Las denuncias de particulares a páginas web que recopilan datos personales son una tendencia al alza. Principalmente, cuando esa recogida de datos acaba convirtiéndose en publicidad no deseada. Y ya no digamos en los casos en los que se tratan datos sensibles, como datos médicos, en donde el titular de los mismos emprenderá, con casi total seguridad, acciones legales.
Es por ello, por lo que las páginas webs y el tratamiento de la información deben contar con una base legal sólida, en donde el usuario tenga, en todo momento, información sobre el responsable de tratamiento y el uso que se hará con sus datos.
HECHOS
En el presente caso, con fecha 01/04/2020 se presenta ante la Agencia de Protección de Datos («AEPD») una denuncia contra la clínica DR. MARÍN CIRUGIA PLÁSTICA, S.L.P. En ella, el reclamante alega que la página web del doctor no cuenta con los debidos avisos legales; desconociéndose el responsable del tratamiento, y que ha recibido en su teléfono personal información comercial que no solicitó ni dio ningún tipo de consentimiento. El 01/07/2020 la clínica contesta al requerimiento desmintiendo tales acusaciones.
La AEPD, tras la investigación oportuna, concluye el 07/10/2020 que la página web denunciada recoge datos personales a través de un formulario, no estando los textos legales (Aviso Legal, Política de Privacidad y Política de cookies) disponibles en la página. Tampoco existe el banner de cookies que sería necesario en la página, dada su estructura de identificación del usuario.
INFRACCIÓN COMETIDA
Partiendo del artículo 6.1 letra b) del Reglamento General de Protección de Datos 2016/679 («RGPD»), en relación con el consentimiento, la AEPD no puede corroborar las condiciones firmadas en el contrato y la licitud del envío de publicidad, ya que el reclamante no aportó el documento legal que lo justificaba.
No obstante, sí que se ha podido corroborar la falta de los textos legales obligatorios en la página web, tal y como se exigen por el artículo 13 del RGPD; que deberían identificar al responsable; la base legal; la finalidad; los derechos de los titulares… De este modo, se produce una infracción por vulnerar el deber de informar al interesado en el momento de recogida de sus datos personales.
El artículo 72.1 letra h) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales («LOPDGDD»), considera muy grave no informar al afectado sobre el tratamiento de sus datos personales.
Se atiende a los siguientes agravantes para graduar la sanción:
- Afectación de identificadores de carácter personal [artículo 83.2 letra g) RGPD].
- Forma en que la autoridad de control tuvo conocimiento de la infracción (denuncia de particular) [artículo 83.2 letra h) RGPD].
Respecto a las cookies, en la página inicial de la web no existe ningún banner o información sobre el uso de cookies ni la instalación de las mismas en el equipo terminal. Tampoco se proporciona un enlace que redirija a la “política de cookies”, tal y como exige el artículo 22.2 de la Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico («LSSI«).
Se atiende a los siguientes agravantes para graduar la sanción en este sentido:
- Intencionalidad (Sentencia de la Audiencia Nacional de 12/11/07 recaída en el Recurso núm. 351/2006).
- Plazo de tiempo que ha durado la infracción [artículo 40 letra b) LSSI].
SANCIÓN
Por todo lo expuesto, la AEPD decide sancionar a DR. MARÍN CIRUGIA PLÁSTICA, S.L.P. por la infracción del artículo 13 del RGPD, y del artículo 22.2 de la LSSI, e imponerle una sanción de 4000 euros.
A tenor del artículo 58.2 del RGPD, las medidas correctivas de cara a la entidad consisten en:
- Adecuar la política de privacidad y de cookies de la página web de su titularidad a lo dispuesto en la normativa vigente en protección de datos y sociedad de la información (información y recogida de consentimiento).
*********************************************
Si todavía no trabajas con nosotros, pídenos una valoración sin compromiso para evaluar el estado de tu organización y las necesidades que esta tiene para cumplir con todos los requisitos en materia de protección de datos y comercio electrónico.
********************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00317/202
GUÍA SOBRE EL USO DE COOKIES – AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
– LSSI (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico).