que no existen, e incluso en el caso de uno de los enlaces, este conduce a
una tienda de venta de paquetes de acceso a sitios de contenido para adultos.
2.- A través de la pestaña ?Regístrate?, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre y el correo electrónico, fecha de nacimiento, y localidad.
En el mismo formulario, existe el siguiente mensaje premarcado en la opción ?acepto?,
en idioma inglés: ?X I agree to the >?.
b).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de los términos y condiciones?, a través del enlace
existente en el formulario de registro y en la parte inferior de la página principal
>, la web redirige al usuario a una nueva página:
https://www.porn300.com/terms/ donde se proporciona información, únicamente en
idioma inglés, sobre: la aceptación de los términos y condiciones; la descripción; el
acceso; la política de terminación de la cuenta; la garantías; la renuncia de garantía; la
limitación de responsabilidad y la indemnización.
2.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página: https://www.porn300.com/terms/ donde se proporciona información,
únicamente en idioma inglés, sobre: La propiedad del sitio web; Los datos de contacto
del responsable del tratamiento de datos; - información sobre la protección de datos de
los archivos de datos de clientes; la finalidad prevista; - la legitimidad del
consentimiento del usuario; - los destinatarios de las transferencias de datos; - cómo
ejercer sus derechos; - la confidencialidad; - información sobre los datos almacenados,
por cuanto tiempo; - sobre la eliminación de la lista de distribución de información; -
sobre la legitimidad consentimiento y sobre los destinatarios de las transferencias de
datos.
c).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, entre las que se encuentran cookies cuyos dominios pertenecen a terceras
partes, como a ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas al
dominio del responsable de la web (.porno300.com).
2.- No existe ningún tipo de banner que informe sobre cookies en la página principal o
primera capa de la web.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no son
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.porn300.com/cookies-policy/ https://www.serviporno.com/cookies-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
9/122
policy/, donde se proporciona, en idioma inglés, información sobre, qué son las
cookies y qué tipos de cookies existen y sobre la gestión de las cookies, la web remite
usuario a hacerlo a través del navegador instalado en su equipo terminal.
OCTAVO: Con fecha 09/09/21, por parte de esta Agencia se realizan las siguientes
comprobaciones en la página web: https://www.diverporno.com/
a).- Sobre el tratamiento de datos personales:
1.- Al entrar en la web por primera vez, no aparece ningún tipo de banner de
advertencia de contenido para adultos a pie de página.
2.- A través de la pestaña ?Contacto?, situada en la parte inferior de la página principal,
se despliega el correo electrónico del usuario para poder enviar un mensaje a la
dirección de correo: san@techpump.com con el asunto: ?DiverPorno ? Contact?
3.- A través de la pestaña ?Webmasters?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?DiverPorno ?
Webmasters?.
4.- A través de la pestaña ?Anúnciate con Nosotros?, situada en la parte inferior de la
página principal, se despliega un formulario https://www.trfpump.com/ donde se puede
introducir datos personales del usuario como, el nombre y el correo electrónico.
b).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página, https://www.diverporno.com/legal/ donde se proporciona información,
únicamente en idioma inglés, sobre: La propiedad del sitio web; Los datos de contacto
del responsable del tratamiento de datos; - información sobre la protección de datos de
los archivos de datos de clientes; la finalidad prevista; - la legitimidad del
consentimiento del usuario; - los destinatarios de las transferencias de datos; - cómo
ejercer sus derechos; - la confidencialidad; - información sobre los datos almacenados,
por cuanto tiempo; - sobre la eliminación de la lista de distribución de información; -
sobre la legitimidad consentimiento y sobre los destinatarios de las transferencias de
datos.
c).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción
sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o
necesarias, entre las que se encuentran cookies cuyos dominios pertenecen a terceras
partes, como a ?Google Analytics?: _ga, _gid, _gat, pero que se instalan asociadas al
dominio del responsable de la web (.diverporno.com).
2.- No existe ningún tipo de banner en la página principal que informe sobre la ?Política
de Cookies?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
10/122
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no son
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.diverporno.com/cookies-policy/, donde se proporciona, en idioma
inglés, información sobre, qué son las cookies y qué tipos de cookies existen; Sobre la
gestión de las cookies, la web remite usuario a hacerlo a través del navegador
instalado en su equipo terminal.
NOVENO: Con fecha 12/01/22, por parte de la Directoria de la Agencia Española de
Protección de Datos, se inicia procedimiento sancionador a la entidad, al apreciar indicios
razonables de vulneración, en las páginas web de su titularidad www.cumlouder.-
com; https://www.serviporno.com/, https://www.soloporno.xxx/, https://
www.porn300.com/es/; https://www.diverporno.com/, de los artículos siguientes:
- 6.1 del RGPD, por la utilización ilícita de los datos personales obtenidos a
través de sus páginas webs, con una sanción inicial de 25.000 euros (veinticinco
mil euros), 5.000 euros por cada infracción cometide en cada una de las 5
páginas web de su titularidad.
- 13 del RGPD, por la redacción de la política de privacidad en sus páginas
webs, con una sanción inicial de 25.000 euros (veinticinco mil euros), 5.000 euros
por cada infracción cometide en cada una de las 5 páginas web de su titularidad.
- 22.2 de la LSSI, respecto a las irregularidades detectadas en las ?Política de
Cookies? de las páginas webs de su titularidad, con una sanción inicial de
25.000 euros (veinticinco mil euros), 5.000 euros por cada infracción cometide
en cada una de las 5 páginas web de su titularidad.
DÉCIMO: Notificado el acuerdo de inicio a la entidad el 14/01/22, ésta mediante escrito
de fecha 28/01/22 formuló, en síntesis, las siguientes alegaciones:
?Que hemos analizado el comunicado de la agencia en profundidad, reuniendo
el equipo de protección de datos de la entidad, y vistos los hechos que el
personal de la Agencia expone en el escrito, vemos que algunos de los
incumplimientos que se nos imputan en las páginas web que son de nuestra
propiedad: a) www.cumlouder.com b) www.serviporno.com c)
www.soloporno.xxx d) www.porn300.com/es e) www.diverporno.com
Comenzando por uno de los que se repite, vemos que se nos propone una
sanción por la utilización del IDIOMA INGLES, en nuestros textos legales y
para determinados supuestos que se nos expone en la comunicación. En
relación con la solicitud del consentimiento para el tratamiento de los datos, art.
6.1 RGPD, así como en relación con la aplicación del art. 12.1 RGPD en
relación con el deber de información del art. 13 RGPD Techpump Solutions
S.L. tiene su sede social en Gijón (España), pero la mayoría de los clientes son
de fuera de España.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
11/122
Tanto de países anglosajones como de otros de habla no inglesa, y algunos de
ellos (la minoría) son de habla hispana. Es evidente que el poner los textos en
inglés, se analizó a quien nos dirigíamos, se estudiaron los pros y los contras
en relación con la legislación, y se tomó la decisión oportuna de hacerlo de
este modo. Teniendo en cuenta que el idioma más hablado en el mundo, y más
en el mundo digital es el inglés, en su momento y en el análisis que hicimos el
equipo de protección de datos de Techpump Solutions S.L., fue pensar en el
principio de Transparencia, recogido en el RGPD en su artículo 5, junto con la
licitud y lealtad en el tratamiento de los datos. Y en su momento y viendo la
procedencia de nuestros clientes decidimos por todas esas razones, poner
tanto el aviso legal, como la política de privacidad, así como los términos y
condiciones de uso de las páginas web en inglés. El utilizar esta lengua, ya
profundizando en el asunto, implicaba usar una lengua oficial en la Unión
Europea desde 1973, y dado que el RGPD es el Reglamento que rige el
derecho de la protección de datos en toda la UE y aun con la salida del Reino
Unido, se ha mantenido el idioma como OFICIAL en la UE, mantuvimos la
decisión de utilizar el Inglés.
Aun estando radicada la mercantil en España, y no siendo un idioma oficial en
España el inglés, habrá que determinar que prima más si la transparencia y
lealtad en los derechos de las personas o bien el hecho de que la mercantil
este en España, y entonces deberíamos poner los textos en los idiomas
cooficiales en España, debiendo incluir algunos que se hablan en un valle
como el Aranés (con todo el respeto a esa lengua) o el Bable ya que estamos
en Asturias, ya sin nombrar el catalán, el euskera o el gallego siendo todas
ellas lenguas oficiales en España.- Utilizando una noticia del diario Información
de 20121 indica: ?El inglés es el idioma más enseñado en el resto de Estados
miembros de la UE, una tendencia que ha venido aumentando en los últimos
años. En secundaria, el porcentaje de estudiantes aprendiendo inglés supera el
90% y en el caso de España roza el 100%. Muy por detrás se sitúan el francés,
español, alemán y ruso. Sólo un porcentaje mínimo (entre el 0 y el 5%) estudia
otras lenguas.
El informe confirma un dato que Bruselas ve sorprendente: en pocos países se
exige a los profesores de idiomas en prácticas que pasen un periodo de
inmersión en el extranjero. Sólo el 53,8 % de los profesores de idiomas afirma
haber pasado más de un mes estudiando en un país en el que se hablase el
idioma que enseña. España encabeza la clasificación ya que el 79,7 % de los
profesores españoles ha pasado más de un mes estudiando la lengua que han
elegido enseñar en un país en el que se habla, mientras que solo el 11 % de
los profesores estonios lo ha hecho.? Es más, y a modo de ejemplo, el propio
TC, expresa la legislación aplicable en la Institución en Ingles con un enlace
dentro de su página web a la legislación en esa lengua, quizá es porque puede
haber personas que se vean afectadas por este idioma.
2 Por lo tanto, el indicar que el idioma inglés es ?ininteligible?, me parece una
afirmación muy grave, dado que no es así. Y realidad no tiene por qué serlo,
para determinadas personas que viviendo en Europa les es de aplicación en
cuanto a sus derechos, simplemente por el principio de transparencia el
idioma. Por lo tanto, creemos que hemos solicitado el consentimiento a
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
12/122
nuestros clientes de una forma totalmente clara, y de forma inteligible, con un
fácil acceso (aparece claramente en los textos legales), y salvo en dos casos
que efectivamente aparece premarcado la opción tal y como se indica en el
escrito de forma que evidentemente no habíamos caído en la cuenta y que
esta corregido inmediatamente poniéndolo en español, y además retirando el
premarcado dado que efectivamente entendemos que así ha sido el error.
4.- Que en relación y para terminar con el idioma de los textos legales, hay que
indicar lo mismo en cuanto a lo que nos indica el art. 12.1 en relación con el
deber de información, comunicación y modalidades de ejercicio de derechos.
Techpump Solutions S.L., informa acerca de todo lo que se requiere en el art.
13 respecto de los datos que recoge, así como los datos de contacto de DPO,
de las finalidades de la recogida de datos, del tiempo de uso, de la revocación
del consentimiento, de los derechos y como solicitarlos?. Etc, eso sí, en
Ingles.
Siguiendo los consejos del GT29, en relación con el art. 12, indica que debe
ser en un lenguaje claro y sencillo, y ADAPTADO a los destinatarios. 3 De
nuevo tenemos que decir que el Principio de Transparencia nos llevó a pensar
en una fórmula que fuese entendible por la mayoría de nuestros usuarios.
Datos que son comprobables fácilmente por la agencia.
5.- Respecto a los accesos a la Política de Privacidad en todas las páginas
web, y a la facilidad a los mismos, hay que indicar que son todas de fácil
acceso. En la parte de debajo de todas ellas están los enlaces a las Políticas
de Privacidad y/o aviso legal. Por lo que difiero con la Inspección de lo que dice
en la página 19/36 en el primer párrafo indica que ?no existe ningún acceso
simple y directo a la ?Política de Privacidad? de la web? ? . Siempre ha estado
y además hemos procurado que este claramente diferenciado. Entendemos
que de esa forma cumplimos, tal y como se indica en la comunicación de la
Agencia, y además en el considerando 32 con los requisitos que se solicitan.
Como ya he indicado anteriormente, salvo en dos casillas, en todas las demás
se solicita el consentimiento habiendo tenido la posibilidad de acceder a los
textos de las políticas de privacidad previo a otorgar su consentimiento. En las
páginas web www.soloporno.xxx y www.diverporno.com, donde se despliega el
correo electrónico del usuario tal y como se indica, se solicita mediante la
palabra ?ANUNCIATE AQUÍ?, un formulario dirigido a personas empresarias y/o
personas jurídicas, con la finalidad de que puedan anunciar sus servicios y
productos en las dos páginas web.
Datos que pueden considerarse como no personales, si no profesionales o
empresariales. Por lo que, en principio, le sería de aplicación el art. 19 de la
LOPDGDD, y por lo tanto incluidos como de interés legítimo en relación con el
art. 6,1 f) del RGPD, dado que se darían las condiciones exigidas por la
LOPDGDD para tratar esos datos con la finalidad de que empresas y/o
personas físicas con negocio (Empresarios individuales) se puedan anunciar
utilizando nuestras páginas web. Por lo cual no sería necesario su
consentimiento expreso.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
13/122
6.- Por supuesto, y teniendo como referencia el art. 58.2 del RGPD, y en la
potestad que la Agencia en su funciones tiene de poder requerir las medidas
correctivas, indicar que nosotros hemos corregido nuestros textos legales, y
hemos procedido a cambiar en todas las webs, el idioma poniendo todos los
textos en español, pero dejando los textos también en inglés, con la finalidad
de mejorar lo existente y huyendo rápidamente de una polémica que no ayuda
a prosperar en el cumplimiento normativo.
Asimismo, y en los cuadros que deberían estar en blanco para que las
personas manifiesten su consentimiento en los formularios de datos, hemos
procedido a dejarlo sin premarcar, a pesar en que en los dos casos
premarcados eran en páginas que la legitimación era el interés legítimo del Art.
6, 1 f).
7.- En relación a las cookies, y a la instalación de sistemas que permita otorgar
o rechazar el consentimiento previamente a la instalación de las mismas, y a la
vez tengamos un banner que permita dar información acerca de la instalación
de cookies en el equipo de la persona, poco podemos decir, la Inspección
claramente tiene razón en sus argumentos, y lo único y antes de que nos
insten a cumplir con la legislación, y en aras de poder reducir las sanciones lo
más que se pueda, indicamos que hemos procedido a subsanar este hecho,
colocando esos banner donde 3 El Reglamento Europeo de Protección de
Datos y la LOPDGDD: Todo lo que necesitas saber. Editorial Wolter Kluwers.
Septiembre 2020 corresponde con las funciones descritas por el comunicado
de la Inspección de la Agencia de Protección de datos.
8.- Indicar por último, que en relación a las sanciones que nos propone la
Agencia, nos parecen excesivas, no por las cuantías que sabemos que podrían
incluso ser mayores, si no, porque Techpump Solutions S.L., es una empresa
pequeña, y por lo tanto, creemos que aun habiendo cometido errores que
reconocemos, y otros que no coincidimos en el criterio de la Agencia, e
indicamos por que han sido realizados, los hemos subsanado inmediatamente
sin que la Agencia haya intervenido requiriéndonos esa subsanación.
Conforme al art. 58 del RGPD, y dentro de las potestades que tiene la Agencia,
en aras a que por parte del Responsable del Tratamiento de los datos cumpla
o cesen determinadas conductas de este cabe indicar que, en este caso, y por
parte de la empresa, se ha realizado lo posible para tratar de cumplir a
rajatabla con lo que la normativa nos impone como Responsables.
Por todo ello, solicitamos que la Agencia dentro de su potestad del art. 58, 2
del RGPD, y viendo todo lo realizado por la empresa como una actitud
proactiva, pueda imponernos una sanción recogida como es el
APERCIBIMIENTO, hecho que hiciese que para la mercantil no fuese tan
afectada en el pago de una cantidad alta de dinero que podría poner en peligro
la continuidad de esta.
Además, creo que habría que tener en cuenta el hecho también favorable de
no haber sido nunca sancionados. Entendemos que puede ser una petición
razonable, en una ajustada aplicación del principio de proporcionalidad,
principio general del Derecho público que sostiene la exigencia de que
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
14/122
cualquier actuación de los poderes públicos limitadora o restrictiva de derechos
responda a los criterios de necesidad y adecuación al fin perseguido. En una
acepción más estricta, representa la existencia de una debida adecuación
entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada
que puede contemplarse en su vertiente normativa o en su vertiente aplicativa
por la Administración o los Tribunales.
El principio de proporcionalidad ha sido tratado en la jurisprudencia como un
importante mecanismo de control ante los Tribunales del ejercicio de la
potestad sancionadora cuando la norma establece para una infracción varias
sanciones posibles o señala un margen cuantitativo para la fijación de la
sanción impuesta. De hecho, tanto en la anterior Ley 30/1992 como en la
actual Ley 40/2015 se recoge tal principio como uno de los informadores de la
potestad sancionadora de la Administración en su vertiente normativa y
aplicativa. Respecto de la discrecionalidad de la Administración en la
graduación de la sanción, procede tener en cuenta, que, si bien la
Administración puede usar de una cierta discrecionalidad en la graduación de
la sanción para acomodarla al conjunto de circunstancias concurrentes en la
infracción, no es menos cierto que el principio de proporcionalidad de la
sanción se halla sometido al control jurisdiccional.
La discrecionalidad que se otorga a la Administración debe ser desarrollada
ponderando en todo caso las circunstancias concurrentes al objeto de alcanzar
la necesaria y debida proporcionalidad entre los hechos imputados y la
responsabilidad exigida, dado que toda sanción debe de determinarse en
congruencia con la entidad de la infracción cometida y según un criterio de
proporcionalidad atento a las circunstancias objetivas del hecho,
proporcionalidad que constituye un principio normativo que se impone como un
precepto más a la Administración y que reduce el ámbito de sus potestades
sancionadoras, pues a la actividad jurisdiccional corresponde no tan sólo la
calificación para subsumir la conducta en el tipo legal, sino también adecuar la
sanción al hecho cometido, ya que en uno y otro caso el tema es la aplicación
de criterios valorativos jurídicos plasmados en la norma escrita, como son en
este campo sancionador, los de congruencia y proporcionalidad entre la
infracción y la sanción, que han de ser tenidos en consideración por esa
Agencia, a la vista de las circunstancias concurrentes, descritas en el cuerpo
de este escrito. Por lo anteriormente expuesto,
SOLICITO 1.- Se tenga por presentadas las alegaciones en el Expediente Nº
PS/00555/2021 en tiempo y forma . 2.- Que se puedan graduar las sanciones
administrativas en base a las alegaciones presentadas, donde la
intencionalidad es clave a la hora de sancionar económicamente siendo la
intencionalidad nula, y además habiendo procedido a subsanar aspectos con la
finalidad de paliar cualquier daño a cualquier afectado por estos hechos. 3.-
Que conforme al art. 58. 2 del RGPD, pueda dictarse por parte del Órgano de
Control, una sanción de APERCIBIMIENTO, conforme a la normativa
sancionadora, teniendo en cuenta todas las alegaciones presentadas
DÉCIMO PRIMERO: Con fecha 20/06/22, por parte de esta Agencia se acuerda abrir
periodo de práctica de pruebas, según lo dispuesto en el artículo 77 y 78 de la Ley
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
15/122
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP) y practicar las siguientes pruebas:
- Dar por reproducidos a efectos probatorios los documentos obtenidos y
generados durante la fase de admisión a trámite de la reclamación, y el informe
de actuaciones previas de investigación que forman parte del procedimiento E/
02419/2021.
- Dar por reproducidos a efectos probatorios, las alegaciones al acuerdo de inicio
del procedimiento sancionador referenciado, presentadas por TECHPUMP
SOLUTIONS S.L., y la documentación que a ellas acompaña.
- Requerir a TECHPUMP SOLUTIONS S.L. para que en el plazo de diez días
hábiles computados desde la recepción de este escrito remita informe respecto
de todas y cada una de las páginas web y de forma individualizada, esto es:
www.cumlouder.com , www.serviporno.com , www.soloporno.xxx ,
www.porn300.com.es y www.diverporno.com , en relación con el acceso a las
páginas webs, sin necesidad de registrarse: - cuando un usuario accede a las
páginas webs, determinar qué datos de los usuarios recopilan. Y ello porque se
indica por la mercantil que en ocasiones tratan datos de navegación como IP,
wifi, etc; finalidad de recopilación de los datos; indicación de qué tratamientos
realizan con dichos datos; cesiones efectuadas de los datos; determinación del
plazo de conservación de los datos recopilados y justificación del plazo de
conservación; aportación del RAT en relación con el tratamiento de datos
personales de usuarios que acceden y navegan por las páginas webs;
mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad; descripción de las medidas técnicas y organizativas que
estén establecidas y su funcionamiento para limitar el acceso de menores de
edad a las páginas webs; informe sobre el análisis de riesgos que, tras la
evaluación de los riesgos y su valoración, han determinado la elección de tales
medidas técnicas y organizativas; mecanismos establecidos para confirmar que
se es mayor de edad; especificación de si se realizan comprobaciones
posteriores, tras clickear afirmativamente en el banner, para garantizar que
quien ha accedido a las páginas webs es mayor de edad.
- Respecto del as páginas web www.cumlouder.com , www.serviporno.com y
www.porn300.com.es , en relación con el acceso a las páginas webs de
usuarios registrados: ante la contradicción entre la información que se
suministra a la AEPD en la contestación a nuestros requerimientos (5 de abril
de 2021) en relación con la información que consta en el Aviso Legal y el
contenido del RAT; determinar qué datos de los usuarios recopilan con el
registro y posterior navegación por las páginas webs en la zona de usuarios
registrados, además de los dispuestos en el formulario (en la contestación al
requerimiento y en el RAT se señala que se recogen nombre de usuario,
contraseña, mail y dirección IP; en el aviso legal se indica por la mercantil que
se recogen datos de contacto, como el nombre, apellido, e-mail, teléfono, etc. y
también que en ocasiones tratan datos de navegación como IP, wifi, etc);
finalidad de recopilación de los datos; indicación de qué tratamientos realizan
con dichos datos; cesiones efectuadas de los datos; determinación del plazo de
conservación y justificación del plazo de conservación y medidas técnicas y
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
16/122
organizativas establecidas para verificar y confirmar la edad del usuario que va
a registrarse.
- Realizar diligencia relativa al acceso de las páginas webs www.cumlouder.com
y al funcionamiento del banner establecido para advertir y confirmar que se
requiere la mayoría de edad para acceder a contenido pornográfico.
- Realizar diligencia relativa al acceso a la zona registrada de las páginas webs
www.cumlouder.com para proceder al registro y verificar si se confirma la edad
del usuario que pretende registrarse o registrado y si se tratan datos de
menores de edad.
- Realizar diligencia para verificar de quién aparece como responsable del
tratamiento y en qué idioma están los términos y condiciones del servicio y la
política de privacidad para registrarse como miembro en las páginas webs
www.cumlouder.com .
- Realizar diligencia relativa al acceso de las páginas webs www.serviporno.com
y al funcionamiento del banner establecido para advertir y confirmar que se
requiere la mayoría de edad para acceder a contenido pornográfico.
- Realizar diligencia relativa al acceso a la zona registrada de las páginas webs
www.serviporno.com para proceder al registro y verificar si se confirma la edad
del usuario que pretende registrarse o registrado y si se tratan datos de
menores de edad.
- Realizar diligencia relativa al acceso de las páginas webs www.soloporno.xxx
y al funcionamiento del banner establecido para advertir y confirmar que se
requiere la mayoría de edad para acceder a contenido pornográfico.
- Realizar diligencia relativa al acceso de las páginas webs
www.porn300.com/es y al funcionamiento del banner establecido para advertir
y confirmar que se requiere la mayoría de edad para acceder a contenido
pornográfico.
- Realizar diligencia relativa al acceso a la zona registrada de las páginas webs
www.porn300.com/es para proceder al registro y verificar si se confirma la
edad del usuario que pretende registrarse o registrado y si se tratan datos de
menores de edad.
- Realizar diligencia relativa al acceso de las páginas webs www.diverporno.com
y al funcionamiento del banner establecido para advertir y confirmar que se
requiere la mayoría de edad para acceder a contenido pornográfico.
DÉCIMO SEGUNDO: Con fecha 24/06/22, 17/08/2022 y 18/08/2022, por parte de esta
Agencia se realizan las siguientes diligencias sobre el sitio web www.serviporno.com/:
a).- Sobre el acceso a las páginas webs y el control parental:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
17/122
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos:
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Serviporno utiliza Cookies. Para saber más, lea nuestra >.
(i).- Existe un enlace a la herramienta de control parental para una navegación más
segura de los menores, a través del enlace >. No obstante, se
comprueba que en la página de destino que se localiza en
https://www.rtalabel.org/index.php?content=parents&t=.es# el contenido es
extremadamente obsoleto. La mayoría de los enlaces conducen a páginas que no
existen, e incluso en el caso de uno de los enlaces, éste conduce a una tienda de
venta on-line.
(ii).- Si se cliquea en la opción >, la web desaparece devolviendo al usuario a la
página del navegador que se esté utilizando. No obstante, si se cliquea en la flecha
(?) de retroceso del buscador, aparece la página principal de la web
https://www.serviporno.com/, en la cual ahora ha desaparecido el banner de
advertencia de contenido para adultos, posibilitando el acceso a cualquier contenido
de la página, sin ningún tipo de impedimento.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos ?clic? en cualquier parte de la pantalla, el banner desaparece y la web
permite el acceso a su contenido, sin ningún tipo de impedimento.
(iv).- Si se cliquea en la opción > existente en el banner, la web
redirige a una nueva página, https://www.serviporno.com/cookies-policy/ , donde
aparece información sobre la política de cookies de la web pero si después se cliquea
en el enlace situado en la parte superior izquierda, >, se comprueba
como la web redirige al usuario otra vez a la página principal observando que el
banner de advertencia ha desaparecido y la web permite la navegación sin ningún tipo
de impedimento.
b).- Sobre la posibilidad de obtención de datos personales de los usuarios:
(i).- A través de la pestaña ?>?, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre, apellidos, correo electrónico, sexo, ciudad, país y fecha
de nacimiento (que debe ser anterior al 01/01/2004), pues el año más próximo al
actual que se puede introducir es el 2004. Para proceder al registro no se solicita
ningún otro tipo de requerimiento o acreditación sobre la mayoría de edad. También se
solicita que se cree una contraseña y la confirmación de ésta. Se comprueba que
todos los datos son obligatorios.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
18/122
En el mismo formulario, existe el siguiente mensaje, que debe ser cliqueado antes de
poder enviar el formulario (es obligatorio): ?_ Estoy de acuerdo con los condiciones>>?.
Los términos y condiciones aparecen en inglés indicando que ?The Serviporno website
allows for uploading, sharing and general viewing various types of content allowing
registered and unregistered users to share and view visual depictions of adult content,
including sexually explicit images. In addition, Serviporno contains video content,
information and other materials posted/uploaded by users. Serviporno allows its users
to view the Content and Website subject to the terms and conditions of this
Agreement? ??El sitio web de Serviporno permite cargar, compartir y ver en general
varios tipos de contenido, lo que permite a los usuarios registrados y no registrados
compartir y ver representaciones visuales de contenido para adultos, incluidas
imágenes sexualmente explícitas. Además, Serviporno contiene contenido de video,
información y otros materiales publicados / cargados por los usuarios. Serviporno
permite a sus usuarios visualizar el Contenido y el Sitio Web sujetos a los términos y
condiciones de este Acuerdo? (la traducción es nuestra)-.
Una vez registrado, el usuario accede a su perfil, en que comparte con los demás
usuarios, su nombre, edad, sexo, así como el país y ciudad de este ( su localización).
Se puede subir al perfil una fotografía. Cabe la posibilidad de suscribirse al perfil de
usuario. También la posibilidad de dar un ?like? o un ?unlike? y consta el número de
vídeos subidos por el usuario.
El usuario puede compartir vídeos y ver los vídeos compartidos por otros usuarios y
sus perfiles en los términos anteriormente expresados.
(ii).- También existe la posibilidad de introducir datos personales a través del enlace
existente en la parte inferior de la página ?>?, a través del cual, la
web redirige a una nueva página, https://www.trfpump.com/ , donde se informa a los
usuarios de los siguiente: ?Techpump es el dueño exclusivo de una de las redes de
tráfico adulto más grandes del mundo - con marcas como Cumlouder, Serviporno o
Porn300, varias de las webs más grandes de toda la industria. Servimos de soporte a
miles de advertisers que tienen la posibilidad de segmentar sus anuncios por
dispositivo, por cuidad, por navegador, por horario o por cualquier necesidad concreta
para su producto (?)?
