La respuesta es que nos exponemos a que nos sancionen con multa por valor de 3000 euros.
Muy buenas queridos lectores, en nuestra publicación de hoy vamos a comentar la Resolución dictada por la Agencia Española de Protección de Datos en el Procedimiento Sancionador ‘’ PS/00185/2020’’, pues me ha resultado muy interesante dado su carácter ilustrativo respecto a las responsabilidades que nos pueden exigir si no adecuamos nuestra página web a lo dispuesto en la normativa vigente.
En síntesis, en dicha resolución se cuenta que un ciudadano, tras acceder a la página web de una empresa que se dedica a la venta online de determinadas piezas para vehículos, detecta una serie de fallas en la seguridad de la página web. Éste particular, con buena voluntad, procedió a enviar un email a la empresa responsable de la página web para que procediera a corregir los siguientes fallos de seguridad: que la web carecía de medidas de seguridad para proteger los datos personales como (HTTPS); que carecía de información respecto al procesado de los datos personales y su finalidad, así como, el periodo en el cual se almacenan. Sin embargo, la empresa responsable, por razones que se desconocen, no contestó a su comunicación y tampoco corrigió los fallos de seguridad, por lo que, la persona usuaria procedió a informar a la Agencia Española de Protección de Datos. Este Organismo, tras verificar lo alegado por el informante, inició el procedimiento administrativo en cuyo seno se dictó la resolución objeto de éste comentario.
Nuestra Agencia Española de Protección de Datos obtuvo el siguiente resultado al finalizar su investigación:
1. Respecto de los protocolos de seguridad utilizados, se comprobó que el acceso a la página web se realiza mediante protocolo de seguridad “http”, por lo que la información que proporcionan los usuarios no se trasfiere de forma segura (encriptada), permitiendo así, que otros usuarios puedan apropiarse de la información que se envía desde el terminal del cliente-consumidor al servidor web. Un consumidor, para adquirir uno de los productos vendidos, debe introducir sus datos personales en la hoja de pedido: nombre y apellidos; DNI; matrícula del vehículo e incluso número de bastidor. Además, deben escanear y enviar en ficheros adjuntos, el permiso de circulación del vehículo; el DNI por ambas caras y el justificante de pago.
Por ello, se constató que en relación a la “Política de Seguridad”, la página web recopila datos personales de los usuario utilizando un protocolo de seguridad “http//”, desprovisto de un nivel mínimo de seguridad. El protocolo de seguridad adecuado sería ‘’https//’’.
Por ésta circunstancia, la A.E.P.D. sanción a la empresa responsable del tratamiento con multa de 1000 euros, por la infracción del artículo 32 del R.G.P.D., por la política de seguridad realizada en la página web de su titularidad.
2. Respecto de la “Política de Privacidad”, dicho Organismo comprobó que en la parte inferior de la página inicial de la web, a través del link del apartado “Aviso Legal”, se accedía a otra página en la que, aparte de ofrecer información sobre el responsable del tratamiento (dueño de la página), se ofrece información haciendo referencia al “cumplimiento de Ley 15/1999 de Protección de datos de carácter personal’’, normativa derogada.
Por ésta circunstancia, la A.E.P.D. sanción a la empresa responsable del tratamiento con multa de 1000 euros, por la infracción del artículo 13 del R.G.P.D., ya que se hace referencia a la derogada L.O.P.D., por lo que dicha página web n no ha sido adaptada a la nueva normativa vigente sobre protección de datos de carácter personal.
3. Y por último, la A.E.P.D. pudo comprobar que al acceder a la página web (primera capa), NO existe ningún tipo de banner que informe sobre la utilización de cookies en la web denunciada. No obstante, si se accede a través del link del apartado “Aviso Legal”, se ofrecía información incompleta sobre las cookies.
Por ésta circunstancia, la A.E.P.D. sanción a la empresa responsable del tratamiento con multa de 1000 euros, por la infracción del artículo 22.2 de la LSSI, sanción fundada en que, con relación a la “Política de Cookies”, en la página web denunciada, se ha constatado que, en la primera Capa, (página inicial), NO hay ningún tipo de banner sobre cookies que facilite información genérica sobre la instalación de cookies en el equipo terminal y en la segunda Capa, a través del link: “aviso legal”, existe un apartado donde se proporciona cierta información genérica sobre las cookies, pero no se proporciona información sobre la identidad y las características de cookies propias que se instalan, ni el tiempo que permanecen activas en el equipo terminal. Tampoco sobre las cookies de terceros. Además, en esta segunda capa NO existe ninguna posibilidad de rechazar todas las cookies.
Como se ha podido comprobar, cualquier particular puede reclamar la no de adecuación de una página web a lo exigido por la normativa de aplicación, conllevando que por unos defectos que tenían fácil solución, el responsable del tratamiento encargado de administrar la página web esté obligado abonar 3000 euros.
Nos leemos en el próximo post.
Autor: Eduardo Augusto Villena Motilla.
Director de la firma Albalegal Abogados y Abogado especializado en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.