AEPD – e/08370/2020

16/07/2021

• Procedimiento N°: E/08370/2020

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes,

HECHOS

PRIMERO: Con fecha 21/10/19, tiene entrada en esta Agencia, denuncia presentada por D. A.A.A., (en adelante, “el reclamante”) en la que indicaba, entre otras, lo siguiente: “En la web www.tirotactico.net existen las irregularidades que detallo a continuación: No hay identidad y datos de contacto del responsable. No hay aviso legal. No hay política de privacidad. No hay finalidad del tratamiento. No hay casilla de aceptación ni consentimiento expreso en los formularios. No hay base jurídica del tratamiento razón por la cual los datos se tratan fuera de un marco jurídico. No se detallan los destinatarios de los datos recogidos ni con quien son compartidos. No hay información sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo. No hay forma de contacto para ejercitar el derecho a solicitar del responsable el acceso a los datos personales relativos al interesado y su rectificación o supresión o la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de datos. No hay información sobre el derecho a presentar una reclamación ante la autoridad de control”.

SEGUNDO: A la vista de los hechos expuestos en la reclamación y de los documentos aportados por el reclamante, la Subdirección General de Inspección de Datos procedió a realizar actuaciones para su esclarecimiento, al amparo de los poderes de investigación otorgados a las autoridades de control en el art 57.1 del Reglamento (UE) 2016/679 (RGPD). Así, con fecha 27/11/19, se dirige requerimiento informativo a la persona reclamada. Según certifica la entidad de Correos, el requerimiento realizado a la persona reclamada fue devuelto a origen con la anotación de “ausente”.

TERCERO: A tenor de la información preliminar de la que se dispone y al apreciarse indicios racionales de una posible vulneración de la normativa en materia de protección de datos, con fecha 23/09/20, la Directoria de Agencia Española de Protección de Datos, de acuerdo con el artículo 65 de la LOPDGDD, acordó admitir a trámite la denuncia presentada por la reclamante.

CUARTO: Con fecha 04/10/20, por parte de esta Agencia se comprueban las siguientes características de la página web denunciada: www. tirotactico. net:

1°.- Sobre la recogida de datos personales de los usuarios de la web:

A través de la pestaña de «contacto», https://tirotactico.net/contacta-con-nosotros/, se pueden recoger datos personales de los usuarios, como el nombre y el email.

  • 1.a.- En la misma página de contacto, existe la siguiente información: El responsable:

  • B.B.B.; la finalidad Moderar los comentarios: Responder las consultas; la legitimación; los destinatarios y los derechos de los usuarios.

  • 1. b.- También existe la posibilidad de dejar un comentario en el foro existente en la misma página de «contacto» https://tirotactico.net/contacta-con-nosotros/, pero antes de enviarlo se debe incluir el nombre y la dirección de correo electrónico y aceptar que “_Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente” y “_ Acepto la política de privacidad”.

  • 2. – Sobre la Política de Privacidad:

En la parte inferior de la página inicial, existe un link con el nombre de «política de privacidad», a través del cual, se redirige a la página https://tirotactico.net/politica-de-privacidad/ (accesible a través de la pestaña «aviso legal»), que proporciona información sobre: la Identidad del responsable del tratamiento de datos; la actividad social; los principios aplicados en el tratamiento de datos; la obtención; de datos personales; los derechos de los usuarios; la finalidad del tratamiento de datos personales; el formulario de contacto; La seguridad de los datos personales; el contenido de otros sitios web; la legitimación para el tratamiento de datos; las categorías de datos personales; la conservación de datos personales; los destinatarios de datos personales; la exactitud y veracidad de los datos personales; la aceptación y consentimiento y la revocabilidad

  • 3. – Sobre la política de cookie de la página web:

    • 3.1. – Cuando se accede a la página inicial de la web, existe un banner en la parte inferior de la misma con la siguiente información:

Esta web utiliza cookies para funcionar correctamente, que recopilan y almacena información sobre tu navegación. Puede «aceptarlas» o «rechazarlas».