En esta página se puede introducir datos personales del usuario, como el nombre, el
correo electrónico y el asunto cuyo título es: ?Utiliza este espacio para hacer una breve
introducción de tu empresa o de tus necesidades: (Required)?, no estando vedado a la
introducción de datos personales de personas físicas.
Se observa que, en este formulario no existe ninguna herramienta donde se pida el
consentimiento ni acceso a la ?Política de Privacidad?. Para enviar el formulario
solamente se debe cliquear en la opción >?.
c).- Sobre la Política de Privacidad:
Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
19/122
página: https://www.serviporno.com/aviso-legal/ donde se proporciona, entre otra,
información sobre: la propiedad del sitio web; los datos de contacto del responsable;
información sobre la protección de datos de los archivos de datos de clientes; la
finalidad prevista; la legitimidad en el tratamiento de los datos; los posibles
destinatarios de las transferencias de datos; cómo ejercer sus derechos sobre los
datos personales o por cuanto tiempo se conservarán los datos en relación con
determinados tratamientos.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo Nº 60, 2º D 33203 -
Gijón (Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
Respecto de la ?Finalidad prevista? se concreta en que:
?Gestión de los datos facilitados en los formularios de recogida de datos del
sitio web de la página web. Entrega de publicidad digital?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
?(?)Otras empresas del mismo grupo No se cederán datos salvo que sea
absolutamente necesario para dar cumplimiento al servicio solicitado No se
cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso
de compra a través de la web)?.
En relación con ?Cómo ejercitar tus derechos?, se indica:
?Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº 2, 1º D, 33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?.
A continuación, se dispone que:
?El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien
determina el tiempo que desea ser miembro?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
20/122
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la ?Información de los datos almacenados?, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
21/122
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los datos
recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?)
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento?.
d).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal
y sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado
que se utilizan cookies que no son técnicas o necesarias de terceros:
Cookies detectadas
(no técnicas)
Proveedor Descripción Consentimiento
_ga_RKCN8YSRSF
_ga
_gid
Google Recopilación de
estadísticas sobre las
visitas y navegación en sitio
web
Instalada sin
consentimiento del
usuario
2.- No existe ningún tipo de banner independiente que informe sobre cookies en la
página principal o primera capa de la web. La única referencia que se hace a las
cookies en la página principal es en el banner de advertencia de contenido para
adultos: ?ServiPorno utiliza cookies, para saber más, lea nuestra cookies>>?.
3.- No existe ningún mecanismo que posibilite rechazar las cookies que no son
técnicas o necesarias. Tampoco existe ningún panel de control de cookies que
posibilite la gestión de éstas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en el banner de advertencia o en el enlace existente en la parte inferior de la página
principal, la web redirige al usuario a una nueva página:
https://www.serviporno.com/cookies-policy/ , donde se proporciona, en idioma inglés,
información sobre, qué son las cookies y qué tipos de cookies existen, pero no se
informa sobre las cookies que utiliza la página, si éstas son propias o de terceros, su
cometido y el tiempo que estarán activas. Sobre la gestión de las cookies, la web
remite usuario a hacerlo a través del navegador instalado en su equipo terminal
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
22/122
Se comprueba además que, si se accede a esta ?Política de Cookies? desde el banner
de advertencia de la página inicial y después se cliquea en el enlace situado en la
parte superior izquierda, >, se redirige al usuario directamente al
contenido de la web sin haber aceptado previamente el ?ser mayor de edad? en el
banner.
DÉCIMO TERCERO: Con fecha 24/06/22 y 17/08/2022, por parte de esta Agencia se
realizan las siguientes diligencias sobre el sitio web www.cumlouder.com:
a).- Sobre el acceso a las páginas webs y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos en idioma inglés:
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Cumlouder utiliza Cookies. Para saber más, lea nuestra >.
(i).- Existe un enlace a la herramienta de control parental para una navegación más
segura de los menores, a través del enlace >. No obstante, se
comprueba que en la página de destino que se localiza en
https://www.rtalabel.org/index.php?content=parents&t=.es# el contenido es
extremadamente obsoleto. La mayoría de los enlaces conducen a páginas que no
existen, e incluso en el caso de uno de los enlaces, éste conduce a una tienda de
venta on-line.
(ii).- Si se cliquea en la opción >, la web desaparece devolviendo al usuario a la
página del navegador que se esté utilizando. No obstante, si se cliquea en la flecha
(?) de retroceso del buscador, aparece la página principal de la web
https://www.serviporno.com/, en la cual ahora ha desaparecido el banner de
advertencia de contenido para adultos, posibilitando el acceso a cualquier contenido
de la página, sin ningún tipo de impedimento. Asimismo, retrocediendo en el historial
del navegador, buscando diverporno.com y seleccionándolo, o directamente
escribiendo en el campo de direcciones del navegador https://www.cumlouder.com se
comprueba que se entra directamente en el sitio web sin que se vuelva a mostrar el
banner de advertencia de mayoría de edad.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos ?clic? en cualquier parte de la pantalla, incluso en el aspa (X), el banner
desaparece y la web permite el acceso a su contenido, sin ningún tipo de
impedimento.
(iv).- Si se cliquea en la opción > existente en el banner, la web
redirige a una nueva página, https://www.cumlouder.com/cookies-policy/, donde se
proporciona información sobre la política de cookies, en idioma inglés. Si después se
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
23/122
cliquea en el enlace situado en la parte superior izquierda, >, se
comprueba que la web redirige al usuario otra vez a la página principal observando
que el banner de advertencia ha desaparecido y la web permite la navegación sin
ningún tipo de impedimento
b).- Sobre la obtención de datos personales en la web:
En las páginas webs existen varias formas de obtener datos personales de los
usuarios:
(i).- A través de la pestaña ?MEMBER ? Regístrate ahora?, situada en la parte superior
de la página principal, la web redirige al usuario a una nueva página:
https://gw.cgpaytech.com/v1/api/payment_form/page/038b30ce-3283-4294-843d-
5a9aafa48df7?_cgbn=63162 desplegándose un formulario donde se pueden introducir
datos personales de los usuarios, como el nombre y el correo electrónico, así como los
datos de la tarjeta de crédito. En esta página existe la siguiente información:
?Al proceder con el pago, usted certifica que es mayor de edad según su
jurisdicción y acepta la recopilación y el procesamiento de sus datos
personales de acuerdo con lo explicado en los Términos y condiciones y la
Política de privacidad .
http://www.cumlouder.com está gestionada por Techpump Solutions SLU y
registrada en Calle San Bernardo 60, 2 D, 33201, Gijón, España.
El cargo aparece en el extracto de su tarjeta de crédito como
CGBILLINGCOM*Techpump.
Para su comodidad, la suscripción se renovará automáticamente al cabo de 1
día con un coste de 19,95 EUR hasta su cancelación. CommerceGate actúa
como facilitador y procesador de pago en esta transacción
¿Necesita ayuda? Vendedor: soporte@cumlouder.com . Procesador de pago:
support@cgbilling.com o +34 931 640 684. Puede obtener más información en
cgbilling.com?.
Antes de enviar el formulario para registrarse, se debe cliquear en el botón de:
?_Está de acuerdo con los >, la devoluciones>>, la >, de Techpump Solutions S.L.U.
para esta compra?.
Hay que hacer mención de que el formulario de los datos de la tarjeta de crédito,
gestionados por la entidad, COMMERCEGATE PAYMENT SOLUTIONS S.L.U. se
requiere aceptar en un solo clic los Términos y Condiciones, la Política de
Devoluciones y la Política de privacidad. No obstante, los tres enlaces dirigen
únicamente al documento ?Legal Notice? ofrecido únicamente en inglés.
(ii).- Existe la posibilidad de introducir datos personales a través del enlace existente
en la parte inferior de la página ?Contacto y Soporte?,
https://www.cumlouder.com/es/soporte/ , donde se pueden incluir datos personales
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
24/122
como el nombre, el correo electrónico y el asunto. No existe en este formulario
ninguna herramienta donde se pueda proporcionar el consentimiento. Solamente
existe el siguiente mensaje: ?Todos los campos son obligatorios-->?.
(iii).- Existe la posibilidad de introducir datos personales a través del enlace existente
en la parte inferior de la página: ?Uploads Register?,
https://uploads.cumlouder.com/auth/register?
_ga=2.171188192.195363995.1657273287-596503173.1657273287 , donde se
pueden incluir datos personales como el nombre, el correo electrónico. No existe en
este formulario ninguna herramienta donde se pueda proporcionar el consentimiento ni
acceso a la ?Política de Privacidad?. Para enviar la información solamente se debe
cliquear en la opción >
c).- Sobre la Política de Privacidad:
1.- Si se accede a la >, a través del enlace existente en el
formulario de registro y en la parte inferior de la página principal, la web redirige al
usuario a una nueva página: https://www.cumlouder.com/legal/ donde se proporciona,
entre otra, información sobre: la propiedad del sitio web; los datos de contacto del
responsable; información sobre la protección de datos de los archivos de datos de
clientes; la finalidad prevista; la legitimidad en el tratamiento de los datos; los posibles
destinatarios de las transferencias de datos; cómo ejercer sus derechos sobre los
datos personales o por cuanto tiempo se conservarán los datos en relación con
determinados tratamientos.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo nº 60, 2º D 33203 -
Gijón (Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
Respecto de la ?Finalidad prevista? se concreta en que:
?Gestión de los datos facilitados en los formularios de recogida de datos del sitio web
de la página web. Entrega de publicidad digital?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
?(?)Otras empresas del mismo grupo No se cederán datos salvo que sea
absolutamente necesario para dar cumplimiento al servicio solicitado No se
cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso
de compra a través de la web)?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
25/122
En relación con ?Cómo ejercitar tus derechos?, se indica:
?Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº 2, 1º D, 33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?.
A continuación, se dispone que:
?El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el
tiempo que desea ser miembro?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
26/122
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la ?Información de los datos almacenados?, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los datos
recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?)
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento?.
d).- Sobre la Política de Cookies:
Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal y
sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que
se utilizan cookies que no son técnicas o necesarias:
Cookies detectadas Proveedor Descripción Consentimiento
User_country Adition
Technologies
GmbH
Gestión de los espacios
publicitarios en la web
Instalada sin
consentimiento
Cookies detectadas Proveedor Descripción Consentimiento
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
27/122
_gat_UA-38248820-
52
_ga
_gid
_ga_8WNV1D198Q
Google Recopilación de
estadísticas sobre las
visitas y navegación en
sitio web
Instalada sin
consentimiento
del usuario
No existe ningún tipo de banner independiente que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido
pornográfico: ?Coumlouder utiliza cookies, para saber más, lea nuestra cookies>>?.
No existe ningún mecanismo que posibilite rechazar las cookies que no son técnicas o
necesarias. Tampoco existe ningún panel de control de cookies que posibilite la
gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.cumlouder.com/es/cookies-policy/ , donde se proporciona, en
idioma inglés, información sobre, qué son las cookies y qué tipos de cookies existen,
pero no se informa sobre las cookies que utiliza la página. Sobre la gestión de las
cookies, la web remite usuario a hacerlo a través del navegador instalado en su equipo
terminal.
Se comprueba además que, si se accede desde el banner de advertencia existente en
la página principal a la ?Política de Cookies? y después se cliquea en el enlace situado
en la parte superior izquierda >, se redirige al usuario directamente
al contenido de la web sin haber aceptado previamente el ?ser mayor de edad? en el
banner.
DÉCIMO CUARTO: Con fecha 24/06/22 y 17/08/2022, por parte de esta Agencia se
realizan las siguientes diligencias sobre el sitio web https://www.soloporno.xxx/
a).- Sobre el acceso a las páginas webs y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos a pie de página:
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Serviporno utiliza Cookies. Para saber más, lea nuestra >.
(i).- Existe un enlace a la herramienta de control parental para una navegación más
segura de los menores, a través del enlace >. No obstante, se
comprueba que en la página de destino que se localiza en
https://www.rtalabel.org/index.php?content=parents&t=.es# donde el contenido es
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
28/122
extremadamente obsoleto. La mayoría de los enlaces conducen a páginas que no
existen, e incluso en el caso de uno de los enlaces, éste conduce a una tienda de
venta on-line.
(ii).- Si se cliquea en la opción >, la web desaparece devolviendo al usuario a la
página del navegador que se esté utilizando. No obstante, si se cliquea en la flecha
(?) de retroceso del buscador, aparece la página principal de la web
https://www.soloporno.com/ , en la cual ahora ha desaparecido el banner de
advertencia de contenido para adultos, posibilitando el acceso a cualquier contenido
de la página, sin ningún tipo de impedimento. Lo mismo acontece puesto que si
escribimos directamente en el campo de direcciones del navegador
https://www.soloporno.com/, se comprueba que se entra directamente en el sitio web
sin que se vuelva a mostrar el banner de advertencia de la mayoría de edad.
La explicación de este comportamiento anómalo radica en que en el momento en que
se elige la opción NO en el banner de advertencia de edad la clave almacenada en el
equipo del usuario bajo ?Local Storage -> https://www.soloporno.xxx? y con nombre
?disclaimer-confirmed? se almacena con valor 1, cuando en realidad, al elegir la opción
NO, se debería de guardar con valor 0.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos ?clic? en cualquier parte de la pantalla, incluso en el aspa (X), el banner
desaparece y la web permite el acceso a su contenido, sin ningún tipo de
impedimento.
(iv).- Si se cliquea en la opción > existente en el banner, la web
redirige a una nueva página, https://www.soloporno.xxx/cookies-policy.html , y
después se cliquea en el enlace situado en la parte superior izquierda,
>, se comprueba que la web redirige al usuario otra vez a la página
principal observando que el banner de advertencia ha desaparecido y la web permite
la navegación sin ningún tipo de impedimento
b).- Sobre la obtención de datos personales en la web:
En las páginas webs existen varias formas de obtener datos personales de los
usuarios:
(i).- A través de la pestaña ?Contacto?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?SoloPorno ? Contact?
(ii).- A través de la pestaña ?Webmasters?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?SoloPorno ?
Webmasters?.
(iii).- A través de la pestaña ?Anúnciate Aquí?, situada en la parte inferior de la página
principal, se despliega un formulario https://www.trfpump.com/ , donde se puede
introducir datos personales del usuario como, el nombre y el correo electrónico.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
29/122
(iv).- Existe la posibilidad de introducir datos personales a través del enlace existente
en la parte inferior de la página ?Anúnciese Aquí?, a través del cual, la web redirige a
una nueva página, https://www.trfpump.com/ , donde se informa de los siguiente:
?Techpump es el dueño exclusivo de una de las redes de tráfico adulto más grandes
del mundo - con marcas como Cumlouder, Serviporno o Porn300, varias de las webs
más grandes de toda la industria. Servimos de soporte a miles de advertisers que
tienen la posibilidad de segmentar sus anuncios por dispositivo, por cuidad, por
navegador, por horario o por cualquier necesidad concreta para su producto. (?)? y
donde se pueden incluir datos personales como el nombre, el correo electrónico y el
asunto cuyo título es: ?Utiliza este espacio para hacer una breve introducción de tu
empresa o de tus necesidades: (Required)?, no estando por tanto vedado a la
introducción de datos personales de personas físicas. No existe en este formulario
ninguna herramienta donde se pueda proporcionar el consentimiento ni acceso a la
?Política de Privacidad?. Para enviar el formulario solamente se debe cliquear en la
opción >?.
c).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página, https://www.soloporno.xxx/aviso.html, donde se proporciona, entre otra,
información sobre: la propiedad del sitio web; los datos de contacto del responsable;
información sobre la protección de datos de los archivos de datos de clientes; la
finalidad prevista; la legitimidad en el tratamiento de los datos; los posibles
destinatarios de las transferencias de datos; cómo ejercer sus derechos sobre los
datos personales o por cuanto tiempo se conservarán los datos.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo nº 60, 2º D 33203 - Gijón
(Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
Respecto de la ?Finalidad prevista? se concreta en que:
?Gestión de los datos facilitados en los formularios de recogida de datos del sitio web
de la página web. Entrega de publicidad digital?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
30/122
?(?)Otras empresas del mismo grupo No se cederán datos salvo que sea
absolutamente necesario para dar cumplimiento al servicio solicitado No se
cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso
de compra a través de la web)?.
En relación con ?Cómo ejercitar tus derechos?, se indica:
?Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº 2, 1º D, 33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?.
A continuación, se dispone que:
?El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el
tiempo que desea ser miembro?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
31/122
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la ?Información de los datos almacenados?, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los datos
recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?)
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento?.
d).- Sobre los Términos de Uso:
Los términos de uso aparecen en inglés indicando que ?The www.soloporno.xxx
website allows for uploading, sharing and general viewing various types of content
allowing registered and unregistered users to share and view visual depictions of adult
content, including sexually explicit images. In addition, www.soloporno.xxx contains
video content, information and other materials posted/uploaded by users.
www.soloporno.xxx allows its users to view the Content and Website subject to the
terms and conditions of this Agreement? ??El sitio web de www.soloporno.xxx permite
cargar, compartir y ver en general varios tipos de contenido, lo que permite a los
usuarios registrados y no registrados compartir y ver representaciones visuales de
contenido para adultos, incluidas imágenes sexualmente explícitas. Además,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
32/122
www.soloporno.xxx contiene contenido de video, información y otros materiales
publicados / cargados por los usuarios. www.soloporno.xxx permite a sus usuarios
visualizar el Contenido y el Sitio Web sujetos a los términos y condiciones de este
Acuerdo? (la traducción es nuestra)-.
e).- Sobre la Política de Cookies:
Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal y
sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que
se utilizan cookies de terceros (Google) que no son técnicas o necesarias:
Cookies detectadas Proveedor Descripción Consentimiento
_ga_JREJ5KRZQT
_gat_UA-50005236-1
_ga
_gid
Google Recopilación de estadísticas
sobre las visitas y
navegación en sitio web
Instalada sin
consentimiento
del usuario
No existe ningún tipo de banner independiente que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido
pornográfico: ?SoloPorno utiliza cookies, para saber más, lea nuestra cookies>>?.
No existe ningún mecanismo que posibilite rechazar las cookies que no son técnicas o
necesarias. Tampoco existe ningún panel de control de cookies que posibilite la
gestión de estas, de una forma granular o por grupos.
Si se opta por acceder a la >, a través del enlace existente en
la parte inferior de la página principal, la web redirige al usuario a una nueva página:
https://www.soloporno.xxx/cookies-policy.html , donde se proporciona, en idioma
inglés, información sobre, qué son las cookies y qué tipos de cookies existen, pero no
se informa sobre las cookies que utiliza la página. Sobre la gestión de las cookies, la
web remite usuario a hacerlo a través del navegador instalado en su equipo terminal.
Se comprueba además que, si se accede desde el banner de advertencia a la ?Política
de Cookies? y después se cliquea en el enlace situado en la parte superior izquierda
>, se redirige al usuario directamente al contenido de la web sin
haber aceptado previamente el ?ser mayor de edad? en el banner.
DÉCIMO QUINTO: Con fecha 24/06/22 y 18/08/2022, por parte de esta Agencia se
realizan las siguientes diligencias sobre el sitio web: https://www.porn300.com/es/:
a).- Sobre el acceso a las páginas webs y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos a pie de página:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
33/122
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Porn300 utiliza Cookies. Para saber más, lea nuestra >.
(i).- Existe un enlace a la herramienta de control parental para una navegación más
segura de los menores, a través del enlace >. No obstante, se
comprueba que en la página de destino que se localiza en
https://www.rtalabel.org/index.php?content=parents&t=.es# el contenido es
extremadamente obsoleto. La mayoría de los enlaces conducen a páginas que no
existen, e incluso en el caso de uno de los enlaces, éste conduce a una tienda de
venta on-line.
(ii) Si se cliquea la opción>, la web desaparece devolviendo al usuario a la
página del navegador que se esté utilizando. Si se cliquea en la flecha (?) de
retroceso del buscador, aparece la página principal de la web
https://www.porn300.com/ , en la que se mantiene el banner de advertencia de
contenido para adultos. Acontece lo mismo si se intenta acceder a la página web
desde el buscador.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos ?clic? en cualquier parte de la pantalla, incluso en el aspa (X), el banner
desaparece y la web permite el acceso a su contenido, sin ningún tipo de
impedimento.
(iv).- Si se cliquea en la opción > existente en el banner, la web
redirige a una nueva página, Cookies policy - Porn300.com , apareciendo un banner
en el que se solicita se declare la edad que sólo nos permite entrar si se declara que
se es mayor de edad.
b).- Sobre la obtención de datos personales en la web:
En las páginas webs existen varias formas de obtener datos personales de los
usuarios:
(i).- A través de la pestaña ?>?, situada en la parte superior de la página
principal, se despliega un formulario donde se pueden introducir datos personales de
los usuarios, como el nombre, apellidos, correo electrónico, sexo, ciudad, país y fecha
de nacimiento (que debe ser anterior al 01/01/2004), pues el año más próximo al
actual que se puede introducir es el 2004. Para proceder al registro no se solicita
ningún otro tipo de requerimiento o acreditación sobre la mayoría de edad. También se
solicita que se cree una contraseña y la confirmación de esta. Se comprueba que
todos los datos son obligatorios.
En el mismo formulario, existe el siguiente mensaje, que debe ser cliqueado antes de
poder enviar el formulario (es obligatorio):
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
34/122
?_ Estoy de acuerdo con los >?.
Una vez registrado, el usuario accede a su perfil, en que comparte con los demás, su
nombre de usuario, edad, sexo, así como el país y ciudad de este (localización).
Puede poner una fotografía en su perfil.
Cabe la posibilidad de suscribirse al perfil de usuario. También la posibilidad de dar un
?like? o un ?unlike? y consta el número de vídeos subidos por el usuario.
El usuario puede compartir vídeos y ver los vídeos compartidos por otros usuarios y
sus perfiles en los términos anteriormente expresados.
(ii).- Existe la posibilidad de introducir datos personales a través del enlace existente
en la parte inferior de la página ?Anúnciese Aquí?, a través del cual, la web redirige a
una nueva página, https://www.trfpump.com/ , donde se informa de los siguiente:
?Techpump es el dueño exclusivo de una de las redes de tráfico adulto más grandes
del mundo - con marcas como Cumlouder, Serviporno o Porn300, varias de las webs
más grandes de toda la industria. Servimos de soporte a miles de advertisers que
tienen la posibilidad de segmentar sus anuncios por dispositivo, por cuidad, por
navegador, por horario o por cualquier necesidad concreta para su producto. (?)? y
donde se pueden incluir datos personales como el nombre, el correo electrónico y el
asunto cuyo título es: ?Utiliza este espacio para hacer una breve introducción de tu
empresa o de tus necesidades: (Required)?, no estando por tanto vedado a la
introducción de datos personales de personas físicas. No existe en este formulario
ninguna herramienta donde se pueda proporcionar el consentimiento. Para enviar el
formulario solamente se debe cliquear en la opción >?.
c).- Sobre la Política de Privacidad:
Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página: https://www.porn300.com/es/aviso-legal/ donde se proporciona, entre otra,
información sobre: la propiedad del sitio web; los datos de contacto del responsable;
información sobre la protección de datos de los archivos de datos de clientes; la
finalidad prevista; la legitimidad en el tratamiento de los datos; los posibles
destinatarios de las transferencias de datos; cómo ejercer sus derechos sobre los
datos personales o por cuanto tiempo se conservarán los datos.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo nº 60, 2º D 33203 -
Gijón (Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
35/122
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
Respecto de la ?Finalidad prevista? se concreta en que:
?Gestión de los datos facilitados en los formularios de recogida de datos del sitio web
de la página web. Entrega de publicidad digital?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
?(?)Otras empresas del mismo grupo No se cederán datos salvo que sea
absolutamente necesario para dar cumplimiento al servicio solicitado No se
cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso
de compra a través de la web)?.
En relación con ?Cómo ejercitar tus derechos?, se indica:
?Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº 2, 1º D, 33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?.
A continuación, se dispone que:
?El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el
tiempo que desea ser miembro?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
36/122
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la ?Información de los datos almacenados?, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los datos
recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?)
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento?.
d).- Sobre la Política de Cookies:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
37/122
Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal y
sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que
se utilizan cookies de terceros (Google) que no son técnicas o necesarias:
Cookies detectadas Proveedor Descripción Consentimiento
_ga_KJ5V9F3XJJ
_ga
_gid
Google Recopilación de estadísticas
sobre las visitas y
navegación en sitio web
Instalada sin
consentimiento
del usuario
No existe ningún tipo de banner independiente que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido
pornográfico: ?Porn300 utiliza cookies, para saber más, lea nuestra cookies>>?.
No existe ningún mecanismo que posibilite rechazar las cookies que no son técnicas o
necesarias. Tampoco existe ningún panel de control de cookies que posibilite la
gestión de estas, de una forma granular o por grupos.
Si se opta por acceder a la >, a través del enlace existente en
la parte inferior de la página principal, la web redirige al usuario a una nueva página:
https://www.porn300.com/cookies-policy/ donde se proporciona, en idioma inglés,
información sobre, qué son las cookies y qué tipos de cookies existen, pero no se
informa sobre las cookies que utiliza la página. Sobre la gestión de las cookies, la web
remite usuario a hacerlo a través del navegador instalado en su equipo terminal. Sobre
la gestión de las cookies, la web remite usuario a hacerlo a través del navegador
instalado en su equipo terminal.
Se comprueba además que, si se accede desde el banner de advertencia a la ?Política
de Cookies? y después se cliquea en el enlace situado en la parte superior izquierda
>, se redirige al usuario directamente al contenido de la web sin haber
aceptado previamente el ?ser mayor de edad? en el banner
DÉCIMO SEXTO: Con fecha 24/06/22 y 18/08/2022, por parte de esta Agencia se
realizan las siguientes diligencias sobre el sitio web https://www.diverporno.com/
a).- Sobre el acceso a las páginas webs y el control parental:
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos a pie de página:
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
DIVERPORNO utiliza Cookies. Para saber más, lea nuestra Cookies>>.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
38/122
(i).- Existe un enlace a la herramienta de control parental para una navegación más
segura de los menores, a través del enlace >. No obstante, se
comprueba que en la página de destino que se localiza en:
https://www.rtalabel.org/index.php?content=parents&t=.es#
El contenido es extremadamente obsoleto. La mayoría de los enlaces conducen a
páginas que no existen, e incluso en el caso de uno de los enlaces, éste conduce a
una tienda de venta on-line.
(ii).- Si se cliquea en la opción >, la web desaparece devolviendo al usuario a la
página del navegador que se esté utilizando. No obstante, si se cliquea en la flecha
(?) de retroceso del buscador, aparece la página principal de la web
https://www.diverporno.com/ , en la cual ahora ha desaparecido el banner de
advertencia de contenido para adultos, posibilitando el acceso a cualquier contenido
de la página, sin ningún tipo de impedimento. Asimismo, si directamente se escribe en
el navegador la dirección https://www.diverporno.com/ se comprueba que se entra
directamente en el sitio web sin que se vuelva a mostrar el banner de advertencia de la
mayoría de edad.
(iii).- Existe un área definida para declarar que se es mayor de edad (>)
donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante, si
hacemos ?clic? en cualquier parte de la pantalla, incluso en el aspa (X), el banner
desaparece y la web permite el acceso a su contenido, sin ningún tipo de
impedimento.
(iv).- Si se cliquea en la opción > existente en el banner, la web
redirige a una nueva página, https://www.diverporno.com/cookies-policy.html , y
después se cliquea en el enlace situado en la parte superior izquierda,
>, se comprueba que la web redirige al usuario otra vez a la página
principal observando que el banner de advertencia ha desaparecido y la web permite
la navegación sin ningún tipo de impedimento
b).- Sobre la obtención de datos personales en la web:
En las páginas webs existen varias formas de obtener datos personales de los
usuarios:
(i).- A través de la pestaña ?Contacto?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?DiverPorno ? Contact?
(ii).- A través de la pestaña ?Webmasters?, situada en la parte inferior de la página
principal, se despliega el correo electrónico del usuario para poder enviar un mensaje
a la dirección de correo: san@techpump.com con el asunto: ?DiverPorno ?
Webmasters?.
