La creación de una página web es ya un procedimiento habitual en la administración de una empresa. Se constituye como una herramienta que proporciona visibilidad en cuanto a los servicios ofertados, al trabajo realizado, y que ayuda a un contacto rápido y directo para la resolución de consultas. No obstante, una página web no está exenta de obligaciones, pues una mejor comunicación con el cliente implica el manejo de información personal que ha de ser protegida.
En un artículo anterior habíamos comentado la importancia de que un sitio web contase con los textos legales adecuados , a fin de identificar al Responsable del tratamiento, de exponer la base jurídica, y de informar sobre el ejercicio de derechos, entre otras circunstancias.
A continuación relataremos una de las reiteradas sanciones que la Agencia Española de Protección de Datos («APEP») está imponiendo por un uso inadecuado de las plataformas web en lo que a Protección de Datos se refiere.
HECHOS
El 17 de octubre del año 2019 se interpone reclamación ante la AEPD contra MYMOVILES EUROPA 2000, S.L. El reclamante alega que la citada entidad carece de Política de Privacidad y que, cuando trata de averiguar los datos de propiedad de la página, la empresa no se encuentra identificada en el Aviso Legal.
El sitio web también cuenta con un formulario de contacto para la recogida de datos (de registro, de contacto, para suscripción a newsletter), pero tampoco facilita ninguna información en relación a la privacidad del usuario. De este modo, no se cumple con los requisitos previstos en el artículo 13 del Reglamento General de Protección de Datos 2016/679 (“RGPD”).
INFRACCIÓN COMETIDA
El artículo 4 del RGPD entiende como «datos personales» y «tratamiento» lo siguiente:
«1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;[..]»
A tenor de estas definificiones, y teniendo en cuenta la falta de información identificativa del sitio web objeto del procedimiento, la AEPD enmarca los hechos dentro de una vulneración del artículo 13 del RGPD (en relación con el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; «LOPDGDD»).
SANCIÓN
Se impone a MYMOVILES EUROPA 2000, S.L. una multa de 1.500 euros por vulneración de los artículos anteriormente mencionados.
******************************************
INFORMACIÓN A FACILITAR CUANDO LOS DATOS PERSONALES SE OBTENGAN DEL INTERESADO
Artículo 11 LOPDGDD:
«1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso; b) La finalidad del tratamiento; c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.”
Artículo 13 RGPD:
«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.»
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 74 letra a) LOPDGDD:
«Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular las siguientes: a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.»
Artículo 83.5 letra b) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) b) los derechos de los interesados a tenor de los artículos 12 a 22; […].»
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00423/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).