«configuración de las cookies» «política de cookies»

  • 3.2. – Si se accede a la configuración de las cookies, a través del enlace correspondiente, la web despliega una página donde se puede desactivar las cookies no necesarias:

Necesarias ^ Siempre activado               No Necesarias ^ ON<>OFF

  • 3.3. – Si se accede a la política de privacidad, a través del enlace correspondiente, la web redirige a la página https://tirotactico.net/politica-de-cookies/ (accesible también desde la pestaña <<aviso legal>>), donde se informa de: Qué son las cookies; Tipos de cookies utilizadas; Desactivar las cookies; Advertencia sobre eliminar cookies; Contacto e Identificación de las cookies que utiliza la web, descripción, duración y el tipo

FUNDAMENTOS DE DERECHO

I

Competencia:

A).- Sobre la Política de Privacidad:

En virtud de los poderes que el art 58.2 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27/04/16, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (RGPD) reconoce a cada Autoridad de Control y, según lo establecido en los arts. 47, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), la Directora de la Agencia Española de Protección de Datos es competente para iniciar este procedimiento.

Los apartados 1) y 2), del artículo 58 el RGPD, enumeran, respectivamente, los poderes de investigación y correctivos que la autoridad de control puede disponer al efecto, mencionando en el punto 1.d), el de: “notificar al responsable o encargo del tratamiento las presuntas infracciones del presente Reglamento” y en el 2.i), el de: “imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso.”.

B).- Sobre la Política de Cookies:

De conformidad con lo establecido en el art. 43.1, párrafo segundo, de la de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), es competente para iniciar y resolver este Procedimiento Sancionador, la Directora de la Agencia Española de Protección de Datos.

II

A).- Sobre la política de privacidad de la página web denunciada:

Se ha comprobado que, a través del link: “Política de Privacidad”, la web redirige a una página donde se proporciona información sobre aspectos de la política de privacidad como son: los datos identificativos del titular de la página web; la legislación aplicable; la identificación del responsable del tratamiento; la legitimación del tratamiento de datos; el tiempo de conservación de los datos; la cesión de datos a terceros; los derechos del interesad o donde ejercer dichos derechos.

El artículo 13 del RGPD, establece la información que se debe proporcionar al interesado en el momento de recogida de sus datos personales. Información que debería aparecer en la “política de privacidad” de la página web en cuestión:

  • 1.Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de contacto del responsable y en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero; e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el art 49.1, párrafo segundo, referencia a las garantías adecuadas

o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

  • 2.Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente: a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos; c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada; d) el derecho a presentar una reclamación ante una autoridad de control; e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos; f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

En el presente caso, con arreglo a las evidencias que se disponen en este momento de acuerdo de inicio de procedimiento sancionador, se considera que la “Política de Privacidad” de la página web reclamada no se contradice con lo estipulado en el artículo 13 del RGPD.

III

B).- De las actuaciones practicadas, con relación a la “Política de Cookies”, de la página web reclamada, y aplicando las recomendaciones indicadas en la Guía sobre Cookies, publicada por la Agencia Española de Protección de Datos en noviembre de 2019, se constatan los siguientes aspectos:

b.1.) Al acceder a la página inicial de la web, www. tirotactico. net, (primera capa), se comprueba que, en la parte inferior de la misma, existe un banner con la siguiente información: Esta web utiliza cookies para funcionar correctamente, que recopilan y almacena información sobre tu navegación. Puede «aceptarlas» o «rechazarlas» «configuración de las cookies>>-<<política de cookies», pudiendo en esta primera capa, rechazar todas las cookies si el usuario así lo desea.

b.2.- Si se accede a la «configuración de las cookies», a través del enlace correspondiente, la web despliega una página donde se puede desactivar las cookies no necesarias: (Necesarias ^ Siempre activado)- (No Necesarias ^ ON<>OFF)

b.3.- Si se accede a la política de privacidad, a través del enlace correspondiente, se informa de: qué son las cookies; los tipos de cookies utilizadas; cómo desactivar las cookies; advertencia sobre eliminar cookies; cómo contactar con el responsable de la web y la identificación de las cookies que utiliza la web, su descripción, la duración de su instalación en el equipo termina y el tipo cookies que es.

En este contexto, el artículo 22.2 de la LSSI, indica:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

En el presente caso, con arreglo a las evidencias que se disponen en este momento de acuerdo de inicio de procedimiento sancionador, se considera que la “Política de Cookies” de la página web reclamada no se contradice con lo estipulado en el artículo 22.2 de la LSSI.

Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia Española de Protección de Datos.

SEACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución a D. B.B.B., titular de la página web, www. tirotactico. net y a D. A.A.A..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Mar España Martí

Directora de la Agencia Española de Protección de Datos.

AEPD

Documentación Relacionada

Legislación Relacionada

Jurisprudencia Relacionada

Documento Original

Resolución Original AEPD