(iii).- A través de la pestaña ?Anúnciate Aquí?, situada en la parte inferior de la página
principal, se despliega un formulario https://www.trfpump.com/ donde se puede
introducir datos personales del usuario como, el nombre y el correo electrónico.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
39/122
(iv).- Existe la posibilidad de introducir datos personales a través del enlace existente
en la parte inferior de la página ?Anúnciese Aquí?, a través del cual, la web redirige a
una nueva página, https://www.trfpump.com/ , donde se informa de los siguiente:
?Techpump es el dueño exclusivo de una de las redes de tráfico adulto más grandes
del mundo - con marcas como Cumlouder, Serviporno o Porn300, varias de las webs
más grandes de toda la industria. Servimos de soporte a miles de advertisers que
tienen la posibilidad de segmentar sus anuncios por dispositivo, por cuidad, por
navegador, por horario o por cualquier necesidad concreta para su producto. (?)? y
donde se pueden incluir datos personales como el nombre, el correo electrónico y el
asunto cuyo título es: ?Utiliza este espacio para hacer una breve introducción de tu
empresa o de tus necesidades: (Required)?, no estando por tanto vedado a la
introducción de datos personales de personas físicas. No existe en este formulario
ninguna herramienta donde se pueda proporcionar el consentimiento ni acceso a la
?Política de Privacidad?. Para enviar el formulario solamente se debe cliquear en la
opción >?.
c).- Sobre la Política de Privacidad:
1.- Si se accede a la ?Política de Privacidad?, a través del enlace existente en la parte
inferior de la página principal >, la web redirige al usuario a una nueva
página, donde se proporciona, entre otra, información sobre: la propiedad del sitio
web; los datos de contacto del responsable; información sobre la protección de datos
de los archivos de datos de clientes; la finalidad prevista; la legitimidad en el
tratamiento de los datos; los posibles destinatarios de las transferencias de datos;
cómo ejercer sus derechos sobre los datos personales o por cuanto tiempo se
conservarán los datos.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo nº 60, 2º D 33203 -
Gijón (Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
Respecto de la ?Finalidad prevista? se concreta en que:
?Gestión de los datos facilitados en los formularios de recogida de datos del sitio web
de la página web. Entrega de publicidad digital?.
Bajo el epígrafe ?Información básica sobre protección de datos fichero de datos
clientes? se indica respecto de los ?Destinatarios de cesiones de datos? que será a:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
40/122
?(?)Otras empresas del mismo grupo No se cederán datos salvo que sea
absolutamente necesario para dar cumplimiento al servicio solicitado No se
cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso
de compra a través de la web)?.
En relación con ?Cómo ejercitar tus derechos?, se indica:
?Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº 2, 1º D, 33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?.
A continuación, se dispone que:
?El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el
tiempo que desea ser miembro?.
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
41/122
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la ?Información de los datos almacenados?, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro. Tampoco se indica la finalidad a la que se dedicarán los datos
recopilados de la IP del usuario o del wifi, tal y como se indica en el ?aviso legal?: ?(?)
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento?.
d).- Sobre los Términos de Uso:
Los términos de uso aparecen en inglés indicando que ?The Diver Porno website
allows for uploading, sharing and general viewing various types of content allowing
registered and unregistered users to share and view visual depictions of adult content,
including sexually explicit images. In addition, Diver Porno contains video content,
information and other materials posted/uploaded by users. Diver Porno allows its
users to view the Content and Website subject to the terms and conditions of this
Agreement? ??El sitio web de Diver Porno permite cargar, compartir y ver en general
varios tipos de contenido, lo que permite a los usuarios registrados y no registrados
compartir y ver representaciones visuales de contenido para adultos, incluidas
imágenes sexualmente explícitas. Además, Diver Porno contiene contenido de video,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
42/122
información y otros materiales publicados / cargados por los usuarios Diver
Porno permite a sus usuarios visualizar el Contenido y el Sitio Web sujetos a los
términos y condiciones de este Acuerdo? (la traducción es nuestra)-.
e).- Sobre la Política de Cookies:
1.- Al entrar en la web por primera vez, una vez limpiado de cookies el equipo terminal
y sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado
que se utilizan cookies de terceros (Google) que no son técnicas o necesarias:
Cookies detectadas Proveedor Descripción Consentimiento
ga_CKL7S7S25E
_ga
_gid
Google Recopilación de estadísticas
sobre las visitas y
navegación en sitio web
Instalada sin
consentimiento
del usuario
No existe ningún tipo de banner independiente que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de que la página es de contenido
pornográfico: ?DiverPorno utiliza cookies, para saber más, lea nuestra cookies>>?.
No existe ningún mecanismo que posibilite rechazar las cookies que no son técnicas o
necesarias. Tampoco existe ningún panel de control de cookies que posibilite la
gestión de estas, de una forma granular o por grupos.
4.- Si se opta por acceder a la >, a través del enlace existente
en la parte inferior de la página principal, la web redirige al usuario a una nueva
página: https://www.diverporno.com/cookies-policy/ , donde se proporciona, en idioma
inglés, información sobre, qué son las cookies y qué tipos de cookies existen, pero no
se informa sobre las cookies que utiliza la web. Sobre la gestión de las cookies, la web
remite usuario a hacerlo a través del navegador instalado en su equipo terminal.
Se comprueba además que, si se accede desde el banner de advertencia a la ?Política
de Cookies? y después se cliquea en el enlace situado en la parte superior izquierda
>, se redirige al usuario directamente al contenido de la web sin
haber aceptado previamente el ?ser mayor de edad? en el banner
DÉCIMO SÉPTIMO: Con fecha 04/07/22, se recibe en esta Agencia escrito de
contestación por parte de la entidad al requerimiento realizado en el periodo de
pruebas, en el cual, entre otras, se indica lo siguiente:
?Hay que indicar que en las cinco páginas web que nos solicitan, el proceso es
el mismo en tres de ellas, y en www.diverporno.com como en
www.soloporno.xxx NO EXISTE TRATAMIENTO DE DATOS.
En relación con las páginas webs www.cumlouder.com - Datos que se
recopilan: Nombre, apellidos, nombre de usuario, correo electrónico,
contraseña, sexo, fecha de nacimiento, país y Provincia. Cuando acceden a la
web, se obtiene igualmente la I.P. desde la que lo hace.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
43/122
Se adjunta documento nº 1 pantallazo con los datos que se recogen en la web.
- Finalidad de recopilación de los datos: Gestión de los datos facilitados en los
formularios de recogida de datos del sitio web de las páginas webs para la
entrega de publicidad digital, obteniendo el consentimiento para ello conforme
al art. 21 de la LSSI-CE. La I.P. se obtiene con fines de colaboración con las
fuerzas y cuerpos de seguridad del estado a la hora de responder a cualquier
petición de información. Dado el nivel delictivo que puede existir utilizando este
tipo de páginas web, así como el uso de las mismas para intentar colgar
fotografías y videos de otras personas que no son actores /actrices
profesionales, esta empresa colabora activamente con los cuerpos y fuerzas
de seguridad del Estado, en la detección de delitos relacionados con
pornografía infantil y otros delitos que puedan ser de esa índole jurídica.
- Cesiones efectuadas de los datos: A otras empresas del mismo grupo, no
cediendo datos salvo que sean absolutamente necesarios para dar
cumplimiento al servicio solicitado. No se ceden datos salvo mandato legal,
asesoramiento fiscal y contable (en caso de compra a través de la web).
- Determinación del plazo de conservación con los datos recopilados y
justificación del plazo de conservación: Indefinido, en tanto en cuanto no se
solicite la determinación del tiempo que desea ser miembro de las páginas
web. Pueden solicitar la anulación del consentimiento cuando se desee
simplemente comunicándolo. Tal y como se indica en el RAT.
- Aportación del RAT: REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB. PARTE
RESPONSABLE TECHPUMP SOLUTIONS SL FINALIDAD PREVISTA Gestión
de los datos facilitados en los formularios de recogida de datos del sitio web de
las páginas webs para la entrega de publicidad digital. DPO (Delegado de
protección de datos) A.A.A. - Abogado (...) LEGITIMIDAD Consentimiento del
usuario. DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras
empresas del mismo grupo No se cederán datos salvo que sea absolutamente
necesario para dar cumplimiento al servicio solicitado No se cederán datos
salvo mandato legal Asesoramiento fiscal y contable. (en caso de compra a
través de la web) DERECHOS Derecho a solicitar el acceso a los datos
personales del usuario, Derecho a solicitar su corrección o supresión , Derecho
a solicitar la limitación de su tratamiento , Derecho a oponerse al tratamiento,
Derecho a la portabilidad de los datos; MÁS INFORMACIÓN El TIEMPO DE
TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el tiempo
que desea ser miembro. Puede ver nuestra política de privacidad en:
www.cumlouder.com/es/privacidad/ CÓMO EJERCER SUS DERECHOS
Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº2, 1ero. D., 33204, Gijón, Asturias. Número de teléfono 984.182.679
una dirección de correo electrónico gdpr@techpump.com
- Mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
44/122
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible.
En relación con las páginas webs www.serviporno.com
- Datos que se recopilan: Nombre, apellidos, nombre de usuario, correo
electrónico, contraseña, sexo, fecha de nacimiento, país y Provincia. Cuando
acceden a la web, se obtiene igualmente la I.P. desde la que lo hace. Se
adjunta documento nº 1 pantallazo con los datos que se recogen en la web. -
Finalidad de recopilación de los datos: Gestión de los datos facilitados en los
formularios de recogida de datos del sitio web de las páginas webs para la
entrega de publicidad digital, obteniendo el consentimiento para ello conforme
al art. 21 de la LSSI-CE. La I.P. se obtiene con fines de colaboración con las
fuerzas y cuerpos de seguridad del estado a la hora de responder a cualquier
petición de información. Dado el nivel delictivo que puede existir utilizando este
tipo de páginas web, así como el uso de estas para intentar colgar fotografías y
videos de otras personas que no son actores /actrices profesionales, esta
empresa colabora activamente con los cuerpos y fuerzas de seguridad del
Estado, en la detección de delitos relacionados con pornografía infantil y otros
delitos que puedan ser de esa índole jurídica.
- Cesiones efectuadas de los datos: A otras empresas del mismo grupo, no
cediendo datos salvo que sean absolutamente necesarios para dar
cumplimiento al servicio solicitado. No se ceden datos salvo mandato legal,
asesoramiento fiscal y contable (en caso de compra a través de la web). -
Determinación del plazo de conservación con los datos recopilados y
justificación del plazo de conservación: Indefinido, en tanto en cuanto no se
solicite la determinación del tiempo que desea ser miembro de las páginas
web. Pueden solicitar la anulación del consentimiento cuando se desee
simplemente comunicándolo. Tal y como se indica en el RAT.
- Aportación del RAT: REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB. PARTE
RESPONSABLE TECHPUMP SOLUTIONS SL FINALIDAD PREVISTA Gestión
de los datos facilitados en los formularios de recogida de datos del sitio web de
las páginas webs para la entrega de publicidad digital. DPO (Delegado de
protección de datos) A.A.A. - Abogado (...) LEGITIMIDAD Consentimiento del
usuario. DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras
empresas del mismo grupo No se cederán datos salvo que sea absolutamente
necesario para dar cumplimiento al servicio solicitado No se cederán datos
salvo mandato legal Asesoramiento fiscal y contable. (en caso de compra a
través de la web) DERECHOS Derecho a solicitar el acceso a los datos
personales del usuario, Derecho a solicitar su corrección o supresión , Derecho
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
45/122
a solicitar la limitación de su tratamiento , Derecho a oponerse al tratamiento,
Derecho a la portabilidad de los datos; MÁS INFORMACIÓN El TIEMPO DE
TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el tiempo
que desea ser miembro. Puede ver nuestra política de privacidad en:
https://www.serviporno.com/terms/ CÓMO EJERCER SUS DERECHOS
Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº2, 1ero. D., 33204, Gijón, Asturias. Número de teléfono 984.182.679
una dirección de correo electrónico gdpr@techpump.com
- Mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible.
- En relación con la página www.soloporno.xxx:
Se tiene en cuenta la IP, sin recoger el dato, únicamente para poder saber
desde que país se conecta el usuario. No se recoge el dato, y además se
adecuan el orden de videos por el país que se han conectado.
- Datos que se recopilan: NINGUNO.- - Finalidad de recopilación de los datos:
No se recopilan datos de carácter personal.- - Cesiones efectuadas de los
datos: No se ceden datos de carácter personal.- - Determinación del plazo de
conservación con los datos recopilados y justificación del plazo de
conservación: No se conserva ningún dato en esta página web. - Aportación
del RAT: REGISTRO DE ACTIVIDADES DE TRATAMIENTO: No existe ningún
tratamiento de datos y por lo tanto el Registro de Actividad de tratamiento, no
tiene sentido.
- Mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible.
- En relación con www.porn300.com/es :
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
46/122
Hay que indicar que la AEPD nos indica en su solicitud le hagamos llegar
información de las páginas webs www.porn300.com.es no siendo propiedad de
la mercantil TECHPUMP SOLUTIONS S.L, como entendemos que es un error
del órgano instructor de este expediente, al igual que las demás páginas le
hacemos llegar la información solicitada en relación con la página de nuestra
propiedad que es www.porn300.com/es
- Datos que se recopilan: Nombre, apellidos, nombre de usuario, correo
electrónico, contraseña, sexo, fecha de nacimiento, país y Provincia. Cuando
acceden a la web, se obtiene igualmente la I.P. desde la que lo hace. Se
adjunta documento nº 1 pantallazo con los datos que se recogen en la web.
- Finalidad de recopilación de los datos: Gestión de los datos facilitados en los
formularios de recogida de datos del sitio web de las páginas webs para la
entrega de publicidad digital, obteniendo el consentimiento para ello conforme
al art. 21 de la LSSI-CE. La I.P. se obtiene con fines de colaboración con las
fuerzas y cuerpos de seguridad del estado a la hora de responder a cualquier
petición de información. Dado el nivel delictivo que puede existir utilizando este
tipo de páginas web, así como el uso de estas para intentar colgar fotografías y
videos de otras personas que no son actores /actrices profesionales, esta
empresa colabora activamente con los cuerpos y fuerzas de seguridad del
Estado, en la detección de delitos relacionados con pornografía infantil y otros
delitos que puedan ser de esa índole jurídica.
- Cesiones efectuadas de los datos: A otras empresas del mismo grupo, no
cediendo datos salvo que sean absolutamente necesarios para dar
cumplimiento al servicio solicitado. No se ceden datos salvo mandato legal,
asesoramiento fiscal y contable (en caso de compra a través de la web).- -
Determinación del plazo de conservación con los datos recopilados y
justificación del plazo de conservación: Indefinido, en tanto en cuanto no se
solicite la determinación del tiempo que desea ser miembro de las páginas
web. Pueden solicitar la anulación del consentimiento cuando se desee
simplemente comunicándolo. Tal y como se indica en el RAT.
- Aportación del RAT: REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB. PARTE
RESPONSABLE TECHPUMP SOLUTIONS SL FINALIDAD PREVISTA Gestión
de los datos facilitados en los formularios de recogida de datos del sitio web de
las páginas webs para la entrega de publicidad digital. DPO (Delegado de
protección de datos) A.A.A. - Abogado (...) LEGITIMIDAD Consentimiento del
usuario. DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras
empresas del mismo grupo. No se cederán datos salvo que sea absolutamente
necesario para dar cumplimiento al servicio solicitado No se cederán datos
salvo mandato legal Asesoramiento fiscal y contable. (en caso de compra a
través de la web) DERECHOS Derecho a solicitar el acceso a los datos
personales del usuario, Derecho a solicitar su corrección o supresión , Derecho
a solicitar la limitación de su tratamiento , Derecho a oponerse al tratamiento,
Derecho a la portabilidad de los datos; MÁS INFORMACIÓN El TIEMPO DE
TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el tiempo
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
47/122
que desea ser miembro. Puede ver nuestra política de privacidad en:
https://www.porn300.com/es/aviso-legal/ CÓMO EJERCER SUS DERECHOS
Solicite nuestros formularios para ejercer sus derechos en: A.A.A., abogado
(...) con despacho de notificaciones en HONOS ABOGADOS SLP en Calle
Langreo nº2, 1ero. D., 33204, Gijón, Asturias. Número de teléfono 984.182.679
una dirección de correo electrónico gdpr@techpump.com
- Mecanismos implementados para confirmar que se tratan sólo datos de
mayores de edad: Entendemos que se aplican todas las posibilidades
tecnológicas vigentes para ello y las recomendaciones existentes, existiendo
una mayor facilitad y disponibilidad para ello en el ámbito de los servicios de
control parental a través de aplicaciones en dispositivos móviles y en otras
medidas de responsabilidad proactiva en apps para dispositivos móviles
publicada por esa Agencia. Si conocieran algún sistema de refuerzo, rogamos
nos lo comuniquen pues esta empresa no conoce más que las que
eficazmente aplica, realizando desde un inicio todos los esfuerzos razonables
para verificar los datos proporcionados por el usuario, teniendo en cuenta la
tecnología disponible.
- En relación con www.diverporno.com :
Se tiene en cuenta la IP, sin recoger el dato, únicamente para poder saber
desde que país se conecta el usuario. No se recoge el dato, y además se
adecuan el orden de videos por el país que se han conectado. - Datos que se
recopilan: NINGUNO.- - Finalidad de recopilación de los datos: No se recopilan
datos de carácter personal.- - Cesiones efectuadas de los datos: No se ceden
datos de carácter personal.- - Determinación del plazo de conservación con los
datos recopilados y justificación del plazo de conservación: No se conserva
ningún dato en esta página web.
- Aportación del RAT: REGISTRO DE ACTIVIDADES DE TRATAMIENTO: No
existe ningún tratamiento de datos y por lo tanto el Registro de Actividad de
tratamiento, no tiene sentido. - Mecanismos implementados para confirmar que
se tratan sólo datos de mayores de edad: Entendemos que se aplican todas las
posibilidades tecnológicas vigentes para ello y las recomendaciones existentes,
existiendo una mayor facilitad y disponibilidad para ello en el ámbito de los
servicios de control parental a través de aplicaciones en dispositivos móviles y
en otras medidas de responsabilidad proactiva en apps para dispositivos
móviles publicada por esa Agencia.
Si conocieran algún sistema de refuerzo, rogamos nos lo comuniquen pues
esta empresa no conoce más que las que eficazmente aplica, realizando desde
un inicio todos los esfuerzos razonables para verificar los datos proporcionados
por el usuario, teniendo en cuenta la tecnología disponible.-
Por lo anteriormente expuesto, SOLICITO Se tenga por presentadas las
alegaciones en el Expediente nº PS/00555/2021 en tiempo y forma,
continuando el procedimiento por sus trámites legales y quedando a
disposición de ese organismo para cualquier aclaración?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
48/122
Asimismo, adjunta como documento nº1 ?Datos que se recogen en las webs? un
pantallazo de los datos que recogen en las webs donde se observa que se recoge
respecto de un vídeo la identificación del usuario, la fecha y hora de cuando fue subido
a la web y compartido con otros usuarios, la IP desde la que se ha subido el vídeo, la
duración, la orientación sexual del vídeo -en lo remitido pone ?Straight? haciendo
referencia a que es de orientación heterosexual-, el título del mismo, su descripción y
palabras clave.
A continuación, y respecto de dicho usuario se contiene su identificación, su nombre
de usuario, el país, el email, la fecha en que se registró en la web, la IP desde la que
se registró, la fecha y la hora de su registro, su nombre y apellidos, el sexo, la fecha de
nacimiento y la ciudad.
También se registran las últimas veces que ha iniciado sesión indicando la fecha y la
hora en la que el usuario ha iniciado sesión, el país y la ciudad desde la que se ha
conectado y la IP desde la que se ha conectado.
DÉCIMO OCTAVO: Con fecha 24 de agosto de 2022 la Instrucción formuló propuesta
de resolución que propuso y elevó al órgano competente para resolver, con la
siguiente propuesta:
?PRIMERO: Que por la Directora de la Agencia Española de Protección de
Datos se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con
CIF.: B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 5.1.a) del RGPD, lo que constituye una
infracción tipificada en el artículo 83.5.a) del RGPD, calificada como muy grave
a los efectos de la prescripción en el artículo 72.1.a) de la LOPDGDD por la
falta de lealtad y transparencia, con una sanción de 75.000 euros (setenta y
cinco mil euros).
SEGUNDO: Que por la Directora de la Agencia Española de Protección de
Datos se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con
CIF.: B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 5.1.b) del RGPD, lo que constituye una
infracción tipificada en el artículo 83.5.a) del RGPD, calificada como muy grave
a los efectos de la prescripción en el artículo 72.1.a) de la LOPDGDD, con una
sanción de 75.000 euros (setenta y cinco mil euros).
TERCERO: Que por la Directora de la Agencia Española de Protección de
Datos se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con
CIF.: B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
49/122
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 5.1.e) del RGPD, lo que constituye una
infracción tipificada en el artículo 83.5.a) del RGPD, calificada como muy grave
a los efectos de la prescripción en el artículo 72.1.a) de la LOPDGDD
mantenimiento con carácter indefinido de los datos personales de los usuarios
registrados, con una sanción de 75.000 euros (setenta y cinco mil euros).
CUARTO: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 6.1 del RGPD, tipificada en el artículo
83.5.a) del RGPD y calificada como muy grave a los efectos de la prescripción
en el artículo 72.1.b de la LOPDGDD, con una sanción de 125.000 euros
(ciento veinticinco mil euros).
QUINTO: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 13 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como leve a los efectos de la prescripción en el
artículo 74.a) de la LOPDGDD, con una sanción de 15.000 euros (quince mil
euros).
SEXTO: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 12.1 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como leve a los efectos de la prescripción en el
artículo 74.a) de la LOPDGDD, por suministrar la información de la política de
privacidad en inglés, con una sanción de 25.000 euros (veinticinco mil euros).
SÉPTIMO: Que por la Directora de la Agencia Española de Protección de
Datos se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con
CIF.: B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
50/122
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 12.2 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como muy grave a los efectos de la prescripción
en el artículo 72.1.k) de la LOPDGDD , por la exigencia de aportar el DNI o el
pasaporte en todo caso y con carácter previo al ejercicio de los derechos
conferidos en el RGPD, independientemente de si hay dudas razonables sobre
la identidad del interesado, con una sanción de 25.000 euros (veinticinco mil
euros).
OCTAVO : Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 30.1 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como leve a los efectos de la prescripción en el
artículo 74.l) de la LOPDGDD, por no incorporar el registro de las actividades
del tratamiento toda la información exigida por el art. 30.1 del RGPD, con una
con una sanción de 5.000 euros (cinco mil euros).
NOVENO: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 8 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en el
artículo 73.a) y b) de la LOPDGDD, con una con una sanción de 30.000 euros
(treinta mil euros).
DÉCIMO: Que por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con CIF.:
B33950338, titular de las páginas web: www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo 25 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en el
artículo 73.d) de la LOPDGDD, con una con una sanción de 50.000 euros
(cincuenta mil euros).
UNDÉCIMO: Que por la Directora de la Agencia Española de Protección de
Datos se proceda a sancionar a la entidad, TECHPUMP SOLUTIONS S.L. con
CIF.: B33950338, titular de las páginas web: www.cumlouder.com;
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
51/122
https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, con arreglo a lo
dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas
(LPACAP), por la infracción del artículo Infracción del artículo 22.2 de la LSSI,
respecto a las irregularidades detectadas en las ?Política de Cookies? de las
páginas webs, con una sanción de 25.000 euros (veinticinco mil euros).
DECIMO SEGUNDO: Que por la Directora de la Agencia Española de
Protección de Datos se proceda a requerir a la entidad TECHPUMP
SOLUTIONS S.L. que implante, en el plazo de un mes, las medidas correctoras
necesarias para adecuar su actuación a la normativa de protección de datos
personales, así como que informe a esta Agencia en el mismo plazo sobre las
medidas adoptadas?.
Dicha propuesta de resolución fue notificada con fecha 24 de agosto de 2022 y
transcurrido el plazo de 10 días hábiles concedido para alegar cuanto considere en su
defensa y presentar los documentos e informaciones que considere pertinentes, de
acuerdo con el artículo 89.2 en relación con el art. 82.2 de la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la
entidad TECHPUMP SOLUTIONS, S.L., no ha realizado alegaciones.
HECHOS PROBADOS
De las actuaciones practicadas en el presente procedimiento, de la información y
documentación presentada por la entidad han quedado acreditados los siguientes
hechos sobre el tratamiento de datos personales, la política de privacidad y la política
de cookies, en las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/ https://www.diverporno.com/
Primero: Respecto al acceso a las páginas y el tratamiento de datos personales,
queda acreditado los siguientes hechos, comunes a cuatro páginas web, esto es,
www.cumlouder.com; https://www.serviporno.com/, https://www.soloporno.xxx/, y
https://www.diverporno.com/:
Sobre el banner de advertencia de página para adultos se ha detectado que, al entrar
por primera vez en el sitio aparece una ventana emergente (banner) advirtiendo del
contenido para adultos y solicitando al usuario que declare, antes de entrar en el sitio,
que es mayor de edad.
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Porn300 utiliza Cookies. Para saber más, lea nuestra >.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
52/122
El banner en cuestión posibilita tres opciones:
1.- Opción: ?Entrar?: Área definida para declarar que se es mayor de edad (>)
y donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante,
si hacemos clic en cualquier parte del banner, fuera del área de confirmación,
(?entrar?), o incluso fuera del propio banner, la web permite el acceso a su contenido
sin ningún tipo de impedimento.
2.- Opción: ?No?: Si se opta por abandonar el sitio, cliqueando en la opción >, la
web devuelve al usuario al navegador que se esté utilizando. No obstante, si se
cliquea en la flecha (?) de retroceso en la navegación, aparece nuevamente la página
principal de la web, en la cual ya ha desaparecido el banner de advertencia de
contenido para adultos, posibilitando la navegación por la página sin ningún tipo de
impedimento. Sucede lo mismo si se introduce la dirección de la página web
directamente en el buscador.
3.- Opción ?Control Parental?. El enlace >, redirige al usuario a
una nueva página https://www.rtalabel.org/index.php?content=parents&t=.es# donde
se le posibilita las herramientas de control parental para una navegación más segura
de los menores. No obstante, esta página está obsoleta pues la mayoría de los
enlaces que contiene conducen a páginas que no existen o incluso a una tienda de
venta on-line.
4.- Opción ?Política de cookies?: Si se cliquea en la opción >
existente en el banner, la web redirige a una nueva página, donde aparece información
sobre la política de cookies de la web pero si después se cliquea en el enlace situado
en la parte superior izquierda, de la página web, se comprueba como la web redirige al
usuario otra vez a la página principal observando que el banner de advertencia ha
desaparecido y la web permite la navegación sin ningún tipo de impedimento.
Respecto al acceso a las páginas y el tratamiento de datos personales, queda
acreditado los siguientes hechos en relación con la página web
https://www.porn300.com/es/:
Al entrar en la web por primera vez, aparece un banner de advertencia de contenido
para adultos a pie de página:
?Eres mayor de edad?
Este sitio tiene contenido solo para adultos
> >
Padres, podréis bloquear fácilmente este sitio. Por favor, leed > para
más información.
Porn300 utiliza Cookies. Para saber más, lea nuestra >.
El banner posibilita tres opciones:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
53/122
1.- Opción: ?Entrar?: Área definida para declarar que se es mayor de edad (>)
y donde se debe hacer clic para declararlo y poder entrar en el sitio web. No obstante,
si hacemos clic en cualquier parte del banner, fuera del área de confirmación,
(?entrar?), o incluso fuera del propio banner, la web permite el acceso a su contenido
sin ningún tipo de impedimento.
2.- Opción: ?No?: Si se cliquea la opción>, la web desaparece devolviendo al
usuario a la página del navegador que se esté utilizando. Si se cliquea en la flecha (?)
de retroceso del buscador, aparece la página principal de la web
https://www.porn300.com/ , en la que se mantiene el banner de advertencia de
contenido para adultos. Acontece lo mismo si se intenta acceder a la página web
desde el buscador.
3.- Opción ?Control Parental?. El enlace >, redirige al usuario a
una nueva página https://www.rtalabel.org/index.php?content=parents&t=.es# donde
se le posibilita las herramientas de control parental para una navegación más segura
de los menores. No obstante, esta página está obsoleta pues la mayoría de los
enlaces que contiene conducen a páginas que no existen o incluso a una tienda de
venta on-line.
4.- Opción ?Política de cookies?: Si se cliquea en la opción >
existente en el banner, la web redirige a una nueva página, Cookies policy -
Porn300.com , apareciendo un banner en el que se solicita se declare la edad que sólo
nos permite entrar si se declara que se es mayor de edad.
Segundo: Sobre la obtención de datos personales de los usuarios en las páginas web
https://www.serviporno.com/, y https://www.porn300.com/es/:
Se comprueba que las webs pueden obtener datos personales de los usuarios, a
través de la pestaña ?>?, donde se pueden introducir datos personales
como el nombre, apellidos, correo electrónico, ciudad, sexo, país y fecha de
nacimiento (que debe ser anterior al 01/01/2004), pues el año más próximo al actual
que se puede introducir es el 2004. Para proceder al registro no se solicita ningún otro
tipo de requerimiento o acreditación sobre la mayoría de edad. También se solicita que
se cree una contraseña y la confirmación de esta. También se solicita que se cree una
contraseña y la confirmación de ésta. Todos los datos son obligatorios.
En el mismo formulario, existe el siguiente mensaje, que debe ser cliqueado antes de
poder enviar el formulario (es obligatorio): ?_ Estoy de acuerdo con los condiciones>>?.
Con fecha 09/09/201, en el mismo formulario, existía el siguiente mensaje premarcado
en la opción ?acepto?: ?X Estoy de acuerdo con los términos y condiciones?.
Los términos y condiciones aparecen en inglés indicando que el sitio web ?permite
cargar, compartir y ver en general varios tipos de contenido, lo que permite a los
usuarios registrados y no registrados compartir y ver representaciones visuales de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
54/122
contenido para adultos, incluidas imágenes sexualmente explícitas? (la traducción es
nuestra).
Una vez registrado, el usuario accede a su perfil, en que comparte con los demás
usuarios, su nombre, edad, sexo, así como el país y ciudad de este (su localización).
Se puede subir al perfil una fotografía. Cabe la posibilidad de suscribirse al perfil de
usuario. También la posibilidad de dar un ?like? o un ?unlike? y consta el número de
vídeos subidos por el usuario.
El usuario puede compartir vídeos y ver los vídeos compartidos por otros usuarios y
sus perfiles en los términos anteriormente expresados.
En el caso de que se trate de un menor de edad de menos de 14 años, en los términos
recogidos en la política de privacidad, no se requiere consentimiento de quien ostente
la patria potestad o la tutela del menor.
Existe otra posibilidad de introducir datos personales en la web y es a través del
enlace existente en la parte inferior de la página ?Anúnciese Aquí?, a través del cual, la
web redirige a una nueva página, https://www.trfpump.com/. En esta página se puede
introducir datos personales del usuario, como el nombre, el correo electrónico y el
asunto cuyo título es: ?Utiliza este espacio para hacer una breve introducción de tu
empresa o de tus necesidades: (Required)?, no estando vedado a la introducción de
datos personales de personas físicas.
No existe en este formulario ninguna herramienta donde se pueda proporcionar el
consentimiento y estar de acuerdo con la política de privacidad o con los términos y
condiciones. Para enviar el formulario solamente se debe cliquear en la opción
>?.
Asimismo, se indica expresamente que ?Servimos de soporte a miles de advertisers
que tienen la posibilidad de segmentar sus anuncios por dispositivo, por cuidad, por
navegador, por horario o por cualquier necesidad concreta para su producto (?)?
Tercero: Sobre la obtención de datos personales de los usuarios en la página web
www.cumlouder.com:
Se comprueba que la web puede obtener datos personales a través del formulario de
registro, https://gw.cgpaytech.com/v1/api/payment_form/page/038b30ce-3283-4294-
843d-5a9aafa48df7?_cgbn=63162, donde se pueden introducir el nombre y el correo
electrónico, así como los datos de la tarjeta de crédito.
En esta página existe la siguiente información:
?Al proceder con el pago, usted certifica que es mayor de edad según su jurisdicción y
acepta la recopilación y el procesamiento de sus datos personales de acuerdo con lo
explicado en los Términos y condiciones y la Política de privacidad .
http://www.cumlouder.com está gestionada por Techpump Solutions SLU y registrada
en Calle San Bernardo 60, 2 D, 33201, Gijón, España.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
55/122
El cargo aparece en el extracto de su tarjeta de crédito como
CGBILLINGCOM*Techpump.
Para su comodidad, la suscripción se renovará automáticamente al cabo de 1 día con
un coste de 19,95 EUR hasta su cancelación. CommerceGate actúa como facilitador y
procesador de pago en esta transacción
¿Necesita ayuda? Vendedor: soporte@cumlouder.com . Procesador de pago:
support@cgbilling.com o +34 931 640 684. Puede obtener más información en
cgbilling.com?.
Antes de enviar el formulario para registrarse, se debe cliquear en el botón de:
?_Está de acuerdo con los >, la devoluciones>>, la >, de Techpump Solutions S.L.U. para
esta compra?.
En el formulario de los datos de la tarjeta de crédito, gestionados por la entidad,
COMMERCEGATE PAYMENT SOLUTIONS S.L.U. se requiere aceptar en un solo clic
los Términos y Condiciones, la Política de Devoluciones y la Política de privacidad. No
obstante, los tres enlaces dirigen únicamente al documento ?Legal Notice? ofrecido
únicamente en inglés.
En el caso de que se trate de un menor de edad de menos de 14 años, en los términos
recogidos en la política de privacidad, no se requiere consentimiento de quien ostente
la patria potestad o la tutela del menor.
También existe la posibilidad de introducir datos personales a través del enlace
existente ?Contacto y Soporte?, donde se pueden incluir datos personales como el
nombre, el correo electrónico y el asunto. No existe en este formulario ninguna
herramienta donde se pueda proporcionar el consentimiento ni el acceso a la ?Política
de Privacidad?. Solamente existe el siguiente mensaje: ?Todos los campos son
obligatorios?y para enviar la información solamente se debe cliquear en >?.
También existe la posibilidad de introducir datos personales a través del enlace
?Uploads Register?, donde se pueden incluir datos personales como el nombre, el
correo electrónico. No existe en este formulario ninguna herramienta donde se pueda
proporcionar el consentimiento ni acceso a la ?Política de Privacidad?. Para enviar la
información solamente se debe cliquear en la opción >
Cuarto: Sobre la obtención de datos personales de los usuarios en las páginas web
https://www.soloporno.xxx y https://www.diverporno.com/:
Se comprueba que las webs permiten obtener datos personales a través la pestaña
?Contacto?, donde se puede enviar un mensaje a la dirección de correo:
san@techpump.com ; y a través de la pestaña ?Webmasters?, donde se puede enviar
un mensaje a la dirección de correo: san@techpump.com
Existe otra posibilidad de introducir datos personales en la web y es a través del
enlace existente en la parte inferior de la página ?Anúnciese Aquí?, a través del cual, la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
56/122
web redirige a una nueva página, https://www.trfpump.com/. En esta página se puede
introducir datos personales del usuario, como el nombre, el correo electrónico y el
asunto cuyo título es: ?Utiliza este espacio para hacer una breve introducción de tu
empresa o de tus necesidades: (Required)?, no estando vedado a la introducción de
datos personales de personas físicas.
No existe en este formulario ninguna herramienta donde se pueda proporcionar el
consentimiento y estar de acuerdo con la política de privacidad o con los términos y
condiciones. Para enviar el formulario solamente se debe cliquear en la opción
>?.
Asimismo, se indica expresamente que ?Servimos de soporte a miles de advertisers
que tienen la posibilidad de segmentar sus anuncios por dispositivo, por cuidad, por
navegador, por horario o por cualquier necesidad concreta para su producto (?)?.
Respecto de la página https://www.soloporno.xxx el usuario puede compartir vídeos y
ver los vídeos compartidos por otros usuarios y sus perfiles en los términos previstos
en los términos de uso.
Quinto: Sobre la Política de Privacidad, común a las cinco páginas web indicadas:
Se comprueba que la misma proporciona información sobre: la propiedad del sitio web;
los datos de contacto del responsable; información sobre la protección de datos de los
archivos de datos de clientes; la finalidad prevista; la legitimidad en el tratamiento de
los datos; los posibles destinatarios de las transferencias de datos; cómo ejercer sus
derechos sobre los datos personales o por cuanto tiempo se conservarán los datos
respecto de determinados tratamientos.
Con fecha 09/09/2021 la política de privacidad sólo se mostraba en inglés en todas las
páginas web.
Hay que destacar de todo lo anterior la siguiente información:
En el apartado titulado ?1.2 Política de Privacidad-Deber de información conforme al
RGPD 679/2016?, indican expresamente que, ?El usuario, al aceptar dar datos
personales en los formularios de contacto de este sitio web, de acuerdo con lo escrito
en este párrafo de este aviso legal, DECLARA EXPRESAMENTE QUE:
?Autoriza LIBRE Y VOLUNTARIAMENTE a la entidad TECHPUMP
SOLUTIONS SL con domicilio en Calle San Bernardo nº 60, 2º D 33203 - Gijón
(Asturias), a recabar y tratar los datos personales del abajo firmante.
Asimismo, el usuario declara haber sido convenientemente informado sobre la
siguiente tabla relacionada con el derecho previsto en el artículo 13 de la
GDPG?.
En el mismo apartado y respecto de la información suministrada a los interesados
respecto del fichero de datos de clientes se indica:
?INFORMACIÓN BÁSICA SOBRE LA PROTECCIÓN DE DATOS DE LOS
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
57/122
ARCHIVOS DE DATOS DEL CLIENTE
PARTE RESPONSABLE TECHPUMP SOLUTIONS SL
FINALIDAD PREVISTA
Gestión de los datos facilitados en los formularios de
recogida de datos del sitio web de la página web. Entrega de
publicidad digital.
DPO (Delegado de
protección de datos)
A.A.A. - Abogado (...)
LEGITIMIDAD Consentimiento del usuario.
DESTINATARIOS DE
LAS
TRANSFERENCIAS DE
DATOS
Otras empresas del mismo grupo No se cederán datos salvo
que sea absolutamente necesario para dar cumplimiento al
servicio solicitado No se cederán datos salvo mandato legal
Asesoramiento fiscal y contable. (en caso de compra a
través de la web)
DERECHOS
Derecho a solicitar el acceso a los datos personales del
usuario, Derecho a solicitar su corrección o supresión ,
Derecho a solicitar la limitación de su tratamiento , Derecho
a oponerse al tratamiento, Derecho a la portabilidad de los
datos;
MÁS INFORMACIÓN
El TIEMPO DE TRATAMIENTO: Esta indefinido dado que es
Vd. quien determina el tiempo que desea ser miembro.
Puede ver nuestra política de privacidad
en: https://www.soloporno.xxx
CÓMO EJERCER SUS
DERECHOS
Solicite nuestros formularios para ejercer sus derechos en:
A.A.A., abogado (...) con despacho de notificaciones en
HONOS ABOGADOS SLP en Calle Langreo nº 2, 1º D,
33204, Gijón, Asturias. Número de teléfono 608781399 una
dirección de correo electrónico gdpr@techpump.com?
En la información suministrada respecto del fichero de datos de clientes, si bien se
indica que la legitimación se obtendrá mediante el consentimiento expreso del
interesado, no se señala que puede ser revocado en cualquier momento por el
interesado.
Asimismo, en un párrafo aparte, indican que:
?Esta web es para mayores de edad y, por lo tanto. Es para mayores de 18
años.
Los menores de 14 años no pueden dar sus datos personales en nuestros
formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En
caso de que se requiera el consentimiento del menor, éste deberá ser otorgado
por, y por tanto recabar datos de, la persona que ostenta la patria potestad y /
o tutela del menor?.
En el apartado 1.4 relativo a ?Cómo puedo ejercer mis derechos? se manifiesta que:
TECHPUMP SOLUTIONS SL informará a todos sus trabajadores sobre el
procedimiento para atender los derechos de los interesados; Hemos definido
un protocolo para poder dar respuesta a todos los ejercicios de derechos.
Puede enviarnos su solicitud de ejercicio de derechos a gdpr@techpump.com
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
58/122
o por correo postal a nuestra dirección que ponemos de acuerdo con el art. 10
de la LSSI - CE. Pedimos que, siempre para el ejercicio de este, se tenga en
cuenta lo siguiente:
Previa presentación de su DNI o pasaporte, los titulares de los datos
personales (interesados) podrán ejercitar sus derechos de acceso,
rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El
ejercicio de los derechos es gratuito.
El responsable del tratamiento deberá responder a los interesados sin dilación
indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y
sencillo y conservar la prueba del cumplimiento del deber de dar respuesta a
las solicitudes para el ejercicio de derechos hechos.
Si la solicitud se presenta por medios electrónicos, la información se facilitará
por estos medios siempre que sea posible, salvo que el interesado solicite lo
contrario.
Las solicitudes deben ser atendidas en el plazo de 1 mes desde su recepción,
pudiendo prorrogarse por otros dos meses teniendo en cuenta la complejidad o
número de solicitudes, pero en ese caso el interesado deberá ser informado de
la prórroga dentro de un mes a partir de la recepción de la solicitud. solicitud,
indicando los motivos del retraso.
Sobre la conservación de los datos, se señala en el apartado 2.3 que:
?Los datos que conservamos son los incluidos en los formularios del sitio web
como los datos de contacto (información básica): nombre, apellido, correo
electrónico, teléfono, etc. Esta información es recibida por TECHPUMP
SOLUTIONS SL y nunca es vendida, compartida o alquilado a otras empresas,
con la lógica excepción de la prestación del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
No se especifica si existe una posterior recopilación de datos personales, una vez
realizado el registro de usuarios en algunas de las páginas web. Tampoco se indica la
finalidad a la que se dedicarán los datos recopilados de la IP del usuario o del wifi, tal y
como se indica en el ?aviso legal?: ?A veces, recopilamos datos de navegación, como
datos de IP o wi-fi ?.
Sobre el tiempo que tendrán en su poder los datos personales recogidos, el apartado
2.4 indica:
?Datos recopilados para el envío de nuestra newsletter : Desde la suscripción
hasta la solicitud del usuario de darse de baja del servicio mediante el envío de
un correo electrónico.
Datos del usuario subidos a sitios web y redes sociales : Desde el momento en
que el usuario da su consentimiento hasta que nos dice que ya no está
dispuesto a prestar este consentimiento.?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
59/122
Sexto: : La entidad TECHPUMP SOLUTIONS, S.L., según el escrito presentado por
ésta el 05/04/2021, en el marco de las actuaciones previas de investigación indica que
el registro de las actividades del tratamiento de los miembros de las páginas web es el
siguiente:
?Registro de Actividades de Tratamiento: MIEMBROS PAGINA WEB
? UNIDAD/ES CON ACCESO AL FICHERO O TRATAMIENTO
1. Dirección de TechpumpSolutions.
2. Administración Económica de la entidad.
3. Departamento programación de la entidad
4. Encargado de tratamiento
? DESCRIPCIÓN: Fichero con datos de clientes. Datos de
identificación personal.
? LEGITIMACIÓN Y PROCEDENCIA DE LOS DATOS:
Consentimiento expreso mediante la aceptación libre y voluntaria. Click en
un cuadro de aceptación de formulario.
? LEYES O REGULACIONES APLICABLES QUE AFECTAN AL
FICHERO O TRATAMIENTO:
1. RGPD 2016/679
2. Ley orgánica 3/2018 de Protección de Datos Personales
y garantía de los derechos digitales.
? RESPONSABLE DE PRIVACIDAD DPD: A.A.A..
? ESTRUCTURA DEL FICHERO: nombre, DNI, dirección, teléfono,
mail, numero de IP.
? FINALIDAD Y USOS PREVISTOS: Gestión de clientes. Cobro de
los servicios contratados como miembros. Control de acceso del cliente a
publicidad en las páginas.
? DESTINATARIOS: Asesoría fiscal y tributaria de Techpump para
emitir facturas a la plataforma. Plataformas de cobro de servicios y
gestión de miembros.
? SISTEMA DE TRATAMIENTO:
1. Automatizado
? PLAZOS PARA LA CANCELACIÓN DE DATOS:
1. Previstos por la legislación tributaria
2. Previstos por la legislación penal
3. Mientras dura la relación comercial?.
La entidad TECHPUMP SOLUTIONS, S.L., según el escrito presentado por ésta el
04/07/2022 en el marco del trámite de prueba presenta como registro de actividades
del tratamiento de datos de clientes registrados respecto de las páginas web
www.cumlouder.com, https://www.serviporno.com/ y https://www.porn300.com/es/, el
cual resulta totalmente coincidente con la estructura y contenido de la información
suministrada a los usuarios en la política de privacidad de las páginas web (apartado
1.2 de la misma).
Así, en cuanto a la página web www.cumlouder.com el siguiente:
?REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
60/122
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB.
PARTE RESPONSABLE TECHPUMP SOLUTIONS SL
FINALIDAD PREVISTA Gestión de los datos facilitados en los formularios de
recogida de datos del sitio web de la página web para la entrega de publicidad
digital.
DPO (Delegado de protección de datos) A.A.A. - Abogado (...)
LEGITIMIDAD Consentimiento del usuario.
DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras empresas
del mismo grupo No se cederán datos salvo que sea absolutamente necesario
para dar cumplimiento al servicio solicitado No se cederán datos salvo
mandato legal Asesoramiento fiscal y contable. (en caso de compra a través de
la web)
DERECHOS Derecho a solicitar el acceso a los datos personales del usuario,
Derecho a solicitar su corrección o supresión , Derecho a solicitar la limitación
de su tratamiento , Derecho a oponerse al tratamiento, Derecho a la
portabilidad de los datos;
MÁS INFORMACIÓN El TIEMPO DE TRATAMIENTO: Esta indefinido dado
que es Vd. quien determina el tiempo que desea ser miembro. Puede ver
nuestra política de privacidad en: www.cumlouder.com/es/privacidad/
CÓMO EJERCER SUS DERECHOS Solicite nuestros formularios para ejercer
sus derechos en: A.A.A., abogado (...) con despacho de notificaciones en
HONOS ABOGADOS SLP en Calle Langreo nº2, 1ero. D., 33204, Gijón,
Asturias. Número de teléfono 984.182.679 una dirección de correo electrónico
gdpr@techpump.com?.
En cuanto a la página web https://www.serviporno.com/ :
?REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB.
PARTE RESPONSABLE TECHPUMP SOLUTIONS SL FINALIDAD PREVISTA
Gestión de los datos facilitados en los formularios de recogida de datos del sitio
web de la página web para la entrega de publicidad digital.
DPO (Delegado de protección de datos) A.A.A. - Abogado (...)
LEGITIMIDAD Consentimiento del usuario.
DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras empresas
del mismo grupo No se cederán datos salvo que sea absolutamente necesario
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
61/122
para dar cumplimiento al servicio solicitado No se cederán datos salvo
mandato legal Asesoramiento fiscal y contable. (en caso de compra a través de
la web)
DERECHOS Derecho a solicitar el acceso a los datos personales del usuario,
Derecho a solicitar su corrección o supresión , Derecho a solicitar la limitación
de su tratamiento , Derecho a oponerse al tratamiento, Derecho a la
portabilidad de los datos;
MÁS INFORMACIÓN El TIEMPO DE TRATAMIENTO: Esta indefinido dado
que es Vd. quien determina el tiempo que desea ser miembro. Puede ver
nuestra política de privacidad en: https://www.serviporno.com/terms/
CÓMO EJERCER SUS DERECHOS Solicite nuestros formularios para ejercer
sus derechos en: A.A.A., abogado (...) con despacho de notificaciones en
HONOS ABOGADOS SLP en Calle Langreo nº2, 1ero. D., 33204, Gijón,
Asturias. Número de teléfono 984.182.679 una dirección de correo electrónico
gdpr@techpump.com?.
Por último, en relación con la página web https://www.porn300.com/es/ :
?REGISTRO DE ACTIVIDADES DE TRATAMIENTO:
INFORMACION SOBRRE TRATAMIENTO DE CLIENTES WEB.
PARTE RESPONSABLE TECHPUMP SOLUTIONS SL
FINALIDAD PREVISTA Gestión de los datos facilitados en los formularios de
recogida de datos del sitio web de la página web para la entrega de publicidad
digital.
DPO (Delegado de protección de datos) A.A.A. - Abogado (...)
LEGITIMIDAD Consentimiento del usuario.
DESTINATARIOS DE LAS TRANSFERENCIAS DE DATOS Otras empresas
del mismo grupo No se cederán datos salvo que sea absolutamente necesario
para dar cumplimiento al servicio solicitado No se cederán datos salvo
mandato legal Asesoramiento fiscal y contable. (en caso de compra a través de
la web)
DERECHOS Derecho a solicitar el acceso a los datos personales del usuario,
Derecho a solicitar su corrección o supresión , Derecho a solicitar la limitación
de su tratamiento , Derecho a oponerse al tratamiento, Derecho a la
portabilidad de los datos;
MÁS INFORMACIÓN El TIEMPO DE TRATAMIENTO: Esta indefinido dado
que es Vd. quien determina el tiempo que desea ser miembro. Puede ver
nuestra política de privacidad en: https://www.porn300.com/es/aviso-legal/
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
62/122
CÓMO EJERCER SUS DERECHOS Solicite nuestros formularios para ejercer
sus derechos en: A.A.A., abogado (...) con despacho de notificaciones en
HONOS ABOGADOS SLP en Calle Langreo nº2, 1ero. D., 33204, Gijón,
Asturias. Número de teléfono 984.182.679 una dirección de correo electrónico
gdpr@techpump.com?
No resulta coincidente el registro inicialmente declarado con el presentado en el
trámite de prueba, adoleciendo este último de las categorías de datos personales y de
las medidas técnicas y organizativas de seguridad del artículo 32.1 del RGPD.
Respecto de las páginas web https://www.soloporno.xxx/ y
https://www.diverporno.com/ no hay registro de actividades del tratamiento al
considerar la entidad TECHPUMP SOLUTIONS, S.L. que no hay tratamiento de datos
personales.
Sin embargo, hay tratamiento de datos personales, admitido por la propia entidad al
manifestar en su escrito de 04/07/2022 que ?Se tiene en cuenta la IP, sin recoger el
dato, únicamente para poder saber desde que país se conecta el usuario. No se
recoge el dato, y además se adecuan el orden de videos por el país que se han
conectado?.
Y respecto de las páginas web www.cumlouder.com, https://www.serviporno.com/ y
https://www.porn300.com/es/ admite que ?cuando acceden a las web, se obtiene
igualmente la I.P. desde la que lo hace?.
Séptimo: Sobre la Política de Cookies en las cinco páginas web indicadas:
Se ha detectado que, al entrar en la web por primera vez, una vez limpiado de cookies
el equipo terminal y sin aceptar cookies ni realizar ninguna acción sobre la página, se
ha comprobado que se utilizan cookies que no son técnicas o necesarias de terceros.
No existe ningún tipo de banner independiente que informe sobre cookies en la página
principal o primera capa de la web. La única referencia que se hace a las cookies en la
página principal es en el banner de advertencia de contenido para adultos donde se
informa solamente que se utilizan cookies, pero no existe ningún mecanismo que
posibilite rechazar las cookies que no sean técnicas o necesarias. Tampoco existe
ningún panel de control de cookies que posibilite la gestión de estas, de una forma
granular o por grupos.
En la página de la ?Política de Cookies?, se proporciona, en idioma inglés, información
sobre, qué son las cookies y qué tipos de cookies existen. No existe ningún
mecanismo que posibilite el rechazo de las cookies que no sean técnicas o la
posibilidad de gestionarlas de forma granular. Para la gestión de las cookies se
emplaza al usuario a la configuración del navegador instalado en el equipo terminal.
Por último, si se accede desde el banner de advertencia a la ?Política de Cookies? y
después se cliquea en el enlace situado en la parte superior izquierda, se accede
directamente al contenido de las webs sin ningún tipo de reparo.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
63/122
Octavo: De las actuaciones practicadas se constata que en las cinco páginas web se
tratan datos personales de los usuarios, esto es, la dirección IP (de cualquier usuario
que acceda, registrado o no), el nombre y apellidos y el correo electrónico.
Además, en las páginas web en las que se pueden registrar los usuarios, esto es
https://www.serviporno.com/ y https://www.porn300.com/es/ se recogen nombre y
apellidos de usuario, correo electrónico, sexo, edad (fecha de nacimiento), país y
ciudad.
En la página www.cumlouder.com se recogen los datos de la tarjeta de crédito.
Una vez registrados los usuarios en las páginas web www.cumlouder.com,
https://www.serviporno.com/ y https://www.porn300.com/es/ se tratan datos relativos al
fecha y hora de registro, fecha y hora de inicio de sesión, la última conexión, las
últimas veces que ha iniciado sesión indicando la fecha y la hora en la que el usuario
ha iniciado sesión, el país y la ciudad desde la que se ha conectado y la IP desde la
que se ha conectado; el número de vídeos subidos o el número de visualizaciones de
vídeos, fecha y hora de cuando fue subido a la web un vídeo y compartido con otros
usuarios, la IP desde la que se ha subido el vídeo, la duración, la orientación sexual
del vídeo -en la documentación remitida respecto de un vídeo pone ?Straight? haciendo
referencia a que es de orientación heterosexual-, el título del mismo, su descripción y
palabras clave; asimismo se tratan la imagen y la voz (para la foto del perfil de usuario,
además de que se comparten vídeos en las páginas webs que pueden ser propios) y
los gustos, preferencias y hábitos sexuales, en atención a la orientación de los vídeos
sexuales, que además se pueden comentar los vídeos con las personas que forman
parte de la comunidad de usuarios, incluso dando un like.
FUNDAMENTOS DE DERECHO
I.- Competencia:
- Sobre el RGPD:
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.
- Sobre la Política de Cookies:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
64/122
Es competente para resolver este Procedimiento Sancionador, la Directora de la
Agencia Española de Protección de Datos, de conformidad con lo establecido en el art.
43.1, párrafo segundo, de la Ley LSSI.
II.- Tratamiento de datos de carácter personal.
El artículo 4 del RGPD, bajo la rúbrica ?Definiciones?, dispone lo siguiente:
?1) «datos personales»: toda información sobre una persona física identificada
o identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número
de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración
, conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción?.
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica,
autoridad, servicio u otro organismo que, solo o junto con otros, determine los
fines y medios del tratamiento; si el Derecho de la Unión o de los Estados
miembros determina los fines y medios del tratamiento, el responsable del tratamiento
o los criterios específicos para su nombramiento podrá establecerlos
el Derecho de la Unión o de los Estados miembros?
En el presente supuesto, consta que la entidad TECHPUMP SOLUTIONS, S.L. es la
responsable de los tratamientos de datos referidos en los hechos probados de procedimiento
sancionador, toda vez que conforme a la definición del artículo 4.7 del RGPD
es el que determina la finalidad y medios de los tratamientos realizados con las finalidades
señaladas en su registro de actividades del tratamiento y en su política de privacidad.
La entidad indica, en su escrito de fecha 04/07/22, contestando al requerimiento de
información derivado del trámite de prueba, que no existe tratamiento de datos
personales a través de las páginas webs www.diverporno.com y www.soloporno.xxx.
Resulta ésta una contradicción evidente con la realidad pues, en primer lugar, se
admite en la política de privacidad de ambas páginas, la recogida y el tratamiento de
datos personales.
En segundo lugar porque estás páginas pueden obtener datos personales a través de
la pestaña ?Contacto?, donde se despliega el servidor de correo electrónico pudiendo
enviar un mensaje a la dirección, san@techpump.com. También se pueden recopilar
datos personales a través de la pestaña ?Webmasters?, a través de la cual puede
enviar un mensaje a la dirección de correo: san@techpump.com o introducir datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
65/122
personales a través del enlace ?Anúnciese Aquí?, donde la web redirige a una nueva
página, www.trfpump.com/ , en la cual se pueden incluir datos personales como el
nombre, el correo electrónico y el asunto.
Y, en tercer lugar, y más importante, porque tal y como consta en los hechos
probados, reconocen que ?Se tiene en cuenta la IP, sin recoger el dato, únicamente
para poder saber desde que país se conecta el usuario. No se recoge el dato, y
además se adecuan el orden de videos por el país que se han conectado?.
La mercantil parece que da por supuesto que la utilización de la IP con una
determinada finalidad -saber el lugar de conexión de quien accede al contenido de la
página web sin registrarse y adecuar el orden de los vídeos por el país de conexiónno
es un tratamiento de datos personales, puesto que ?no se recoge el dato?.
Sin embargo, tal y como reza el artículo 4.2) del RGPD, el tratamiento de datos
personales comprende cualquier operación realizada sobre datos personales como la
recogida, lo que acontece en el supuesto examinado.
Respecto de la IP, es incontrovertido que nos encontramos ante un dato de carácter
personal tal y como viene siendo considerado por la AEPD a través de sus Informes
de su Gabinete Jurídico 327/2003 o de 1 de marzo de 2007 o ampliamente por la
jurisprudencia (por todas, Sentencia del Tribunal Supremo de 16/2014 de 30 de enero
o de 3 de octubre de 2014 o Sentencia de la Audiencia Nacional de 1 de septiembre
de 2011 o Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de
2016, asunto C-582/14).
En las webs: www.serviporno.com/, y www.porn300.com/es/: tal y como consta acreditado
, el perfil de usuario, una vez registrado, contiene más datos personales que los
que se recogen en el registro -el nombre del usuario, el email, el sexo, la fecha de nacimiento
, el país y la ciudad-, pues permite compartir con el resto de los miembros la
localización, el sexo, la edad, la imagen y la voz, así como la última conexión, el número
de vídeos subidos o el número de visualizaciones de vídeos, que junto con los comentarios
que pueden realizarse, muestran gustos y hábitos sexuales.
En la web www.cumlouder.com se recogen además los datos de la tarjeta de crédito.
En todas ellas se recogen los datos de navegación, la IP de quien accede a las páginas
, sus datos de navegación o la wifi. Asimismo, para todas ellas se indica que se recoge
el teléfono.
Y todo ello sin perjuicio del resto de datos recopilados, en los términos constatados en
los hechos probados.
Por último, hemos de indicar que, no obstante, la entidad asevera en su escrito de
05/04/2021 contestando al requerimiento efectuado por la AEPD en p que es obligatorio
ser mayor de edad para entrar y utilizar el sitio web - ??el sitio web es sólo para
adultos, informando que para entrar y utilizar el mismo es obligatorio tener al menos
18 años de edad?- y en el mismo sentido en su política de privacidad ??Esta web es
para mayores de edad y por lo tanto. Es para mayores de 18 años?-, lo cierto es que
no se puede afirmar que no trate datos de carácter personal de menores.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
66/122
Máxime cuando en su política de privacidad, de las cinco páginas web, así lo pone de
manifiesto haciendo referencia a que ?Los menores de 14 años no pueden dar sus datos
personales en nuestros formularios de recogida de datos, ya que es contrario al artículo
8 RGPD. En caso de que se requiera el consentimiento del menor, éste deberá
ser otorgado por, y por tanto recabar datos de, la persona que ostenta la patria potestad
y / o tutela del menor?.
En conclusión, ha quedado probado que la entidad TECHPUMP SOLUTIONS
S.L., titular de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/ https://www.diverporno.-
com/, como responsable del tratamiento, realiza un tratamiento de datos personales a
través de estas cinco páginas webs, tanto de mayores de edad como de menores de
edad.
III.- Sobre la falta de lealtad y transparencia.
El artículo 5.1.a) del RGPD dispone que ?Los datos personales serán: a) tratados
de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad
y transparencia»);?.
El considerando 38 del RGPD sobre la lealtad y transparencia determina que:
?Todo tratamiento de datos personales debe ser lícito y leal. Para las personas
físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando
o tratando de otra manera datos personales que les conciernen, así
como la medida en que dichos datos son o serán tratados. El principio de
transparencia exige que toda información y comunicación relativa al tratamiento
de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice
un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información
de los interesados sobre la identidad del responsable del tratamiento y los
fines de este y a la información añadida para garantizar un tratamiento leal y
transparente con respecto a las personas físicas afectadas y a su derecho a
obtener confirmación y comunicación de los datos personales que les conciernan
que sean objeto de tratamiento?.
Asimismo, el considerando 60 del RGPD señala que.
?Los principios de tratamiento leal y transparente exigen que se informe al interesado
de la existencia de la operación de tratamiento y sus fines. El responsable
del tratamiento debe facilitar al interesado cuanta información complementaria
sea necesaria para garantizar un tratamiento leal y transparente, habida
cuenta de las circunstancias y del contexto específicos en que se traten los datos
personales?.
El artículo 12 del RGPD establece cómo se articula la transparencia de la información
y la comunicación al interesado. Y los artículos 13 y 14 del RGPD especifican la información
concreta que ha de suministrarse al interesado para garantizar la lealtad y la
transparencia.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
67/122
El principio de transparencia no se agota en la concreción material de suministrar la información
de los artículos 13 y 14 del RGPD, en los términos del artículo 12 del RGPD
y 11 de la LOPDGDD.
El principio de transparencia fijado en el artículo 5.1.a) del RGPD es mucho más y tiene
entidad en sí mismo. Ligado al principio de lealtad implica el conocimiento efectivo
de la información precisa por parte de los interesados que redunde en el poder de disposición
y control que los interesados tienen respecto del tratamiento de sus datos
personales, en los términos dispuestos en la Sentencia del Tribunal Constitucional
292/2000, de 30 de noviembre de 2000: ?De suerte que, sin la garantía que supone el
derecho a una información apropiada mediante el cumplimiento de determinados requisitos
legales (art. 5 L.O.P.D.) quedaría sin duda frustrado el derecho del interesado
a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer
otras facultades que se integran en el contenido del derecho fundamental al que estamos
haciendo referencia?.
En este sentido, las Directrices del Grupo de Trabajo del Artículo 29 sobre la transparencia
en virtud del Reglamento (UE) 2016/679, adoptadas el 29 de noviembre de
2017y revisadas por última vez y adoptadas el 11 de abril de 2018 (WP 260) previenen
que ?10. Una consideración fundamental del principio de transparencia esbozado en
estas disposiciones es que el interesado debe poder determinar de antemano el alcance
y las consecuencias derivadas del tratamiento, y que no debe verse sorprendido en
un momento posterior por el uso que se ha dado a sus datos personales. Se trata, asimismo
, de un aspecto importante del principio de lealtad en virtud del artículo 5, apartado
1, del RGPD y, efectivamente, guarda relación con el considerando 39 ??.
De nada sirve que se suministre formalmente la información requerida en los artículos
13 y 14 del RGPD si esta no concuerda con la realidad del tratamiento fijada en el registro
de las actividades del tratamiento o si la información es contradictoria, oscura y
no permite a los interesados conocer realmente en qué consiste el tratamiento de sus
datos personales.
En cuanto a la lealtad, las Directrices 4/2019 del CEPD relativas al artículo 25 Protección
de datos desde el diseño y por defecto, adoptadas el 20 de octubre de 2020 disponen
que ?69. La lealtad es un principio general que exige que los datos personales
no se traten de manera injustificadamente perjudicial, ilícitamente discriminatoria, inesperada
o engañosa para el interesado?. Siguen estableciendo manifestación de la lealtad
será que ?Los interesados deben tener el máximo grado de autonomía posible
para determinar el uso que se haga de sus datos personales, así como el ámbito y las
condiciones de dicho uso o tratamiento (?) El tratamiento debe corresponderse con
las expectativas razonables de los interesados (?) El responsable del tratamiento no
abusará de las necesidades o vulnerabilidades de los interesados. (?) El responsable
no debe «forzar» la elección de sus usuarios de manera desleal (?) Los responsables
del tratamiento no deben transferir los riesgos de la empresa a los interesados.
(?) La información y las opciones del tratamiento de datos personales deben proporcionarse
de manera objetiva y neutral, evitando todo tipo de lenguaje o diseño engañoso
o manipulador (?) El responsable debe apreciar los efectos generales que tenga
el tratamiento sobre los derechos y la dignidad de las personas. (?) El responsable
debe poner a disposición del interesado la información relativa a la forma en que se
tratan los datos personales, debe actuar tal como haya declarado que lo va a hacer, y
no inducir al interesado a engaño?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
68/122
Así, podemos observar una clara incongruencia entre el contenido del registro de las
actividades del tratamiento de los usuarios (RAT) de las páginas webs remitido a esta
AEPD el 05/04/2021 y los remitidos el 04/07/22, la información suministrada a través
de la política de privacidad de las páginas web y la prueba practicada.
En primer lugar, existe vaguedad, falta de concreción y de transparencia respecto
de los datos personales tratados y la información suministrada al efecto a los
usuarios, que genera, obviamente, una confusión evidente que muestra la falta de
transparencia y lealtad.
En relación con las páginas web www.diverporno.com y www.soloporno.xxx, si bien la
entidad TECHPUMP SOLUTIONS, S.L. asevera en su escrito de 04/07/2022 que no
hay tratamiento de datos personales -y ello sin perjuicio de lo señalado en el fundamento
de derecho anterior respecto de la I.P.-, en la política de privacidad se informa
sobre el tratamiento de datos personales a través de formularios de recogida de datos.
Recordemos que estas páginas web recogen datos a través de las pestañas ?Contacto?
, ?Webmasters? y ?Anúnciese aquí?.
Así, por el contrario de lo afirmado a la AEPD, además de la I.P., se recogen el nombre
y el correo electrónico como mínimo.
Además, en la propia política de privacidad se indica que ?Los datos que conservamos
son los incluidos en los formularios del sitio web como los datos de contacto
(información básica): nombre, apellido, correo electrónico, teléfono, etc. Esta
información es recibida por TECHPUMP SOLUTIONS SL y nunca es vendida,
compartida o alquilado a otras empresas, con la lógica excepción de la prestación del
servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
En el resto de las páginas web, esto es, www.serviporno.com, www.cumlouder.com y
www.porn300.com/es, la mercantil en su escrito de 04/07/2022 dispone que se recopilan
los siguientes datos: ?Nombre, apellidos, nombre de usuario, correo electrónico,
contraseña, sexo, fecha de nacimiento, país y Provincia. Cuando acceden a las web,
se obtiene igualmente la I.P. desde la que lo hace?.
Además de los que señalan expresamente, adjunta como documento nº1 ?Datos que
se recogen en las webs? con el escrito de 04/07/2022 un pantallazo de los datos que
recogen en las webs: respecto de un vídeo la identificación del usuario, la fecha y
hora de cuando fue subido a la web y compartido con otros usuarios, la IP desde la
que se ha subido el vídeo, la duración, la orientación sexual del vídeo -en lo remitido
pone ?Straight? haciendo referencia a que es de orientación heterosexual-, el título del
mismo, su descripción y palabras clave.
Respecto de dicho usuario, además de los datos citados por la mercantil en su escrito,
se contiene la fecha en que se registró en la web, la IP desde la que se registró, la fecha
y la hora de su registro, las últimas veces que ha iniciado sesión indicando la fecha
y la hora en la que el usuario ha iniciado sesión, el país y la ciudad desde la que
se ha conectado y la IP desde la que se ha conectado.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
69/122
A ello tenemos que sumar que se solicitan los datos de la tarjeta de crédito en la página
web www.cumlouder.com.
Y también otros datos no señalados por la mercantil y que obtienen tras el registro del
usuario, pues comparte la imagen y la voz con otros usuarios, el número de vídeos subidos
, el número de visualizaciones y los ?like? a los de otros usuarios, mostrándose
sus preferencias, gustos y hábitos sexuales.
Sorprendentemente, no coinciden para nada con los datos señalados en la política de
privacidad de las páginas web, que concretan los datos personales tratados en ?Los
datos que conservamos son los incluidos en los formularios del sitio web como los datos
de contacto (información básica): nombre, apellido, correo electrónico, teléfono,
etc. Esta información es recibida por TECHPUMP SOLUTIONS SL y nunca es vendida
, compartida o alquilado a otras empresas, con la lógica excepción de la prestación
del servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi?.
Igualmente, y conforme a la información que se suministra en la política de privacidad
respecto de las cesiones de datos, parece que se recopilan más datos personales que
los citados en la misma, en concreto y respecto a las compras que puedan realizarse
en la web, los datos precisos para llevarlas a cabo, que podrían englobar nombre y
apellidos, DNI o NIE, número de cuenta o de tarjeta de débito o crédito, dirección de
entrega, etc.
Podemos comprobar que muchos de los datos personales tratados por la mercantil ni
se mencionan en la política de privacidad, que, por el contrario, cita otros que la entidad
ni considera en su escrito de 04/04/2022 (como el número de teléfono o la wifi).
Amén de la inconcreción e indefinición que supone el ?etc.? que acompaña la alusión
de los datos personales tratados en la política de privacidad o el ?como? referido a los
datos de navegación que previene a título claramente ejemplificativo. Ello redunda de
nuevo en la falta de lealtad y transparencia.
Por lo tanto, no se informa específicamente de otros datos personales que se recopilan
y que se comparten con otros usuarios registrados (www.serviporno.com/, y www.-
porn300.com/es/), tales como los contenidos en la ficha o perfil de usuario y que son,
tal y como constan en los hechos probados, la edad, sexo, así como el país y ciudad
de este (localización), la fotografía de perfil y los vídeos que decida compartir el usuario
(imagen y voz), así como los comentarios que realice.
Además, indicaremos que el artículo 30.1 del RGPD dispone, en cuanto al contenido
del registro de las actividades del tratamiento la obligatoriedad de incluir por parte del
responsable del tratamiento ?c) una descripción de las categorías de interesados y de
las categorías de datos personales?.
En el registro de las actividades de tratamiento presentado en el escrito de 04/07/2022
no se comprende tal previsión.
Mención específica hemos de hacer al dato personal de la I.P. que se recopila solamente
en la conexión con la única finalidad de conocer el Estado o País desde el que
se conecta la persona (www.soloporno.xxx y www.diverporno.com ) , o con fines de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
70/122
colaboración con las fuerzas y cuerpos de seguridad del estado (www.porn300.com/es
, www.cumlouder.com; y www.serviporno.com).
Sin embargo, en la política de privacidad de las páginas webs referenciada consta en
el apartado 2.3 ?INFORMACIÓN SOBRE LOS DATOS ALMACENADOS? que ?Los datos
que conservamos son los incluidos en los formularios del sitio web como los datos
de contacto (información básica): nombre, apellido, correo electrónico, teléfono, etc.
Esta información es recibida por TECHPUMP SOLUTIONS SL y nunca es vendida,
compartida o alquilado a otras empresas, con la lógica excepción de la prestación del
servicio.
A veces, recopilamos datos de navegación, como datos de IP o wi-fi.?.
Y que, respecto de la recopilación del dato de la IP, la mercantil admite se recopila
siempre, la política de privacidad matiza que es ?en ocasiones?, sin explicitar a los
usuarios, registrados o no, cuáles son esas ocasiones.
A la vista del contenido de la política de privacidad podemos observar cómo no diferencian
entre los datos que se recopilan de los usuarios no registrados y los registrados
en ninguna de sus páginas web en relación también con la IP.
Por otro lado, la mercantil niega respecto de los usuarios no registrados que trate datos
personales de estos, admite que ?Se tiene en cuenta la IP, sin recoger el dato, únicamente
para poder saber desde que país se conecta el usuario. No se recoge el
dato, y además se adecuan el orden de videos por el país que se han conectado?, esto
es, hay tratamiento de datos personales de los usuarios no registrados.
Queda probado por las propias aseveraciones de la entidad que respecto de los usuarios
no registrados al menos ?se recoge la IP solamente en la conexión con la única finalidad
de conocer el Estado o País desde el que se conecta la persona o para la colaboración
con las fuerzas y cuerpos de seguridad del Estado?, pues no diferencia en
las páginas webs www.serviporno.com, www.cumlouder.com y www.porn300.com/es
entre usuarios registrados y no registrados.
Segundo, y en cuanto a la finalidad del tratamiento, también adolece de falta de
transparencia.
Así, no es exactamente coincidente la finalidad consignada en el registro de actividades
del tratamiento con lo dispuesto en la política de privacidad. Según el registro de
actividades del tratamiento remitido mediante el escrito de 04/07/2022 la finalidad consistiría
en ?Gestión de los datos facilitados en los formularios de recogida de datos del
sitio web de la página web para la entrega de publicidad digital? mientras que en la política
de privacidad expresa la ?Gestión de los datos facilitados en los formularios de
recogida de datos del sitio web de la página web. Entrega de publicidad digital?.
Puede parecer lo mismo, pero no lo es. En el primer caso la gestión de los datos se
produce con única finalidad -?para?- entregar publicidad digital. Mientras que en la política
de privacidad se recogen dos finalidades claramente diferentes y no conectadas
entre sí: la gestión de los datos facilitados en los formularios y la entrega de publicidad
digital.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
71/122
Como podemos comprobar, además de que no es coincidente la finalidad del registro
de las actividades del tratamiento con lo consignado en la política de privacidad, existe
una gran vaguedad en cuanto a lo que consiste la finalidad del tratamiento, pues la
?gestión? de los datos facilitados en los formularios en sí misma no determina para qué
se tratan los datos personales, dado que todo tratamiento comprende una gestión de
datos personales.
Además, en las cesiones de datos personales, tanto en el registro de actividades
del tratamiento como en la política de privacidad de las cinco páginas web, se
hace referencia a otra finalidad, que es la realización de compras, que no se recoge
expresamente como una finalidad, ni se consigna la base jurídica que legitimaría tal
tratamiento de datos de forma independiente. Esta actuación redunda en una falta de
lealtad y transparencia del responsable del tratamiento respecto de los interesados.
Por otro lado, la entidad indica, en su escrito de 04/07/2022 en el trámite de prueba,
respecto de las páginas web www.serviporno.com, www.cumlouder.com y www.-
porn300.com/es una finalidad específica no comprendida en el registro de actividades
del tratamiento ni en la política de privacidad (no se informa a los usuarios): ?La I.P. se
obtiene con fines de colaboración con las fuerzas y cuerpos de seguridad del estado a
la hora de responder a cualquier petición de información. Dado el nivel delictivo que
puede existir utilizando este tipo de páginas web, así como el uso de las mismas para
intentar colgar fotografías y videos de otras personas que no son actores /actrices profesionales
, esta empresa colabora activamente con los cuerpos y fuerzas de seguridad
del Estado, en la detección de delitos relacionados con pornografía infantil y otros
delitos que puedan ser de esa índole jurídica?. Así, parece que además del uso de la
IP para fines de ?Gestión de los datos facilitados en los formularios de recogida de datos
del sitio web de la página web para la entrega de publicidad digital? la utilizan para
una finalidad que previenen como propia.
En tercer lugar, y respecto de las cesiones de datos, mientras que en las páginas
web www.diverporno.com y www.soloporno.xxx, mediante escrito remitido con fecha
04/07/2022 se afirma por la mercantil que ?NO EXISTE TRATAMIENTO DE DATOS?, y por tanto, no existe cesión de datos personales, en su política de privacidad
se indica todo lo contrario: ?Otras empresas del mismo grupo No se cederán datos salvo
que sea absolutamente necesario para dar cumplimiento al servicio solicitado No
se cederán datos salvo mandato legal Asesoramiento fiscal y contable. (en caso de
compra a través de la web)?.
A lo anterior hemos de añadir también la contradicción respecto de las cesiones de datos
en la propia política de privacidad, pues si bien se afirma que no se cederán datos
salvo por mandato legal, se prevén cesiones a empresas del mismo grupo (sin determinar
cuáles son estas empresas y para qué se ceden sus datos), cesiones para cumplir
con la prestación solicitada (sumando la gran indefinición de en qué consiste la
prestación solicitada), para asesoría fiscal y contable en caso de compra a través de la
web.
Por último, tenemos que apuntar que, la falta de lealtad y de transparencia
afectaría a la prestación libre del consentimiento respecto de los usuarios no registrados
y registrados, que no reciben la información de forma leal y transparente a los
efectos de incluir datos personales en los formularios.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
72/122
En conclusión, la actuación de la entidad adolece de lealtad y transparencia,
puesto que la información suministrada a los interesados a través de la política de privacidad
de las páginas webs no se corresponde con el tratamiento realmente efectuado.La lealtad y la transparencia implican que el interesado sea perfectamente consciente
de que se está produciendo el tratamiento de sus datos personales, con qué fines
y de qué forma.
Por ello, y de conformidad con las evidencias expuestas, los citados hechos suponen
una vulneración de lo dispuesto en el artículo 5.1.a), que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la Agencia
Española de Protección de datos.
IV.- Infracción
Los hechos expuestos incumplen lo establecido en el artículo 5.1.a) del RGPD,
con el alcance expresado en los Fundamentos de Derecho anteriores, lo que supone
la comisión de una infracción tipificada en el artículo 83.5.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente: ?5. Las infracciones de las disposiciones siguientes se sancionarán, de
acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo
del volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción ?1. En función de lo que establece el artículo 83.5 del
Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679?.
V.- Sobre la limitación de la finalidad.
El artículo 5.1.b) del RGPD dispone que los datos personales serán ?recogidos
con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de
manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el
tratamiento ulterior de los datos personales con fines de archivo en interés público, fines
de investigación científica e histórica o fines estadísticos no se considerará incompatible
con los fines iniciales («limitación de la finalidad»)?.
El principio de limitación de la finalidad impone que los datos personales sean recogidos
con fines determinados, explícitos y legítimos.
Así, las finalidades deben de estar perfectamente identificadas para que el interesado
pueda determinar si el tratamiento que efectúa el responsable está dentro de tales fi-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
73/122
nalidades.
Además, y ligado con la transparencia, que los fines sean explícitos supone que el
afectado entienda cuáles son estos, a los efectos de mantener el control real sobre sus
datos personales y pueda ejercer efectivamente sus derechos. Para comprender cuál
es la finalidad explícita, ésta ha de ser revelada al interesado.
Sin olvidarnos que los fines tienen que ser legítimos, esto es, conforme a lo permitido
por el ordenamiento jurídico.
En este sentido, se manifiesta el Dictamen 3/2013 del Grupo de Trabajo del Artículo
29, adoptado el 2 de abril de 2013, sobre la limitación de la finalidad.
De todo ello se infiere que, no se pueden realizar tratamientos de datos personales
porque puedan ser útiles en un futuro al responsable del tratamiento. Tienen que estar
ligados con las finalidades determinadas, explícitas y legítimas actuales del mismo y
respecto de sus propios tratamientos.
La entidad TECHPUMP SOLUTIONS, S.L. explicita en su escrito de
04/07/2022 en el trámite de prueba, respecto de las páginas web www.serviporno.com,
www.cumlouder.com y www.porn300.com/es una finalidad específica no comprendida
en el registro de actividades del tratamiento ni en la política de privacidad:
?La I.P. se obtiene con fines de colaboración con las fuerzas y cuerpos de seguridad
del estado a la hora de responder a cualquier petición de información.
Dado el nivel delictivo que puede existir utilizando este tipo de páginas web, así
como el uso de las mismas para intentar colgar fotografías y videos de otras
personas que no son actores /actrices profesionales, esta empresa colabora
activamente con los cuerpos y fuerzas de seguridad del Estado, en la detección
de delitos relacionados con pornografía infantil y otros delitos que puedan
ser de esa índole jurídica?.
Así, esta entidad recopila el dato de la I.P. no sólo para la gestión de los datos de los
usuarios para la entrega de publicidad digital (finalidad propia), sino también con la finalidad
de suministrar la I.P. a las fuerzas y cuerpos de seguridad del Estado (finalidad
de un tercero). Estas finalidades son claramente distintas entre sí.
Amén de que no pueden tratar datos personales para finalidades que no son propias
sino ajenas, amén de que no está dicha finalidad recogida ni en el registro de actividades
de tratamiento, ni en la política de privacidad (recordemos que diferían además las
finalidades previstas en estos instrumentos entre sí) y que ni tan siquiera es conocida
por el interesado, resulta que realiza tratamientos de datos personales porque pueden
ser útiles en un futuro al responsable del tratamiento, todo lo cual supone una vulneración
del principio de limitación de la finalidad.
Por otro lado, en la política de privacidad, al hacer referencia a los destinatarios
de los datos personales se indica que estos serán cedidos para ?Asesoramiento fiscal
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
74/122
y contable. (en caso de compra a través de la web)? (el subrayado es nuestro). A ello
tenemos que sumar el hecho de que al menos en una de las páginas web, www.cumlouder.com, de manera expresa se solicitan datos de la tarjeta de crédito, a los efectos
de realizar determinados pagos.
Esto pone de manifiesto que el responsable del tratamiento realiza un tratamiento de
datos para una finalidad distinta de las recogidas en el registro de actividades del tratamiento
remitido mediante escrito de 04/07/2022 y en la política de privacidad. Finalidad
consistente en el tratamiento de los datos de los usuarios para realizar compras, esto
es, mantener una relación contractual con el usuario, con una base jurídica que no es
el consentimiento; finalidad que no está prevista expresamente en ni en el registro de
actividades del tratamiento ni en la política de privacidad, ni se informa explícitamente
al interesado.
En conclusión, todo lo explicitado supone una vulneración del principio de limitación
de la finalidad, da lugar a la aplicación de los poderes correctivos que el artículo
58 del citado Reglamento otorga a la AEPD.
VI.- Infracción.
El tratamiento de datos personales conforme a una finalidad ajena, no explicitada a los
interesados y dispuesta con la intencionalidad de utilizar los datos en tanto en cuanto
le puedan ser requeridos en un futuro, incumple lo establecido en el artículo 5.1.b) del
RGPD, con el alcance expresado en los Fundamentos de Derecho anteriores, lo que
supone la comisión de una infracción tipificada en el artículo 83.5.a) del RGPD, que
bajo la rúbrica ?Condiciones generales para la imposición de multas administrativas?
dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las
infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: a) El tratamiento de
datos personales vulnerando los principios y garantías establecidos en el
artículo 5 del Reglamento (UE) 2016/679?.
VII.- Conservación de los datos personales.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
75/122
El artículo 5.1.e) del RGPD establece que:
?Los datos personales serán: e)mantenidos de forma que se permita la identificación
de los interesados durante no más tiempo del necesario para los fines
del tratamiento de los datos personales; los datos personales podrán conservarse
durante períodos más largos siempre que se traten exclusivamente con
fines de archivo en interés público, fines de investigación científica o histórica o
fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio
de la aplicación de las medidas técnicas y organizativas apropiadas que impone
el presente Reglamento a fin de proteger los derechos y libertades del interesado
(«limitación del plazo de conservación»)?.
El considerando 39 se refiere a que: ?Los datos personales deben ser adecuados, pertinentes
y limitados a lo necesario para los fines para los que sean tratados. Ello requiere
, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación?, lo que implica que, en todo caso, los datos personales han de ser suprimidos
cuando se hayan cumplido dichos fines.
Añade el considerando 39 que: ?Para garantizar que los datos personales no se conservan
más tiempo del necesario, el responsable del tratamiento ha de establecer plazos
para su supresión o revisión periódica?.
De todo ello se infiere que está prohibido el mantenimiento con carácter indefinido de
los datos personales de un interesado.
Sin embargo, la entidad asevera en su escrito de 04/07/22 contestando al requerimiento
de prueba efectuado por la AEPD, y en relación con los datos obtenidos de los
usuarios registrados, (www.serviporno.com/, y www.porn300.com/es/), que: ? (?) Indefinido
, en tanto en cuanto no se solicite la determinación del tiempo que desea ser
miembro de las páginas web. Pueden solicitar la anulación del consentimiento cuando
se desee simplemente comunicándolo?.
Igualmente, en la política de privacidad de las cinco páginas web se dispone que ?El
TIEMPO DE TRATAMIENTO: Esta indefinido dado que es Vd. quien determina el
tiempo que desea ser miembro?.
Hemos de significar que, aunque la base legitimadora del tratamiento sea el consentimiento
, esta no abarca el mantenimiento con carácter indefinido de los datos recopilados
por el responsable del usuario. La información suministrada por el responsable del
tratamiento trasmite al interesado que el tiempo de tratamiento ?está indefinido? cuando
en realidad, siempre se encuentra definido por el propio tratamiento.
A mayor abundamiento, nada se indica a esta AEPD en el escrito de
04/06/2022, ni por ende al interesado, sobre el plazo de conservación de los datos personales
en relación con las finalidades propias de uso de la IP para suministrarla a las
fuerzas y cuerpos de seguridad del Estado y de realización de compras.
En conclusión, la actuación de la entidad manteniendo con carácter indefinido los datos
recopilados de los usuarios registrados en las páginas webs (www.serviporno.-
com/, y www.porn300.com/es/ supone una vulneración del RGPD, lo que da lugar a la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
76/122
aplicación de los poderes correctivos que el artículo 58 del citado Reglamento otorga a
la Agencia Española de Protección de datos.
VIII.- Infracción
El mantenimiento con carácter indefinido de los datos personales incumple lo
establecido en el artículo 5.1.e) del RGPD, con el alcance expresado en los
Fundamentos de Derecho anteriores, lo que supone la comisión de una infracción
tipificada en el artículo 83.5.a) del RGPD, que bajo la rúbrica ?Condiciones generales
para la imposición de multas administrativas? dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?.
A este respecto, la LOPDGDD, en su artículo 72.1.a) considera como infracción ?muy
grave? a efectos de prescripción ?1. En función de lo que establece el artículo 83.5 del
Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes: a) El tratamiento de datos
personales vulnerando los principios y garantías establecidos en el artículo 5 del
Reglamento (UE) 2016/679?.
IX.- Sobre la obtención de datos personales y la falta de consentimiento del usuario.
El artículo 6 del RGPD, establece, sobre la licitud del tratamiento de datos
personales obtenidos de los usuarios que, el tratamiento de éstos solo será lícito si se
cumple al menos una de las condiciones indicadas en su apartado primero, entre las
que se encuentra, en su apartado a): ?que el interesado haya dado su consentimiento
para el tratamiento de sus datos personales para uno o varios fines específicos (?)?.
Por su parte, el artículo 12.1 del citado RGPD establece, sobre los requisitos que debe
cumplir la información que el responsable del tratamiento debe poner a disposición de
los interesados al solicitarles el consentimiento, lo siguiente:
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar
al interesado toda información indicada en los artículos 13 y 14, así como
cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al
tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño. La información será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios (?)?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
77/122
Los artículos 13 y 14 del RGPD detallan por su parte, la información que debe facilitarse
al interesado cuando los datos son recogidos directamente de éste (art. 13), o a través
de otros medios, (art. 14). En cualquier caso, la obligación de informar a las personas
interesadas sobre las circunstancias relativas al tratamiento de sus datos recae
sobre el responsable del tratamiento: a) Si los datos se obtienen directamente del interesado
, debe ponerse a su disposición la información en el momento en que se soliciten
los datos, previamente a la recogida o registro y b) si no se obtienen del propio interesado
, se le debe informar antes de un mes desde que se obtuvieron los datos personales
, o antes o en la primera comunicación con el interesado, o antes de que los
datos (en su caso) se hayan comunicado a otros destinatarios.
En cuanto al tratamiento de datos basado en el consentimiento del interesado, el artículo
7 del RGPD indica que, el responsable del tratamiento deberá ser capaz de demostrar
que el interesado consintió el tratamiento de sus datos personales. Si el consentimiento
se otorgara en el contexto de una declaración escrita que refiera también a
otros temas, se obliga a que la solicitud de consentimiento se distinga claramente de
los demás asuntos y se presente de forma inteligible, de fácil acceso y utilizando un
lenguaje claro y sencillo. Se exige, además, que se le proporcione información adicional
al interesado, entre otros, cuáles serán las categorías de datos a tratar, las finalidades
para las que se solicita el consentimiento y el derecho a retirar el consentimiento
en cualquier momento.
En cuanto al modo de obtener el consentimiento del interesado para el tratamiento en
cuestión, el considerando 32 del RGPD dispone que éste:
?debe darse mediante un acto afirmativo claro que refleje una manifestación de
voluntad libre, específica, informada e inequívoca del interesado de aceptar el
tratamiento de datos de carácter personal que le conciernen? y que ?el silencio,
las casillas ya marcadas o la inacción no deben constituir consentimiento?.
Asimismo, se exige que el consentimiento se otorgue ?para todas las
actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando
el tratamiento tenga varios fines, debe darse el consentimiento para todos
ellos?. Por último, establece que, ?si el consentimiento del interesado se ha de
dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara,
concisa y no perturbar innecesariamente el uso del servicio para el que se
presta?.
En el caso que nos ocupa, cuando el tratamiento de los datos personales se realiza a
través de un sitio web, la ?Política de Privacidad? de la página es el documento, a
través del cual, el titular de la web debe informar sus clientes y usuarios sobre la
gestión que realizará de los datos personales que se recopilarán al navegar en el sitio.
Por tanto, antes de que el usuario facilite sus datos personales y dé su consentimiento
al tratamiento de estos, se le debe facilitar un acceso simple y directo a la ?Política de
Privacidad? de la web.
Respecto a la forma de obtener el consentimiento del interesado, la solicitud debe ser
realizada a través de un acto afirmativo claro y voluntario, facilitando una casilla en
blanco, o un mecanismo similar, donde el usuario deba marcar o cliquear de forma explícita
la aceptación de la ?Política de Privacidad?, mediante fórmulas como: ? _ He leí-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
78/122
do y acepto las condiciones de la política de privacidad? o equivalentes.
En el presente caso, en las comprobaciones que se realizaron en las páginas web
indicadas el 09/09/21, respecto al tratamiento de los datos personales, se detectó que,
en primer término, las políticas de privacidad de todas las páginas web se encontraban
redactadas en un idioma no oficial en España, es inglés y por tanto no estaba
redactado en un lenguaje claro e inteligible para todos los destinatarios.
Aparte de lo anterior, en las webs: https://www.serviporno.com/ y
https://www.porn300.com/es/ se pudo comprobar como la casilla para decretar el
consentimiento del usuario del formulario de registro se encontraba premarcado en la
opción de ?acepto?.
Por su parte, en relación con las diligencias efectuadas en el trámite de prueba, en las
webs https://www.soloporno.xxx/, y https://www.diverporno.com/ a través de las
pestañas ?Contacto?, ?Webmasters?, se despliega el correo electrónico del usuario
para poder enviar un mensaje a la dirección de correo: san@techpump.com, sin la
previa información sobre el tratamiento de los datos personales que pueden ser
obtenidos a través de este medio.
Y en las páginas web https://www.soloporno.xxx/ , https://www.diverporno.com/ https://
www.serviporno.com/ y https://www.porn300.com/es/ a través de la pestaña
?Anúnciate Aquí?, se despliega un formulario, donde se puede introducir datos
personales del usuario como, el nombre y el correo electrónico, pero no existe ningún
acceso simple y directo a la ?Política de Privacidad? de la web ni ningún mecanismo
que obtenga el consentimiento del interesado.
Conforme a todo lo expresado, se produce una vulneración del artículo 6 del RGPD,
que da lugar a que la AEPD despliegue sus poderes correctivos conforme al artículo
58.2 del RGPD.
X .- Infracción
El hecho de que el responsable de las páginas webs indicadas pudiera obtener datos
personales de los usuarios sin haber obtenido previamente su consentimiento para el
tratamiento de los mismos, mediante un acto afirmativo claro y voluntario, previamente
informado de forma inteligible, es constitutivo de una infracción al artículo 6.1 del
RGPD antes citado, lo que supone la comisión de una infracción tipificada en el
artículo 83.5.a) del RGPD, que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4 %
como máximo del volumen de negocio total anual global del ejercicio financiero
anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
79/122
A este respecto, la LOPDGDD, en su artículo 72.1.b) considera como infracción ?muy
grave? a efectos de prescripción ?1. En función de lo que establece el artículo 83.5 del
Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años
las infracciones que supongan una vulneración sustancial de los artículos
mencionados en aquel y, en particular, las siguientes:
?El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del
Reglamento?.
XI.- Falta de información al interesado sobre la revocación del consentimiento, sobre el
derecho a presentar una reclamación ante la autoridad de control y sobre la existencia
de otros fines.
El artículo 13 del RGPD establece cuál es la información que deberá facilitarse cuando
los datos personales se obtengan del interesado,
?1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de
su representante;
b) los datos de contacto del delegado de protección de datos, en su
caso;
c)los fines del tratamiento a que se destinan los datos personales y la
base jurídica del tratamiento;
d)cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los
intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales
, en su caso;
f) en su caso, la intención del responsable de transferir datos personales
a un tercer país u organización internacional y la existencia o ausencia
de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado
1, párrafo segundo, referencia a las garantías adecuadas o apropiadas
y a los medios para obtener una copia de estas o al hecho de que
se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento
de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando
no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el
acceso a los datos personales relativos al interesado, y su rectificación
o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento
, así como el derecho a la portabilidad de los datos;
c)cuando el tratamiento esté basado en el artículo 6, apartado 1, letra
a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar
el consentimiento en cualquier momento, sin que ello afecte a la licitud
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
80/122
del tratamiento basado en el consentimiento previo a su retirada;
d)el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual
, o un requisito necesario para suscribir un contrato, y si el interesado
está obligado a facilitar los datos personales y está informado de
las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de
perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en
tales casos, información significativa sobre la lógica aplicada, así como
la importancia y las consecuencias previstas de dicho tratamiento para
el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará
al interesado, con anterioridad a dicho tratamiento ulterior, información
sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado
2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en
la medida en que el interesado ya disponga de la información?.
Tal y como hemos expresado en fundamentos de derecho anteriores, de los hechos
probados se constata que al menos para la página web www.cumlouder.com se tratan
datos relativos a la tarjeta de crédito, constando en su política de privacidad expresamente
y respecto de los ?destinatarios de las transferencia de datos? que se producirá
a ?Otras empresas del mismo grupo No se cederán datos salvo que sea absolutamente
necesario para dar cumplimiento al servicio solicitado No se cederán datos salvo
mandato legal Asesoramiento fiscal y contable. (en caso de compra a través de la
web)?.
Está presente por tanto otra finalidad, consistente en el tratamiento de los datos de los
usuarios para realizar compras, esto es, mantener una relación contractual con el
usuario, con una base jurídica que no es el consentimiento.
También, la entidad TECHPUMP SOLUTIONS, S.L. y respecto de las páginas web
www.serviporno.com, www.cumlouder.com y www.porn300.com/es previene sólo y
por primera vez en su escrito de 04/07/2022 en el marco del trámite de prueba, una finalidad
específica y que considera propia, no comprendida en el registro de actividades
del tratamiento ni en la política de privacidad.
Esta finalidad consiste en recopilación del dato de la I.P. para suministrarlo a las fuerzas
y cuerpos de seguridad del Estado. Obviamente, esta base jurídica no parece que
pueda ser el consentimiento del interesado.
Pues bien, el artículo 13.1.c) del RGPD impone al responsable del tratamiento que facilite
a los interesados la información relativa a ?los fines del tratamiento a que se destinan
los datos personales y la base jurídica del tratamiento?.
Tal obligación comprende la información de todos y cada uno de los fines del tratamiento
y las bases jurídicas que sustentan el tratamiento, información que en el supuesto
examinado no ha sido suministrada a los interesados.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
81/122
Asimismo, el artículo 6 del RGPD dispone que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones: a) el interesado dio su consentimiento para el tratamiento de sus
datos personales para uno o varios fines específicos?.
En cuanto a las condiciones para el consentimiento, el artículo 7.3 del RGPD establece
que ?El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
La retirada del consentimiento no afectará a la licitud del tratamiento basada en el
consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será
informado de ello. Será tan fácil retirar el consentimiento como darlo?.
Así, el artículo 13.2.c) del RGPD obliga al responsable del tratamiento a suministrar información
sobre la revocación del consentimiento cuando sea la base jurídica legitimadora
del tratamiento: ?cuando el tratamiento esté basado en el artículo 6, apartado 1,
letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento
en cualquier momento, sin que ello afecte a la licitud del tratamiento basado
en el consentimiento previo a su retirada?.
De los hechos probados se constata que la entidad TECHPUMP SOLUTIONS, S.L. no
informa a los interesados de la posibilidad de revocar en cualquier momento el consentimiento
prestado por los usuarios respecto de los formularios en ninguna de sus
páginas web.
Mucho más grave resulta aún esta conducta, cuando en el escrito de 04/07/2022 referido
al trámite de prueba la mercantil asevera, respecto de las páginas web www.serviporno.com, www.cumlouder.com y www.porn300.com/es que ?Pueden solicitar la anulación
del consentimiento cuando se desee simplemente comunicándolo. Tal y como
se indica en el RAT?. Sin embargo, siendo conscientes del derecho del interesado de
revocar el consentimiento, tal información no consta en el RAT remitido ni se informa a
los interesados al respecto en la política de privacidad.
Por otro lado, el artículo 13.2.d) del RGPD también obliga al responsable del tratamiento
a suministrar información a los interesados sobre el derecho a presentar una
reclamación ante una autoridad de control, cuestión que no consta en ningún apartado
de la política de privacidad.
En conclusión, se constata una vulneración del artículo 13 del RGPD, al no suministrarse
a los interesados toda la información impuesta por el RGPD, en los términos anteriormente
expresados.
XII.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 13 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.b) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máxi-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
82/122
mo o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22?.
A este respecto, la LOPDGDD, en su artículo 74 considera como infracción ?leve? a
efectos de prescripción ?las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho
de información del afectado por no facilitar toda la información exigida por
los artículos 13 y 14 del Reglamento (UE) 2016/679?.
XIII.- Sobre el suministro de la información al interesado en inglés.
El artículo 12.1 del RGPD dispone que,
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar
al interesado toda información indicada en los artículos 13 y 14, así como cualquier
comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento
, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje
claro y sencillo, en particular cualquier información dirigida específicamente
a un niño. La información será facilitada por escrito o por otros medios,
inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado,
la información podrá facilitarse verbalmente siempre que se demuestre la identidad
del interesado por otros medios?.
Por su parte, el considerando 58 del RGPD establece que
?El principio de transparencia exige que toda información dirigida al público o al
interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice
un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información
podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida
al público, mediante un sitio web. Ello es especialmente pertinente en situaciones
en las que la proliferación de agentes y la complejidad tecnológica de la
práctica hagan que sea difícil para el interesado saber y comprender si se están
recogiendo, por quién y con qué finalidad, datos personales que le conciernen
, como es en el caso de la publicidad en línea. Dado que los niños merecen
una protección específica, cualquier información y comunicación cuyo tratamiento
les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil
de entender?.
Las Directrices del Grupo de Trabajo del Artículo 29 sobre la transparencia en virtud
del Reglamento (UE) 2016/679, adoptadas el 29 de noviembre de 2017 y revisadas
por última vez y adoptadas el 11 de abril de 2018, indican que,
?9. El requisito de que la información sea «inteligible» quiere decir que debe resultar
comprensible al integrante medio de la audiencia objetivo. La inteligibili-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
83/122
dad está estrechamente vinculada al requisito de utilizar un lenguaje claro y
sencillo. Un responsable del tratamiento que actúe con responsabilidad proactiva
conocerá a las personas sobre las que recopila información y puede utilizar
este conocimiento para determinar lo que dicha audiencia es susceptible de
comprender. Por ejemplo, un responsable del tratamiento que recopile datos
personales de profesionales en activo puede asumir que su audiencia tiene un
grado de comprensión mayor que un responsable del tratamiento que obtiene
datos personales de niños. Si los responsables del tratamiento no están seguros
sobre el grado de inteligibilidad y transparencia de la información y la eficacia
de las interfaces de usuario/avisos/políticas, etc., pueden ponerlos a prueba
, por ejemplo, mediante mecanismos como grupos de usuarios, pruebas de
legibilidad, interacciones y diálogos formales e informales con grupos de la industria
, grupos de defensa del consumidor y, en su caso, organismos de regulación
, entre otros.
10. Una consideración fundamental del principio de transparencia esbozado en
estas disposiciones es que el interesado debe poder determinar de antemano
el alcance y las consecuencias derivadas del tratamiento, y que no debe verse
sorprendido en un momento posterior por el uso que se ha dado a sus datos
personales (?)?.
Así, y a los efectos de que el interesado ostente y mantenga el poder de control sobre
sus datos personales, la información que se le suministre ha de efectuarse de forma
inteligible, clara y sencilla, de tal forma que esta sea comprensible al integrante medio
de la audiencia objetivo.
Dicho lo anterior, de los hechos probados se constata que la entidad proporcionó
la información de su política de privacidad en un idioma no oficial en España, en inglés
, argumentando, en el escrito de contestación a la incoación del expediente el
14/01/22, lo siguiente:
?(?) Es evidente que el poner los textos en inglés, se analizó a quien nos
dirigíamos, se estudiaron los pros y los contras en relación con la legislación, y
se tomó la decisión oportuna de hacerlo de este modo. Teniendo en cuenta
que el idioma más hablado en el mundo, y más en el mundo digital es el inglés,
en su momento y en el análisis que hicimos el equipo de protección de datos
de Techpump Solutions S.L., fue pensar en el principio de Transparencia,
recogido en el RGPD en su artículo 5, junto con la licitud y lealtad en el
tratamiento de los datos (?)?
En las diligencias efectuadas por esta Agencia el 24/06/22 sobre el contenido de las
?Políticas de Privacidad?, de las cinco páginas web indicadas, a través del enlace
>, se constata que las mismas posteriormente han sido redactadas en
idioma castellano y proporcionan información, entre otra, sobre: la propiedad del sitio
web; los datos de contacto del responsable; información sobre la protección de datos
de los archivos de datos de clientes; la finalidad prevista; la legitimidad en el
tratamiento de los datos; los posibles destinatarios de las transferencias de datos;
cómo ejercer sus derechos sobre los datos personales o por cuanto tiempo se
conservarán los datos en relación con algunos tratamientos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
84/122
Pues bien, hemos de significar, por un lado, que el castellano es el idioma oficial en el
Estado español, tal y como establece el artículo 3 de la Constitución Española.
Y, por otro, que las páginas web van dirigidas al mercado español, lo cual se pone de
manifiesto mediante el hecho indubitado de que toda la página web está en este
idioma y no en inglés.
Va de suyo, por tanto, que la información deba suministrarse en el idioma del país al
que se dirija la página web, sin que pueda alegarse de contrario que puede utilizarse el
inglés por ser ?el idioma más hablado en el mundo?, aseveración de la mercantil que
además no es cierta, puesto que el más hablado en el mundo es el chino mandarín y
después el español.
Por supuesto que la política de privacidad será comprendida para todo aquel que
pueda leer y entender el inglés, pero en ningún caso lo será para el integrante medio
de la audiencia objetivo, esto es, un español, tal y como establecen las Directrices
precitadas. La política de privacidad en inglés de estas páginas web no es inteligible
en el sentido del RGPD.
En conclusión, la actuación de la entidad al no suministrar la información precisa a los
interesados en idioma no oficial en España hasta que no tuvo conocimiento de la apertura
del presente procedimiento sancionador supone una vulneración del RGPD.
XIV.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 12.1 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.b) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22?.
A este respecto, la LOPDGDD, en su artículo 74 considera como infracción ?leve? a
efectos de prescripción ?las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho
de información del afectado por no facilitar toda la información exigida por
los artículos 13 y 14 del Reglamento (UE) 2016/679?.
XV.- Sobre el ejercicio de derechos y la presentación del DNI o pasaporte por el intere-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
85/122
sado.
Los derechos de las personas en materia de protección de datos personales
están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan
los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación
del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos
12 del RGPD y 12 de la LOPDGDD.
El artículo 12 ?Transparencia de la información, comunicación y modalidades de
ejercicio de derechos? del RGPD establece lo siguiente:
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar
al interesado toda información indicada en los artículos 13 y 14, así como
cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al
tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un
lenguaje claro y sencillo, en particular cualquier información dirigida
específicamente a un niño. La información será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios.
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus
derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el
artículo 11.2, el responsable no se negará a actuar a petición del interesado
con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que
pueda demostrar que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información relativa a
sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a
22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la
solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario,
teniendo en cuenta la complejidad y el número de solicitudes. El responsable
informará al interesado de cualquiera de dichas prórrogas en el plazo de un
mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Cuando el interesado presente la solicitud por medios electrónicos, la
información se facilitará por medios electrónicos cuando sea posible, a menos
que el interesado solicite que se facilite de otro modo.?
4.Si el responsable del tratamiento no da curso a la solicitud del interesado, le
informará sin dilación, y a más tardar transcurrido un mes de la recepción de la
solicitud, de las razones de su no actuación y de la posibilidad de presentar
una reclamación ante una autoridad de control y de ejercitar acciones
judiciales.
5.La información facilitada en virtud de los artículos 13 y 14 así como toda
comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22
y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente
infundadas o excesivas, especialmente debido a su carácter repetitivo, el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
86/122
responsable del tratamiento podrá: a) cobrar un canon razonable en función de
los costes administrativos afrontados para facilitar la información o la
comunicación o realizar la actuación solicitada, o b) negarse a actuar respecto
de la solicitud. El responsable del tratamiento soportará la carga de demostrar
el carácter manifiestamente infundado o excesivo de la solicitud.
6. Sin perjuicio de lo dispuesto en el art 11, cuando el responsable del
tratamiento tenga dudas razonables en relación con la identidad de la persona
física que cursa la solicitud a que se refieren los art. 15 a 21, podrá solicitar
que se facilite la información adicional necesaria para confirmar la identidad del
interesado.
7.La información que deberá facilitarse a los interesados en virtud de los
artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados
que permitan proporcionar de forma fácilmente visible, inteligible y claramente
legible una adecuada visión de conjunto del tratamiento previsto. Los iconos
que se presenten en formato electrónico serán legibles mecánicamente.
8.La Comisión estará facultada para adoptar actos delegados de conformidad
con el artículo 92 a fin de especificar la información que se ha de presentar a
través de iconos y los procedimientos para proporcionar iconos normalizados?.
Por su parte, el artículo 12 ?Disposiciones generales sobre ejercicio de los derechos?
de la LOPDGDD, en sus apartados 2 y 4, añade lo siguiente:
?2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios
a su disposición para ejercer los derechos que le corresponden. Los medios deberán
ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser
denegado por el solo motivo de optar el afectado por otro medio?.
?4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de
sus derechos formulado por el afectado recaerá sobre el responsable?.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del
RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento
debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos
, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3
del RGPD); viene obligado a responder las solicitudes formuladas a más tardar en un
mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado
; así como a expresar sus motivos en caso de que no atendiera la solicitud.
De lo anterior se desprende que la solicitud de ejercicio de derechos formulada por el
interesado debe ser respondida en todo caso, recayendo sobre el responsable la prueba
del cumplimiento de este deber.
Esta obligación de actuar no resulta exigible cuando el responsable del tratamiento
pueda demostrar que no está en condiciones de identificar al interesado (en los casos
a que se refiere el artículo 11.2 del RGPD). En supuestos distintos al previsto en este
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
87/122
artículo, en los que el responsable del tratamiento tenga dudas razonables en relación
con la identidad del solicitante, podrá requerir información adicional necesaria para
confirmar esa identidad.
A este respecto, el Considerando 64 del RGPD se expresa en los términos siguientes:
?El responsable del tratamiento debe utilizar todas las medidas razonables para
verificar la identidad de los interesados que soliciten acceso, en particular en el
contexto de los servicios en línea y los identificadores en línea. El responsable
no debe conservar datos personales con el único propósito de poder responder
a posibles solicitudes?.
Sobre la cuestión relativa a verificación de la identidad de los solicitantes de derechos,
las normas antes expuestas son claras al señalar que este proceso de verificación
debe limitarse a los supuestos concretos en los que el responsable tenga dudas ?razonables? en relación con la identidad de la persona física que cursa la solicitud.
El artículo 12.6 del RGPD se refiere a todas las solicitudes de derechos y admite la posibilidad
de requerir, en aquellos supuestos, ?información adicional? necesaria para
confirmar la identidad del interesado. Particularmente, en relación con las solicitudes
de acceso en el contexto de los servicios en línea, el Considerando 64 del mismo Reglamento
se refiere a la posibilidad de que el responsable utilice todas las ?medidas
razonables? para verificar la identidad de los interesados.
Las normas que regulan el ejercicio de derechos no establecen, por tanto, la necesidad
de aportar ningún documento identificativo concreto para que puedan ser atendidas
, ni siquiera exigen que esa verificación de la identidad se realice mediante documentación.
Se refieren a la posibilidad de recabar ?información adicional? y a la utilización
de ?medidas razonables?, correspondiendo al responsable determinar qué información
y qué medidas resultan razonables en cada caso, atendidas las circunstancias
concurrentes y acudiendo siempre a los medios menos invasivos para la intimidad de
las personas solicitantes. Todo ello, bajo la condición previa de que se trate de un supuesto
en el que existan ?dudas razonables? sobre la identidad del solicitante.
La entidad establece en su política de privacidad en relación con ?Cómo puedo ejercer
mis derechos ? que se hará ?Previa presentación de su documento nacional de identidad
o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus
derechos de acceso, rectificación, oposición, portabilidad y limitación del tratamiento?
(el subrayado es nuestro).
Pues bien, podemos comprobar que se establece con carácter general y conditio sine
qua non, la aportación del DNI o pasaporte del interesado como exigencia para atender
el derecho que se ejercite. El procedimiento de gestión de derechos diseñado por
la entidad misma, en su condición de responsable, exige la documentación antes mencionada
en todos los casos, sin analizar previamente si se planteaban o no esas dudas
razonables.
Tampoco el procedimiento diseñado por la entidad TECHPUMP SOLUTIONS, S.L.
contempla la posibilidad de verificar la identidad del solicitante mediante otra información
o medidas distintas a la aportación de aquellos documentos acreditativos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
88/122
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 12.2 del RGPD, por la
exigencia de aportar el DNI o el pasaporte en todo caso y con carácter previo al
ejercicio de los derechos conferidos en el RGPD, independientemente de si hay dudas
razonables sobre la identidad del interesado, que da lugar a la aplicación de los
poderes correctivos que el artículo 58 del citado Reglamento otorga a la AEPD.
XVI.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 12.2 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.5.b) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone
lo siguiente:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 4 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
b) los derechos de los interesados a tenor de los artículos 12 a 22?.
A este respecto, la LOPDGDD, en su artículo 72 considera como infracción ?muy grave? a efectos de prescripción ?las infracciones que supongan una vulneración sustancial
de los artículos mencionados en aquel y, en particular, las siguientes:
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio
de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE)
2016/679?.
XVII.- Sobre el contenido obligatorio del registro de las actividades del tratamiento.
El artículo 30 del RGPD dispone que:
?1. Cada responsable y, en su caso, su representante llevará un registro de las
actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro
deberá contener toda la información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable
, del representante del responsable, y del delegado de protección de
datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos
personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los
datos personales, incluidos los destinatarios en terceros países u organizaciones
internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una or-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
89/122
ganización internacional, incluida la identificación de dicho tercer país u organización
internacional y, en el caso de las transferencias indicadas en el artículo
49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes
categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas
de seguridad a que se refiere el artículo 32, apartado 1?.
Así, la llevanza y el mantenimiento del registro de actividades del tratamiento es una
obligación del responsable del tratamiento por mor de la responsabilidad proactiva, y
que sirve para demostrar el cumplimiento de las obligaciones del responsable en relación
con lo dispuesto en el RGPD. En este sentido, el considerando 82 del RGPD dispone
que ?para demostrar la conformidad con el presente Reglamento, el responsable
o el encargado del tratamiento debe mantener registros de las actividades de tratamiento
bajo su responsabilidad. Todos los responsables y encargados están obligados
a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos
registros, de modo que puedan servir para supervisar las operaciones de tratamiento?.
En primer lugar, y en cuanto al registro de actividades del tratamiento remitido a la
AEPD el 05/04/2021, englobando todas las páginas web, éste no indicaba quién era el
responsable del tratamiento en los términos del artículo 30.1.a) del RGPD, sino las unidades
administrativas con acceso al fichero ??1. Dirección de TechpumSolutions. 2.
Administración Económica de la entidad. 3. Departamento programación de la entidad.
3. Encargado de tratamiento?-.
Tampoco recogía las medidas de seguridad que, conforme al artículo 30.1.g) del
RGPD, deben describirse con carácter general en este instrumento.
Segundo, y en relación con el registro de las actividades del tratamiento remitido mediante
escrito de 04/07/2022, respecto de la obligatoriedad por parte del responsable
del tratamiento de describir en el registro de las actividades del tratamiento ?b) los fines
del tratamiento?, se constata conforme a los hechos probados que no contiene todos
los fines del tratamiento, al faltar las finalidades relativas a las compras en la página
web y a la de suministrar la I.P. a las fuerzas y cuerpos de seguridad del Estado.
También impone el precepto que se comprenda en el registro de las actividades del
tratamiento ?c) una descripción de las categorías de interesados y de las categorías de
datos personales?, hay que indicar que en el no se comprende tal previsión. Y que,
aunque nos indican en sus alegaciones algunos de los datos que se recopilan (que no
todos, como hemos visto anteriormente), estos no se encuentran ni tan siquiera citados
en el registro de las actividades del tratamiento.
Por otro lado, se denota la ausencia de determinación de la descripción general de las
medidas técnicas y organizativas de seguridad el artículo 32.1 del RGPD; si bien el
precepto indica que tales medidas se recogerán en el registro de las actividades del
tratamiento ?cuando sea posible?, el responsable del tratamiento no las integra en el
registro sin explicitarnos cuál es la imposibilidad.
Por último, mencionaremos que resulta harto curioso que el registro de actividades del
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
90/122
tratamiento remitido el 05/04/2021 no coincida en muchos aspectos con el registro de
actividades del tratamiento remitido el 04/06/2022, ni en las finalidades, ni en los datos
personales recopilados, ni en los destinatarios, ni en el plazo de conservación de los
datos.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 30.1 del RGPD, ya que el
registro de las actividades el tratamiento no comprende la totalidad de la información
requerida por la norma, que da lugar a la aplicación de los poderes correctivos que el
artículo 58 del citado Reglamento otorga a la Agencia Española de Protección de
datos.
XVIII.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 30.1 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía: a) las obligaciones del responsable y
del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 74 considera como infracción ?leve? a
efectos de prescripción ?las restantes infracciones de carácter meramente formal de
los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE)
2016/679 y, en particular, las siguientes:
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda
la información exigida por el artículo 30 del Reglamento (UE) 2016/679?.
XIX.- Sobre la solicitud del consentimiento de quien ostente la patria potestad o la tutela
de los menores de edad.
En el RGPD existen menciones específicas en relación con los menores en atención a
la especial protección que merecen los niños, tal y como previene el considerando 38
del RGPD: ?Los niños merecen una protección específica de sus datos personales, ya
que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos
concernientes al tratamiento de datos personales. Dicha protección específica
debe aplicarse en particular, a la utilización de datos personales de niños con fines de
mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención
de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente
a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser
necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente
a los niños?.
El artículo 8 del RGPD referido a las condiciones aplicables al consentimiento del niño
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
91/122
en relación con los servicios de la sociedad de la información:
?1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la oferta
directa a niños de servicios de la sociedad de la información, el tratamiento
de los datos personales de un niño se considerará lícito cuando tenga como
mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se
considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad
o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines
, siempre que esta no sea inferior a 13 años.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en
tales casos que el consentimiento fue dado o autorizado por el titular de la patria
potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual
de los Estados miembros, como las normas relativas a la validez, formación
o efectos de los contratos en relación con un niño?.
Completa el anterior la previsión del artículo 7 de la LOPDGDD que determina que:
?1. El tratamiento de los datos personales de un menor de edad únicamente
podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de
la patria potestad o tutela para la celebración del acto o negocio jurídico en
cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el
consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela
, con el alcance que determinen los titulares de la patria potestad o tutela?.
El artículo 8 del RGPD establece en qué supuestos resulta de aplicación. Examinemos
si en el supuesto ahora examinado nos encontramos ante esta situación.
Primero requiere que el tratamiento esté relacionado con servicios de la sociedad de la
información ofrecidos directamente a un niño.
En cuanto a lo que se entiende por servicio de la sociedad de la información, la Directiva
(UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de septiembre de 2015
por la que se establece un procedimiento de información en materia de reglamentaciones
técnicas y de reglas relativas a los servicios de la sociedad de la información, dispone
en su artículo 1.1.b) qué se entiende por servicio: ?«servicio»: todo servicio de la
sociedad de la información, es decir, todo servicio prestado normalmente a cambio de
una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario
de servicios. A efectos de la presente definición, se entenderá por: i) «a distancia
», un servicio prestado sin que las partes estén presentes simultáneamente, ii) «por
vía electrónica», un servicio enviado desde la fuente y recibido por el destinatario mediante
equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento
de datos y que se transmite, canaliza y recibe enteramente por hilos, radio,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
92/122
medios ópticos o cualquier otro medio electromagnético, iii) «a petición individual de
un destinatario de servicios», un servicio prestado mediante transmisión de datos a
petición individual?.
Examinadas las páginas webs, estas cumplen con las previsiones de ser un servicio
de la sociedad de la información.
Segundo, se requiere que los servicios sean ofrecidos directamente a un niño. Esto
supone que no será ofrecido directamente a un niño si el proveedor de estos servicios
pone de manifiesto a los usuarios que los ofrece sólo a personas mayores de edad (18
años).
Pues bien, si bien la entidad advierte en el banner de todas sus páginas web que el
sitio web es para mayores de edad, afirmando que no tratan datos de menores y que
existe la obligatoriedad de tener más de 18 años, lo cierto es que en la política de
privacidad de las páginas webs ahora examinada se recoge sin ambages que ?Esta
web es para mayores de edad y por lo tanto. Es para mayores de 18 años. Los
menores de 14 años no pueden dar sus datos personales en nuestros formularios de
recogida de datos, ya que es contrario al artículo 8 RGPD. En caso de que se requiera
el consentimiento del menor, éste deberá ser otorgado por, y por tanto recabar datos
de, la persona que ostenta la patria potestad y / o tutela del menor?.
De esta forma queda patente que el servicio se ofrece directamente a un niño en el
sentido del RGPD, por lo que resulta claramente de aplicación el artículo 8 de dicho
texto legal.
Basándose el tratamiento de datos personales consistente en el registro del usuario en
el consentimiento del interesado, cuando este sea menor de 14 años su consentimiento
sólo será lícito si consta el del titular de la patria potestad o tutela. Así lo determina
la normativa y avala la jurisprudencia (por todas Sentencia de la Audiencia Nacional de
2 de enero de 2013, RJCA 2013, 100).
Resulta que el sistema de registro establecido por la entidad en las páginas webs no
establece ninguna previsión respecto de la prestación del consentimiento por parte de
los titulares de la patria potestad o tutela.
Pero hay más, pues si se trata del consentimiento prestado por mayores de 14 años,
el responsable del tratamiento debe establecer medidas razonables que le permitan
verificar que el menor supera los 14 años ya que no requiere más que su propio consentimiento.
Tampoco existe en las páginas webs ningún instrumento que verifique
que el usuario que se pretende registrar es mayor de 14 años.
En consecuencia, de conformidad con las evidencias expuestas, los citados hechos
suponen una vulneración de lo dispuesto en el artículo 8 del RGPD, en relación con
las condiciones aplicables al consentimiento del niño en relación con los servicios de la
sociedad de la información pues no se requiere ni el consentimiento de los titulares de
la patria potestad o de la tutela sin son niños menores de 14 años ni se establecen
mecanismos para asegurar que se registra un niño mayor de 14 años, que da lugar a
la aplicación de los poderes correctivos que el artículo 58 del citado Reglamento
otorga a la Agencia Española de Protección de datos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
93/122
XX.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 8 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 73 considera como infracción ?grave? a
efectos de prescripción ?las infracciones que supongan una vulneración sustancial de
los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento
, cuando tenga capacidad para ello, o el del titular de su patria potestad
o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del
consentimiento prestado por un menor de edad o por el titular de su patria potestad
o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del
Reglamento (UE) 2016/679?.
XXI.- Privacidad desde el diseño
El artículo 25 del RGPD establece que ?Teniendo en cuenta el estado de la técnica, el
coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así
como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para
los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará
, tanto en el momento de determinar los medios de tratamiento como en el momento
del propio tratamiento, medidas técnicas y organizativas apropiadas, como la
seudonimización, concebidas para aplicar de forma efectiva los principios de protección
de datos, como la minimización de datos, e integrar las garantías necesarias en el
tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos
de los interesados?.
Se complementa con lo previsto en el considerando 78 del RGPD que nos indica que
?La protección de los derechos y libertades de las personas físicas con respecto al tratamiento
de datos personales exige la adopción de medidas técnicas y organizativas
apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento.
A fin de poder demostrar la conformidad con el presente Reglamento, el
responsable del tratamiento debe adoptar políticas internas y aplicar medidas que
cumplan en particular los principios de protección de datos desde el diseño y por de-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
94/122
fecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento
de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia
a las funciones y el tratamiento de datos personales, permitiendo a los interesados
supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar
elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones,
servicios y productos que están basados en el tratamiento de datos personales o que
tratan datos personales para cumplir su función, ha de alentarse a los productores de
los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección
de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones,
y que se aseguren, con la debida atención al estado de la técnica, de que los responsables
y los encargados del tratamiento están en condiciones de cumplir sus obligaciones
en materia de protección de datos. Los principios de la protección de datos
desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los
contratos públicos?.
El principio de privacidad desde el diseño es una muestra del paso de la reactividad a
la proactividad y al enfoque de riesgos que impone el RGPD. Reflejo claro de la responsabilidad
proactiva, impone que, desde los estadios más iniciales de planificación
de un tratamiento debe de ser considerado este principio: el responsable del tratamiento
desde el momento en que se diseña y planifica un eventual tratamiento de datos
personales deberá determinar todos los elementos que conforman el tratamiento,
llevado a cabo mediante un ejercicio de análisis y detección de los riesgos durante
todo el ciclo de tratamiento de los datos, con la finalidad primera y última de proteger
los datos personales y los derechos y libertades de los interesados y no sólo cuando
efectivamente se produce el tratamiento. Así se expresa en las Directrices 4/2019 del
CEPD relativas al artículo 25 Protección de datos desde el diseño y por defecto, adoptadas
el 20 de octubre de 2020.
En las citadas Directrices se indica al respecto que ?35. El «momento de determinar
los medios de tratamiento» hace referencia al período de tiempo en que el responsable
está decidiendo de qué forma llevará a cabo el tratamiento y cómo se producirá
este, así como los mecanismos que se utilizarán para llevar a cabo dicho tratamiento.
En el proceso de adopción de tales decisiones, el responsable del tratamiento debe
evaluar las medidas y garantías adecuadas para aplicar de forma efectiva los principios
y derechos de los interesados en el tratamiento, y tener en cuenta elementos
como los riesgos, el estado de la técnica y el coste de aplicación, así como la naturaleza
, el ámbito, el contexto y los fines. Esto incluye el momento de la adquisición y la implementación
del software y hardware y los servicios de tratamiento de datos.
36. Tomar en consideración la PDDD desde un principio es crucial para la correcta
aplicación de los principios y para la protección de los derechos de los interesados.
Además, desde el punto de vista de la rentabilidad, también interesa a los responsables
del tratamiento tomar la PDDD en consideración cuanto antes, ya que más tarde
podría resultar difícil y costoso introducir cambios en planes ya formulados y operaciones
de tratamiento ya diseñadas?.
Para ello debe recurrir al diseñar el tratamiento a los principios recogidos en el artículo
5 del RGPD, que servirán para aquilatar el efectivo cumplimiento del RGPD. Así, las
citadas Directrices 4/2019 del CEPD disponen que ?61. Para hacer efectiva la PDDD,
los responsables del tratamiento han de aplicar los principios de transparencia, licitud,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
95/122
lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo
de conservación, integridad y confidencialidad, y responsabilidad proactiva. Estos principios
están recogidos en el artículo 5 y el considerando 39 del RGPD?.
La Guía de Privacidad desde el Diseño de la AEPD dispone que ?La privacidad debe
formar parte integral e indisoluble de los sistemas, aplicaciones, productos y servicios,
así como de las prácticas de negocio y procesos de la organización. No es una capa
adicional o módulo que se añade a algo preexistente, sino que debe estar integrada
en el conjunto de requisitos no funcionales desde el mismo momento en el que se
concibe y diseña (?) La privacidad nace en el diseño, antes de que el sistema esté en
funcionamiento y debe garantizarse a lo largo de todo el ciclo de vida de los datos?.
Por ello, la privacidad desde el diseño, obligación del responsable del tratamiento que
nace antes de que el sistema esté en funcionamiento, no son parches que se van
asentando sobre un sistema construido de espaldas al RGPD.
Ligado a la edificación de una verdadera cultura de protección de datos en la organización
, implica también por mor de la responsabilidad proactiva la capacidad de documentar
todas las decisiones que se adopten con un enfoque ?privacy design thinking?,
demostrando el cumplimiento del RGPD también en este aspecto.
Pues bien, la totalidad de los hechos descritos y probados en esta propuesta de resolución
en relación a las cinco páginas web, a los que nos remitimos, sumados a las
alegaciones formuladas por la entidad a lo largo del procedimiento, ponen de manifiesto
la ausencia total de privacidad desde el diseño.
Parece, más bien, como si la entidad se hubiera puesto a tratar los datos personales
de los usuarios de sus páginas webs directamente, sin pararse a evaluar el ciclo de
tratamiento de los datos personales, qué datos personales se van a tratar, en qué consiste
exactamente la finalidad prevista respecto del tratamiento, unida a la valoración
de los plazos de conservación de los datos personales en todos los casos, las cesiones
de datos, los riesgos presentes, la adopción de medidas técnicas y organizativas
apropiadas para evitar su materialización, cómo y qué ha de suministrarse como información
, el procedimiento de gestión de ejercicio de derechos o la solicitud del consentimiento
y su acreditación, entre otras cuestiones. Y todo ello obviando los principios
recogidos en el artículo 5 del RGPD.
XXII.- Infracción
Los hechos acreditados incumplen lo establecido en el artículo 25 del RGPD, con el
alcance expresado en los Fundamentos de Derecho anteriores, lo que supone la
comisión de una infracción tipificada en el artículo 83.4.a) del RGPD, que bajo la
rúbrica ?Condiciones generales para la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo
o, tratándose de una empresa, de una cuantía equivalente al 2 % como
máximo del volumen de negocio total anual global del ejercicio financiero anterior
, optándose por la de mayor cuantía:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
96/122
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43?.
A este respecto, la LOPDGDD, en su artículo 73 considera como infracción ?grave? a
efectos de prescripción ?las infracciones que supongan una vulneración sustancial de
los artículos mencionados en aquel y, en particular, las siguientes:
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para aplicar de forma efectiva los principios de protección de
datos desde el diseño, así como la no integración de las garantías necesarias
en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento
(UE) 2016/679?.
XXIII.- Sobre la Advertencia de contenido para adultos y la ?Política del Protección del
Menor en Internet?.
El Dictamen 2/2009 del Grupo de Trabajo del Artículo 29 sobre la protección de los
datos personales de los niños (Directrices generales y especial referencia a las
escuelas) nos indica que: ?Un niño es un ser humano en el más amplio sentido de la
palabra. Por este motivo, debe disfrutar de todos los derechos de la persona, incluido
el derecho a la protección de los datos personales. Ahora bien, el niño se encuentra
en una situación particular que es preciso considerar desde dos perspectivas: estática
y dinámica. Desde el punto de vista estático, el niño es una persona que todavía no ha
alcanzado la madurez física y psicológica. Desde el punto de vista dinámico, se
encuentra en un proceso de desarrollo físico y mental que le convertirá en adulto. Los
derechos del niño y su ejercicio - incluido el derecho a la protección de datos - deben
expresarse teniendo presentes ambas perspectivas?.
Así, el Grupo de Trabajo del Artículo 29 pone de manifiesto no sólo la importancia del
niño por la dignidad inherente al mismo al ser ?un ser humano en el más amplio
sentido de la palabra?, sino que muestra la necesidad de protección de este, también
desde el Derecho Fundamental a la Protección de Datos de Carácter Personal, por la
situación de inferioridad y riesgo en la que se encuentra al no haber alcanzado plena
madurez y estar en proceso de desarrollo hacia la adultez.
El considerando 39 del RGPD resalta que ?Los niños merecen una protección
específica de sus datos personales, ya que pueden ser menos conscientes de los
riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos
personales. Dicha protección específica debe aplicarse en particular, a la utilización de
datos personales de niños con fines de mercadotecnia o elaboración de perfiles de
personalidad o de usuario, y a la obtención de datos personales relativos a niños
cuando se utilicen servicios ofrecidos directamente a un niño?.
En cuanto a los riesgos, el considerando 75 del RGPD ejemplifica algunos de los
presentes en nuestra sociedad, sin perjuicio de muchos otros que pueden al
materializarse, lesionar los derechos y libertades de las personas físicas. Llamaremos
la atención en que comprende entre las personas vulnerables a los niños, cuyo
tratamiento de datos personales constituye un riesgo en sí mismo.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
97/122
Así dispone que ?Los riesgos para los derechos y libertades de las personas físicas,
de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que
pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular
en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación,
usurpación de identidad o fraude, pérdidas financieras, daño para la reputación,
pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no
autorizada de la seudonimización o cualquier otro perjuicio económico o social
significativo; en los casos en los que se prive a los interesados de sus derechos y
libertades o se les impida ejercer el control sobre sus datos personales; en los casos
en los que los datos personales tratados revelen el origen étnico o racial, las opiniones
políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento
de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las
condenas e infracciones penales o medidas de seguridad conexas; en los casos en
los que se evalúen aspectos personales, en particular el análisis o la predicción de
aspectos referidos al rendimiento en el trabajo, situación económica, salud,
preferencias o intereses personales, fiabilidad o comportamiento, situación o
movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que
se traten datos personales de personas vulnerables, en particular niños; o en los
casos en los que el tratamiento implique una gran cantidad de datos personales y
afecte a un gran número de interesados?.
No sólo el tratamiento de datos personales de un niño como persona vulnerable es un
riesgo, sino que en el caso de los niños los riesgos que afectarían a cualquier colectivo
se amplifican por su situación de vulnerabilidad, por lo que los peligros per se son
mayores que si afectan a un mayor de edad. Ello implica que, desde el enfoque de
riesgo, pilar fundamental del RGPD, haya que habilitar las medidas técnicas y
organizativas de seguridad apropiadas para evitar la materialización de riesgo muy alto
causando una lesión en sus derechos y libertades, teniendo en consideración como
punto de partida que nos encontramos con el tratamiento de datos personales de
niños.
El considerando 76 lo abona al entender que ?La probabilidad y la gravedad del riesgo
para los derechos y libertades del interesado debe determinarse con referencia a la
naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe
ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si
las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto?.
Los riesgos a los que están afectos los niños y su evitación se fundamentan en el
interés superior del menor, consagrado en la Convención de Naciones Unidas sobre
los Derechos del Niño (artículo 3) y confirmado posteriormente por la Convención 192
del Consejo de Europea (artículo 6) y la Carta de los Derechos Fundamentales de la
UE (artículo 24, N.2).
En el Dictamen 2/2009 del Grupo de Trabajo del Artículo 29 sobre la protección de los
datos personales de los niños se prevé que ?La justificación de este principio es que
una persona que todavía no ha alcanzado la madurez física y psicológica necesita
más protección que otras personas. Su finalidad es mejorar las condiciones del niño y
reforzar el derecho de éste a desarrollar su personalidad?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
98/122
También en el Derecho español se contiene tal previsión. Así, podemos citar la Ley
Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación
parcial del Código Civil y de la Ley de Enjuiciamiento Civil o la Ley Orgánica 8/2021,
de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia.
El artículo 2 de la Ley Orgánica 1/1996 determina que ?Todo menor tiene derecho a
que su interés superior sea valorado y considerado como primordial en todas las
acciones y decisiones que le conciernan, tanto en el ámbito público como privado. En
la aplicación de la presente ley y demás normas que le afecten, así como en las
medidas concernientes a los menores que adopten las instituciones, públicas o
privadas, los Tribunales, o los órganos legislativos primará el interés superior de los
mismos sobre cualquier otro interés legítimo que pudiera concurrir?.
Idéntica protección se proyecta en protección de datos respecto de los menores.
Resulta significativo que el art. 76.2 de la LOPDGDD considere como criterio de
graduación de las sanciones la afectación de los derechos de los menores, lo que
pone de manifiesto que el legislador español, siguiendo la estela del ordenamiento
jurídico, refiere una importancia vital en su protección, en la relevancia y en la
sensibilidad de los menores.
En el supuesto que estamos examinando, la pornografía es considerada por nuestro
legislador como un riesgo específico respecto de los menores. El artículo 45 de la Ley
Orgánica 8/2021 afirma que es un riesgo ?el acceso y consumo de pornografía entre la
población menor de edad?. Especialmente en un mundo interconectado donde
los menores de edad bucean en internet desde edades cada vez más tempranas.
Así se comprende en el Dictamen 02/2013 del Grupo de Trabajo del Artículo 29 sobre
las aplicaciones de los dispositivos inteligentes, que en relación con los niños
establece lo que sigue: «(?) 3.10 Niños. Los niños son ávidos usuarios de
aplicaciones, ya sea en dispositivos propios o en dispositivos compartidos (con sus
padres, sus hermanos o en un centro educativo), y existe claramente un gran mercado
de aplicaciones diversas destinadas a ellos. Pero, al mismo tiempo, los niños apenas
comprenden o conocen, si es que lo hacen en absoluto, el alcance y la sensibilidad de
los datos a que las aplicaciones pueden acceder, o el alcance de los datos
compartidos con terceros para fines publicitarios?.
También citaremos el Acuerdo de la Comisión Nacional de los Mercados y la
Competencia de 16 de junio de 2022 en relación con la denuncia contra una
plataforma de intercambio de vídeos de pornografía por el presunto incumplimiento de
la obligación de establecer mecanismos de verificación de edad, en el que se
especifica la temprana edad de acceso a estas plataformas, en pleno proceso de
desarrollo de los menores de edad: ?Se debe tener en cuenta que en el caso español,
el acceso a la pornografía en internet resulta realmente preocupante toda vez que más
del 50% de los adolescentes españoles de entre 14 y 17 años suele ver regularmente
pornografía en internet, que la edad media de inicio en el consumo de pornografía son
los 14 años entre los adolescentes hombres y los 16 años en el caso de las mujeres y
que, sin embargo, al menos uno de cada cuatro varones se ha iniciado antes de los 13
y la edad más temprana de acceso se anticipa ya a los 8 años?.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
99/122
Siguiendo con el citado Acuerdo de la Comisión Nacional de los Mercados y la
Competencia, en el mismo se describen las características de la pornografía en
internet en relación con los riesgos a los que se ven sometidos los menores:
?Entre las principales características de la pornografía en internet figura que la
misma es fácilmente accesible, a cualquier hora y desde cualquier lugar. Las
nuevas tecnologías y la proliferación de dispositivos de uso personal han
permitido un grado de accesibilidad prácticamente inmediato a este tipo de
contenidos por parte de los menores.
Otra de las características es que la oferta de pornografía es asequible, toda
vez que se percibe como mayoritariamente gratuita, aunque es innegable la
conexión que la pornografía tiene con la publicidad se servicios o artículos
sexuales, de contenidos de pago (en directo, por encargo, por catálogo), de
contactos pagados, entre otros.
Relacionado con lo anterior, se pueden encontrar diversos niveles de
interacción del usuario final, desde la mínima interacción anónima
(visualización de vídeos) hasta una intensa interactividad de relación cara a
cara a partir del contacto a distancia, en un nuevo contexto de acceso a la
prostitución (contactos pagados), pasando por modalidades de diversa
implicación.
Otro importante aspecto para destacar es que parte de las prácticas sexuales
que exhibe la pornografía en internet muestra la relación sexual de forma
estereotipada siendo dominante la satisfacción del deseo sexual masculino y la
representación de las fantasías sexuales masculinas. Asimismo, incluyen
prácticas de alto riesgo como puede ser la práctica de sexo sin protección o
aquellas en las que media violencia física o verbal.
El acceso por parte de los menores a este tipo de pornografía en internet
preocupa especialmente por la forma en que el menor puede llegar a entender
las relaciones interpersonales y el sexo.
En efecto, la representación de unas relaciones sexuales estereotipadas, dan
pie a la cosificación sexual de la mujer, la exhibición de personajes con
atributos físicos predefinidos impacta negativamente en la autoestima de los
menores (las chicas se sienten físicamente inferiores y los chicos dudan de su
virilidad) y la normalización de ciertas prácticas extremas alteran la percepción
de los sobre su aceptabilidad.
Las características de la pornografía en internet antes descritas favorecen y
facilitan que haya un elevado interés por parte de los menores por acceder a
contenidos pornográficos. A su vez, las consecuencias de dicho acceso y
consumo masivo pueden incidir de manera importante en la formación del
carácter de los menores, cuya protección debe prevalecer?.
Como podemos comprobar, y resultando plenamente aplicable a la protección
procurada por el RGPD, cada una de las características definidas en este Acuerdo
suponen un riesgo claro en el desarrollo psicológico de los menores.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
100/122
Sin perjuicio de las obligaciones que el ordenamiento jurídico impone a los padres
respecto de los menores, en virtud de las previsiones del art. 154 del Código Civil en
cuanto a velar por ellos, educarlos y procurarles una formación integral, ello no hurta al
responsable del tratamiento el cumplimiento de las obligaciones impuestas por el
RGPD respecto de los menores y de los riesgos de estos implicados en el tratamiento
de datos personales que les concierna.
Mencionar, además, que las aplicaciones de control parental puestas a disposición en
las páginas web por la mercantil, como se ha podido constatar son obsoletas y la
mayoría de los enlaces conducen a páginas que no existen, e incluso en el caso de
uno de los enlaces, este conduce a una tienda de venta de paquetes de acceso a
sitios de contenido para adultos.
En este sentido las Directrices 4/2019 del CEPD disponen respecto del principio de
lealtad que ?Los responsables del tratamiento no deben transferir los riesgos de la
empresa a los interesados?.
Los riesgos a los que están afectos los menores, inherentes a su desarrollo, han de
ser considerados por los responsables del tratamiento, y no sólo por aquellos que
dirigen servicios directa y específicamente a los niños, sino por todos aquellos que
realizan tratamientos de datos personales dirigidos a otros colectivos en los que los
menores puedan interactuar o intervenir (en una sociedad cada vez más tecnológica) y
ver en riesgo su integridad física o psicológica y comprometidos su derechos y
libertades.
Cuando el servicio va dirigido de manera exclusiva a mayores de edad, cuando el
responsable del tratamiento auto limite su tratamiento a mayores de edad, respecto de
servicios que pueden comportar un riesgo para los menores, entonces, también sus
esfuerzos, derivados de sus obligaciones, deben ir dirigidos a garantizar que sólo se
traten datos de mayores de edad.
Este último es el supuesto en el que nos encontramos, en el que la entidad asevera
repetidamente en sus alegaciones que el contenido de las webs está dirigido
exclusivamente a adultos y que es obligatorio ser mayor de edad, a pesar de lo que
establecen en su política de privacidad respecto de los menores.
Al diseñar un tratamiento, el responsable del tratamiento determina, entre otras
cuestiones, cuáles son las categorías de interesados y las categorías de datos
personales concernidos en el tratamiento en relación con la finalidad perseguida por el
mismo.
La entidad decide que las categorías de interesados se limitan a los mayores de edad,
por lo que le corresponde implementar las medidas técnicas y organizativas
apropiadas para que el tratamiento se efectúe únicamente respecto de interesados
mayores de edad. Ello conlleva que también implemente las medidas técnicas y
organizativas apropiadas para que los datos de los menores de edad no sean tratados.
En el caso que nos ocupa, existe un riesgo cierto de que los menores accedan
directamente y sin limitaciones a un contenido tan perjudicial para ellos.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
101/122
Si observamos las limitaciones o cautelas previstas en las páginas webs, estas son
claramente insuficientes para limitar el acceso a los menores, tanto de forma directa a
las páginas webs (usuarios no registrados) como para registrarse en las páginas webs
(usuarios registrados).
Si bien hay presentes mecanismos para ?declarar? la edad, no existe ninguno para
comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría
una medida apropiada para evitar la materialización de los altos riesgos en los
derechos y libertades de los menores que, como hemos visto, están presentes. Amén
de que el tratamiento se ajuste a lo decidido por el responsable del tratamiento
(obligatoriedad de ser mayor de edad) y únicamente se traten datos de las categorías
de interesados ?mayores de edad?.
Además, el mecanismo para declarar la edad no funciona adecuadamente, pues salvo
en una de las páginas web, aun cliqueando en la opción >, si se cliquea en
cualquier otro sitio de la página, el banner de advertencia desaparece y se posibilita el
acceso al contenido de la web
Tal y como consta en los hechos probados al entrar en las webs por primera vez,
aparece un banner de advertencia donde se muestra la advertencia de que el sitio web
a que se intenta acceder contiene material pornográfico y solicita la confirmación de
ser mayor de edad.
No obstante, si se opta por abandonar el sitio, cliqueando en la opción >, las
webs devuelven al usuario al navegador que se esté utilizando, pero si se cliquea en
cualquier otro sitio de la página, el banner de advertencia desaparece y se posibilita el
acceso al contenido de la web.
A mayor abundamiento, la Ley 13/2022, de 7 de julio, General de Comunicación
Audiovisual, en cuyo artículo 89 y, en cuanto a lo que nos interesa a efectos
ilustrativos y vigente desde el 9 de julio de 2022, en relación con el servicio de
intercambio de vídeos, se establecen las medidas para la protección de los usuarios y
de los menores frente a determinados contenidos audiovisuales. Se establece que ?1.
Los prestadores del servicio de intercambio de vídeos a través de plataforma, para
proteger a los menores y al público en general de los contenidos audiovisuales
indicados en el artículo anterior, tomarán las siguientes medidas: e) Establecer y
operar sistemas de verificación de edad para los usuarios con respecto a los
contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores
que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más
nocivos, como la violencia gratuita o la pornografía? (el subrayado es nuestro).
Y es que la entidad presta un servicio de intercambio de vídeos a través de las
páginas webs, tal y como consta en los términos de uso o términos y condiciones de la
entidad, pues los usuarios registrados agregan y comparten vídeos con otros usuarios,
estando obligada a establecer y operar sistemas de verificación de edad como medida
para proteger a los menores. Y ello en los términos del Acuerdo de la Comisión
Nacional de los Mercados y la Competencia de 16/06/22.
Pues bien, llegados a este punto, el responsable del tratamiento, como parte de su
responsabilidad proactiva debe cumplir y demostrar el cumplimiento de las previsiones
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
102/122
del RGPD y de la LOPDGDD, entre las que se encuentran la legitimación para el
tratamiento de datos personales y la adopción de medidas de seguridad adecuadas
para evitar los riesgos en los derechos y libertades de las personas físicas.
El artículo 24 del RGPD establece que:
?teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento, así como los riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas, el responsable del tratamiento
aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento es conforme con el presente Reglamento.
Dichas medidas se revisarán y actualizarán cuando sea necesario?.
Ese precepto no limita la adopción de medidas de seguridad a los sujetos objeto del
tratamiento, sino que, centrándose en el riesgo derivado del tratamiento considerando
la naturaleza, ámbito, contexto y fines del tratamiento, impone la adopción de las
medidas técnicas y organizativas precisas para garantizar que el tratamiento es
conforme al RGPD.
En atención a todo lo antedicho, la entidad debe adecuar el tratamiento de sus datos
personales al RGPD, por lo que debe adoptar medidas de seguridad apropiadas
mediante las que se verifique la edad de los usuarios, registrados o no, que accedan a
las páginas webs de su propiedad, garantizando que son mayores de edad.
XXIV.- Medidas
El artículo 58.2 del RGPD establece los poderes correctivos de los que dispone una
autoridad de control. El apartado d) del precepto citado establece que puede consistir
en ?ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,
de una determinada manera y dentro de un plazo especificado?.
Asimismo, procede imponer la medida correctiva descrita en el artículo 58.2.d) del
RGPD y ordenar a TECHPUMP SOLUTIONS, S.L. que, en el plazo de un mes,
establezca las medidas de seguridad adecuadas para que se verifique la edad de los
usuarios, garantizando que sean mayores de edad, impidiendo que se produzcan
situaciones similares en el futuro.
En el texto de la resolución se establecen cuáles han sido los hechos que determinan
la necesidad de adecuación a la normativa de protección de datos, de lo que se infiere
con claridad cuáles son las medidas a adoptar, sin perjuicio de que el tipo de
procedimientos, mecanismos o instrumentos concretos para implementarlas
corresponda a la parte sancionada, pues es el responsable del tratamiento quien
conoce plenamente su organización y ha de decidir, en base a la responsabilidad
proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la LOPDGDD.
En todo caso, y a título meramente informativo, indicaremos que resultando obligatorio
implementar mecanismos de verificación de edad por la entidad respecto de lo previsto
en el artículo 89 de la Ley 13/2022, de 7 de julio, General de Comunicación
Audiovisual, tales medidas puede servir también a que el tratamiento efectuado sea
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
103/122
conforme al RGPD, lo que, en todo caso, tendrá que ser valorado por el responsable
del tratamiento.
XXV.- Poderes correctivos de la AEPD
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los poderes
correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados
a continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando
las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento
;?
(...)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento
se ajusten a las disposiciones del presente Reglamento, cuando proceda, de
una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de cada
caso particular;?.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en la letra d) anterior
es compatible con la sanción consistente en multa administrativa.
XXVI.- Sanciones
A fin de determinar la multa administrativa a imponer se han de observar las previsiones
de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición
de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente
en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y perjuicios
que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
104/122
d) el grado de responsabilidad del responsable o del encargado del tratamiento
, habida cuenta de las medidas técnicas u organizativas que hayan aplicado
en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento
;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación
con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción?.
Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD dispone
:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario
, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos
en los que existan controversias entre aquellos y cualquier interesado?.
En este caso, considerando la gravedad de las infracciones constatadas, procede la
imposición de multa y, en su caso, la adopción de medidas.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de las sanciones
a imponer en el presente caso, se considera que procede graduar las multas de
acuerdo con los siguientes criterios:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
105/122
1.- Con respecto a la infracción del artículo 5.1.a) del RGPD tipificada en el artículo
83.5.a) del RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios
que establece el art 83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a): La falta de lealtad y de transparencia
afecta a todos los tratamientos realizados respecto de los usuarios de las
páginas webs, estén o no registrados. Constriñe y limita la capacidad de
decisión de los usuarios, que están así perdiendo el control sobre sus datos
personales.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
persona. La tipología de vídeos que se agregan y se comparten, los que se
visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se
vierten al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en la web se ven implicados los datos personales de los usuarios de esta.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
106/122
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.a) del RGPD, es de 75.000 euros (senta y cinco mil euros).
2.- Respecto de la infracción del artículo 5.1.b) del RGPD tipificada en el artículo
83.5.a) del RGPD, y calificada como muy grave a efecto de prescripción en el artículo
72.1.a) se estima concurrentes como agravantes los criterios que establece el artículo
83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
La falta de identificación de todos los fines del tratamiento, que se infieren de
las manifestaciones de la entidad, pero que no se recogen explícitamente ni en
el registro de actividades del tratamiento ni en la política de privacidad, ni se
exponen al interesado en toda su amplitud, constriñe y limita la capacidad de
decisión de los usuarios, que están así perdiendo el control sobre sus datos
personales, así como la posibilidad de ejercer efectivamente los derechos que
les confiere el RGPD.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
107/122
persona. La tipología de compras que se realizan, incluyendo la suscripción a
determinados vídeos sexuales, muestran hábitos y preferencias sexuales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en las webs se ven implicados los datos personales de los usuarios de
esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.b) del RGPD, es de 75.000 euros (setenta y cinco mil euros).
3.- Con respecto a la infracción del artículo 5.1.e) del RGPD tipificada en el artículo
83.5.a) del RGPD, calificada como muy grave a los efectos de la prescripción en el artículo
72.1.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios
que establece el art 83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
La conservación con carácter indefinido de todos los datos personales de los
usuarios registrados determina una falta absoluta de seguridad jurídica y la
pérdida el control sobre sus datos personales.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
108/122
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
persona. La tipología de vídeos que se agregan y se comparten, los que se
visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se
vierten al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en las webs se ven implicados los datos personales de los usuarios de
esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 5.1.e) del RGPD, es de 75.000 euros (setenta y cinco mil euros).
4.- Respecto a la infracción del artículo 6.1 RGPD tipificada en el artículo 83.5.a) del
RGPD, y calificada como muy grave a los efectos de la prescripción en el artículo
72.1.b) se estima concurrentes como agravantes los criterios que establece el artículo
83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
El tratamiento de datos personales sin consentimiento del interesado, cuando
esta es la base jurídica del tratamiento, supone la pérdida total del control
sobre sus datos personales, deslegitimando el tratamiento propiamente dicho.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
109/122
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
persona. La tipología de vídeos que se agregan y se comparten, los que se
visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se
vierten al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en las webs se ven implicados los datos personales de los usuarios de
esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 6.1) del RGPD, es de 125.000 euros (ciento veinte cinco mil euros
).
5. Con respecto a la infracción del artículo 13 del RGPD, tipificada en el artículo
83.5.b) del RGPD, y calificada como muy grave a los efectos de la prescripción en el
artículo 72.1.h) se estima concurrentes como agravantes los criterios que establece el
artículo 83.2 RGPD:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
Los interesados que carecen de información no pueden suministrar un
consentimiento válido en los términos del RGPD, cuando esta sea la base
jurídica legitimadora del mismo. De igual forma, respecto de otras finalidades
cuya base legitimadora no sea el consentimiento, la falta de información
cercena la decisión sobre si asumir el tratamiento o no.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
110/122
Las deficiencias detectadas, incluyendo la falta de información sobre la
revocación y la posibilidad de acudir ante la autoridad de control, cercenan el
poder de disposición sobre los datos personales por el interesado.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados de las cinco páginas web, de acuerdo con
las Directrices 4/2020 del CEPD sobre el cálculo de las multas administrativas
con arreglo al RGPD, en su versión de 12 de mayo de 2022, sometidas a
consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
Destacaremos la especial negligencia por la falta de información respecto de la
revocación del consentimiento, puesto que siendo la entidad conocedora de
que puede dejarse sin efecto en cualquier momento, no informa al respecto al
interesado.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
persona. La tipología de vídeos que se agregan y se comparten, los que se
visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se
vierten al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se desarrolla
en las webs se ven implicados los datos personales de los usuarios de
esta.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
111/122
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 13 del RGPD, es de 15.000 euros (quince mil euros).
6.- Con respecto a la infracción del artículo 12.1 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como leve a los efectos de la prescripción en el artículo
74.a) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que
establece el art 83.2 RGPD:
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados datos personales de los usuarios de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 12.1 del RGPD, es de 25.000 euros (veinticinco mil euros).
7.- Con respecto a la infracción del artículo 12.2 del RGPD, tipificada en el artículo
83.5.b) del RGPD y calificada como muy grave a los efectos de la prescripción en el
artículo 72.1.k) de la LOPDGDD, se estiman concurrentes como agravantes los
criterios que establece el art 83.2 RGPD:
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
112/122
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados datos personales de los usuarios de esta.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 12.2 del RGPD, es de 25.000 euros (veinticinco mil euros).
8.- Con respecto a la infracción del artículo 30.1 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como leve a los efectos de la prescripción en el artículo
74.l) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que establece
el art. 83.2:
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
113/122
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados datos personales de los usuarios de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los tratamientos
efectuados afectan a menores de edad en los términos recogidos en la
política de privacidad.
Considerando los factores expuestos, el balance de las circunstancias contempladas
anteriormente permite valorar la multa, por la infracción del artículo citado en 5.000 euros
(cinco mil euros).
9.- Con respecto a la infracción del artículo 8 del RGPD tipificada en el artículo 83.4.a)
del RGPD y calificada como grave a los efectos de la prescripción en el artículo 74.a) y
b) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que establece
el art 83.2:
- El alcance o propósito de la operación de tratamiento de datos, así como los interesados
afectados, (apartado a): Tratándose del registro como usuario en
una página web que ofrece pornografía, y en la que se comparten datos identificativos
, la edad, la localización y en la se compartir vídeos de contenido sexual
, entre otras cuestiones, el consentimiento que han de prestar los padres o
tutores de menores de 14 años para que estos se registren resulta fundamental.
Es de una gravedad inusitada que no se establezcan mecanismos para solicitar
el consentimiento y para acreditar su obtención, atendiendo especialmente
a la especial vulnerabilidad de los menores de edad y a la situación de exposición
que provoca su registro como usuarios.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad, (apartado
b), partiendo de que se trata de una entidad cuya actividad lleva aparejado
un continuo tratamiento de datos personales de los usuarios de las páginas
webs. Se considera de especial importancia recordar en este punto, la SAN de
17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el Tribunal Supremo
viene entendiendo que existe imprudencia siempre que se desatiende
un deber legal de cuidado, es decir, cuando el infractor no se comporta con la
diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse
especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el
caso ahora examinado, cuando la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal ha de insistirse en el rigor y el
exquisito cuidado por ajustarse a las prevenciones legales al respecto". Por
tanto, si nos atenemos a la jurisprudencia del TS, podríamos considerar incluso
este apartado como agravante cualificado, al constatarse la falta de diligencia
debía en este caso, con respecto a la gestión de los datos personales.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
114/122
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados menores de
edad, afecta a datos personales relativos a la vida sexual u orientación sexual
de una persona. La tipología de vídeos que se agregan y se comparten, los
que se visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se vierten
al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que la actividad que desarrolla se
ven implicados los datos personales de los usuarios de las páginas webs.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
infracción del artículo 8 del RGPD, es de 30.000 euros (treinta mil euros).
10.- Con respecto a la infracción del artículo 25 del RGPD, tipificada en el artículo
83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en el artículo
73.d) de la LOPDGDD, se estiman concurrentes como agravantes los criterios que
establece el art 83.2:
- El alcance o propósito de la operación de tratamiento de datos, así como los
interesados afectados, (apartado a):
El tratamiento de los datos personales empieza desde el diseño del
tratamiento. La falta de diseño por parte del responsable del tratamiento afecta
de una manera inmediata y directa a todos los derechos de los interesados
reconocidos en el RGPD, como sucede en el presente caso; y ello porque en
vez de responder el tratamiento a una lógica interna y a unos parámetros
prestablecidos con carácter previo siguiendo el RGPD, estudiados y
examinados en base a la responsabilidad proactiva y al enfoque de riesgos,
resulta que ninguna de las actuaciones de la entidad encajan entre sí, de tal
forma que producen confusión y disensión entre los usuarios.
En relación con el número de interesados afectados se tiene en consideración
todos los potencialmente afectados, de acuerdo con las Directrices 4/2020 del
CEPD sobre el cálculo de las multas administrativas con arreglo al RGPD, en
su versión de 12 de mayo de 2022, sometidas a consulta pública.
- La intencionalidad o negligencia de la infracción, por parte de la entidad,
(apartado b), partiendo de que se trata de una entidad cuya actividad lleva
aparejado un continuo tratamiento de datos personales de los usuarios de las
páginas webs. Se considera de especial importancia recordar en este punto, la
SAN de 17 de octubre de 2007 (rec. 63/2006), donde se indica que: ??el
Tribunal Supremo viene entendiendo que existe imprudencia siempre que se
desatiende un deber legal de cuidado, es decir, cuando el infractor no se
comporta con la diligencia exigible. Y en la valoración del grado de diligencia
ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
115/122
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de
insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones
legales al respecto". Por tanto, si nos atenemos a la jurisprudencia del TS,
podríamos considerar incluso este apartado como agravante cualificado, al
constatarse la falta de diligencia debía en este caso, con respecto a la gestión
de los datos personales.
- Las categorías de los datos de carácter personal afectados por la infracción
(apartado g), puesto que, al menos entre los usuarios registrados, afecta a
datos personales relativos a la vida sexual u orientación sexual de una
persona. La tipología de vídeos que se agregan y se comparten, los que se
visualizan de otros usuarios (con la posibilidad de ?darle un me gusta?) y
añadirlos a los mostrados en el perfil del usuario, los comentarios que se
vierten al respecto ponen de manifiesto estos datos personales.
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando que en la actividad que se
desarrolla en las webs se ven implicados los datos personales de los usuarios
de esta.
- La afectación a los derechos de los menores, (apartado f), puesto que los
tratamientos efectuados e indebidamente proyectados y diseñados afectan a
menores de edad en los términos recogidos en la política de privacidad.
Considerando los factores expuestos, la valoración que alcanza la multa, por la
Infracción del artículo 25 del RGPD, es de 50.000 euros (cincuenta mil euros).
XXVII.- Sobre la ?Política de Cookies? de la web:
a).- Sobre la instalación de cookies en el equipo terminal previo al consentimiento:
El artículo 22.2 de la LSSI establece que se debe facilitar a los usuarios información
clara y completa sobre la utilización de los dispositivos de almacenamiento y
recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.
Esta información debe facilitarse con arreglo a lo dispuesto el RGPD. Por tanto,
cuando la utilización de una cookie conlleve un tratamiento que posibilite la
identificación del usuario, los responsables del tratamiento deberán asegurarse del
cumplimiento de las exigencias establecidas por la normativa sobre protección de
datos.
No obstante, es necesario señalar que quedan exceptuadas del cumplimiento de las
obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias
para la intercomunicación de los terminales y la red y aquellas que prestan un servicio
expresamente solicitado por el usuario.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
116/122
En este sentido, el GT29, en su Dictamen 4/201210, interpretó que entre las cookies
exceptuadas estarían las Cookies de entrada del usuario? (aquellas utilizadas para
rellenar formularios, o como gestión de una cesta de la compra); cookies de
autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario
(aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio
web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar
la carga; cookies de personalización de la interfaz de usuario y algunas de
complemento (plug-in) para intercambiar contenidos sociales. Estas cookies quedarían
excluidas del ámbito de aplicación del artículo 22.2 de la LSSI, y, por lo tanto, no sería
necesario informar ni obtener el consentimiento sobre su uso.
Por el contrario, será necesario informar y obtener el consentimiento previo del usuario
antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de
tercera parte, de sesión o persistentes.
En la comprobación realizada en las páginas webs en cuestión ( www.cumlouder.com;
https://www.serviporno.com/, https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, se pudo constatar que, al entrar en sus páginas
principales y sin realizar ningún tipo de acción sobre las mismas, se utilizan cookies de
terceros no necesarias, sin el previo consentimiento del usuario.
b).- Sobre el banner de información de cookies existente en la primera capa (página
principal):
El banner sobre cookies de la primera capa deberá incluir información referente a la
identificación del editor responsable del sitio web, en el caso de que sus datos identificativos
no figuren en otras secciones de la página o que su identidad no pueda desprenderse
de forma evidente del propio sitio. Deberá incluir también una Identificación
genérica de las finalidades de las cookies que se utilizarán y si éstas son propias o
también de terceros, sin que sea necesario identificarlos en esta primera capa. Además
, deberá incluir información genérica sobre el tipo de datos que se van a recopilar
y utilizar en caso de que se elaboren perfiles de los usuarios y deberá incluir información
y el modo en que el usuario puede aceptar, configurar y rechazar la utilización de
cookies, con la advertencia, en su caso, de que, si se realiza una determinada acción,
se entenderá que el usuario acepta el uso de las cookies.
A parte de la información genérica sobre cookies, en este banner deberá existir un enlace
claramente visible dirigido a una segunda capa informativa sobre el uso de las
cookies. Este mismo enlace podrá utilizarse para conducir al usuario al panel de configuración
de cookies, siempre que el acceso al panel de configuración sea directo, esto
es, que el usuario no tenga que navegar dentro de la segunda capa para localizarlo.
En el caso que nos ocupa, se ha podido constatar que no existe ningún tipo de banner
que informe de forma genérica sobre cookies que utiliza las páginas webs, sin son
propias y/o de terceros y su misión.
c).- Sobre el consentimiento a la utilización de cookies no necesarias:
Para la utilización de las cookies no exceptuadas, será necesario obtener el consentimiento
del usuario de forma expresa. Este consentimiento se puede obtener haciendo
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
117/122
clic en, ?aceptar? o infiriéndolo de una inequívoca acción realizada por el usuario que
denote que el consentimiento se ha producido inequívocamente. Por tanto, la mera
inactividad del usuario, hacer scroll o navegar por el sitio web, no se considerará a estos
efectos, una clara acción afirmativa en ninguna circunstancia y no implicará la
prestación del consentimiento por sí misma. Del mismo modo, el acceso a la segunda
capa si la información se presenta por capas, así como la navegación necesaria para
que el usuario gestione sus preferencias en relación con las cookies en el panel de
control, tampoco es considerada una conducta activa de la que pueda derivarse la
aceptación de cookies.
No está permitido tampoco la existencia de ?Muros de Cookies?, esto es, ventanas
emergentes que bloquean el contenido y el acceso a la web, obligando al usuario a
aceptar el uso de las cookies para poder acceder a la página y seguir navegando sin
ofrecer al usuario ningún tipo de alternativa que le permita gestionar libremente sus
preferencias sobre la utilización de las cookies.
Si la opción es dirigirse a una segunda capa o panel de control de cookies, el enlace
debe llevar al usuario directamente a dicho panel de configuración. Para facilitar la selección
, en el panel podrá implementarse, además de un sistema de gestión granular
de cookies, dos botones más, uno para aceptar todas las cookies y otro para rechazarlas
todas. Si el usuario guarda su elección sin haber seleccionado ninguna cookie, se
entenderá que ha rechazo todas las cookies. En relación con esta segunda posibilidad,
en ningún caso son admisibles las casillas premarcadas a favor de aceptar cookies.
Si para la configuración de las cookies, la web remite a la configuración del navegador
instalado en el equipo terminal, esta opción podría ser considerada complementaria
para obtener el consentimiento, pero no como único mecanismo. Por ello, si el editor
se decanta por esta opción, debe ofrecer además y en todo caso, un mecanismo que
permita rechazar el uso de las cookies y/o hacerlo de forma granular.
Por otra parte, la retirada del consentimiento prestado previamente por el usuario deberá
poder ser realizado en cualquier momento. A tal fin, el editor deberá ofrecer un
mecanismo que posibilite retirar el consentimiento de forma fácil en cualquier momento.
Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso
sencillo y permanente al sistema de gestión o configuración de las cookies.
Si el sistema de gestión o configuración de las cookies del editor no permite evitar la
utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información
sobre las herramientas proporcionadas por el navegador y los terceros, debiendo
advertir que, si el usuario acepta cookies de terceros y posteriormente desea
eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los
terceros para ello.
En el presente caso, se ha podido constatar que, en las páginas web en cuestión
(www.cumlouder.com; https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, no existe ningún
mecanismo que posibilite rechazar de una sola vez las cookies que no son técnicas o
necesarias y / o gestionarlas de forma granular a través de un panel de control.
d).- Sobre la información suministrada en la segunda capa (Política de Cookies):
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
118/122
En la Política de Cookies se debe proporcionar información más detallada sobre las
características de las cookies, incluyendo información sobre, la definición y función genérica
de las cookies (qué son las cookies); sobre el tipo de cookies que se utilizan y
su finalidad (qué tipos de cookies se utilizan en las páginas webs); la identificación de
quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada
solo por el editor y/o también por terceros con identificación de estos últimos; el periodo
de conservación de las cookies en el equipo terminal; y si es el caso, información
sobre las transferencias de datos a terceros países y la elaboración de perfiles que implique
la toma de decisiones automatizadas.
En el caso que nos ocupa, de la información sobre cookies que se proporciona en la
segunda capa de las páginas webs en cuestión (www.cumlouder.com; https://www.-
serviporno.com/, https://www.soloporno.xxx/, https://www.porn300.com/es/ https://
www.diverporno.com/,, se encuentra redactado en idioma inglés, no oficial en España.
XXVIII.-Infracción
Las deficiencias detectadas en las ?Política de Cookies? de las páginas webs en cuestión
www.cumlouder.com; https://www.serviporno.com/, https://www.soloporno.xxx/,
https://www.porn300.com/es/ https://www.diverporno.com/, suponen por parte de la
entidad la comisión de la infracción del artículo 22.2 de la LSSI, pues establece que:
?Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y
recuperación de datos en equipos terminales de los destinatarios, a condición
de que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular, sobre
los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario
para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los
parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica
al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones
electrónicas o, en la medida que resulte estrictamente necesario,
para la prestación de un servicio de la sociedad de la información expresamente
solicitado por el destinatario?.
Esta Infracción está tipificada como ?leve? en el artículo 38.4 g), de la citada Ley, que
considera como tal: ?Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario
del servicio en los términos exigidos por el artículo 22.2.?, pudiendo ser sancionada
con multa de hasta 30.000 ?, de acuerdo con el artículo 39 de la citada LSSI.
XXIX.- Sanción con respecto a las ?Políticas de Cookies?.
Con respecto a la infracción del artículo 22.2 de la LSSI, tipificada como ?leve? en el
artículo 38.4 g), de la citada Ley, se estima adecuado imponer una sanción total de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
119/122
25.000 euros, (veinticinco mil euros) por las irregularidades detectadas en sus páginas
web, 5.000 euros por cada una de las páginas web de su titularidad.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular
de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 5.1.a) del RGPD, tipificada
en el artículo 83.5.a) del RGPD, calificada como muy grave a los efectos de la
prescripción en el artículo 72.1.a) de la LOPDGDD por la falta de lealtad y
transparencia, una sanción de 75.000 euros (setenta y cinco mil euros).
SEGUNDO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular
de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 5.1.b) del RGPD, tipificada
en el artículo 83.5.a) del RGPD, calificada como muy grave a los efectos de la
prescripción en el artículo 72.1.a) de la LOPDGDD, con una sanción de 75.000 euros
(setenta y cinco mil euros).
TERCERO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular
de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 5.1.e) del RGPD, tipificada
en el artículo 83.5.a) del RGPD, calificada como muy grave a los efectos de la
prescripción en el artículo 72.1.a) de la LOPDGDD mantenimiento con carácter
indefinido de los datos personales de los usuarios registrados, con una sanción de
75.000 euros (setenta y cinco mil euros).
CUARTO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 6.1 del RGPD, tipificada en
el artículo 83.5.a) del RGPD y calificada como muy grave a los efectos de la
prescripción en el artículo 72.1.b de la LOPDGDD, con una sanción de 125.000 euros
(ciento veinticinco mil euros).
QUINTO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 13 del RGPD, tipificada en
el artículo 83.5.b) del RGPD y calificada como leve a los efectos de la prescripción en
el artículo 74.a) de la LOPDGDD, con una sanción de 15.000 euros (quince mil euros).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
120/122
SEXTO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 12.1 del RGPD, tipificada
en el artículo 83.5.b) del RGPD y calificada como leve a los efectos de la prescripción
en el artículo 74.a) de la LOPDGDD, por suministrar la información de la política de
privacidad en inglés, con una sanción de 25.000 euros (veinticinco mil euros).
SÉPTIMO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular
de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 12.2 del RGPD, tipificada
en el artículo 83.5.b) del RGPD y calificada como muy grave a los efectos de la
prescripción en el artículo 72.1.k) de la LOPDGDD, por la exigencia de aportar el DNI
o el pasaporte en todo caso y con carácter previo al ejercicio de los derechos
conferidos en el RGPD, independientemente de si hay dudas razonables sobre la
identidad del interesado, con una sanción de 25.000 euros (veinticinco mil euros).
OCTAVO : IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 30.1 del RGPD, tipificada
en el artículo 83.4.a) del RGPD y calificada como leve a los efectos de la prescripción
en el artículo 74.l) de la LOPDGDD, por no incorporar el registro de las actividades del
tratamiento toda la información exigida por el art. 30.1 del RGPD, con una con una
sanción de 5.000 euros (cinco mil euros).
NOVENO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 8 del RGPD, tipificada en
el artículo 83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en
el artículo 73.a) y b) de la LOPDGDD, con una con una sanción de 30.000 euros
(treinta mil euros).
DÉCIMO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular de
las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo 25 del RGPD, tipificada en
el artículo 83.4.a) del RGPD y calificada como grave a los efectos de la prescripción en
el artículo 73.d) de la LOPDGDD, con una con una sanción de 50.000 euros (cincuenta
mil euros).
UNDÉCIMO: IMPONER a TECHPUMP SOLUTIONS S.L. con CIF.: B33950338, titular
de las páginas web: www.cumlouder.com; https://www.serviporno.com/,
https://www.soloporno.xxx/, https://www.porn300.com/es/
https://www.diverporno.com/, por la infracción del artículo Infracción del artículo 22.2
de la LSSI, respecto a las irregularidades detectadas en las ?Política de Cookies? de
las páginas webs, con una sanción de 25.000 euros (veinticinco mil euros).
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
121/122
DECIMO SEGUNDO: ORDENAR a TECHPUMP SOLUTIONS S.L. que implante, en
el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la
normativa de protección de datos personales, así como que informe a esta Agencia en
el mismo plazo sobre las medidas adoptadas.
DÉCIMO TERCERO: NOTIFICAR la presente resolución a TECHPUMP SOLUTIONS
S.L. con CIF.: B33950338.
DÉCIMO CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla
efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto
en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario
que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en la entidad
bancaria CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en
período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.6 de la
LOPDGDD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición la Directora de la Agencia Española de Protección de Datos en
el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución
o directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo
de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y
en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el
artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si
el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es
122/122
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
812-050522
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeagpd.gob.es