La Inspección de Datos inició de oficio sobre un sitio web de contenido para adultos para analizar el cumplimiento de la normativa de protección de datos en relación con los menores de catorce años, considerando la sensibilidad de los datos personales relativos a la navegación que se podrían tratar en estos sitios para el perfilado de los usuarios, relativos a la vida y orientación sexuales.
Finalizada la Inspección se considera acreditado, entre otros aspectos, que la inspeccionada trata los siguientes datos personales del usuario que accede a los servicios ofrecidos por el portal: nombre y apellidos, email, usuario y contraseña encriptada, dirección IP, titular de la tarjeta utilizada para el pago, código postal, país, orientación sexual.
También consta acreditado en el expediente que en el portal web el mecanismo utilizado para declarar la edad del usuario que accede es una ventana emergente que se muestra al acceder a la página con un botón y el texto “Soy mayor de 18 años – entrar en putalocura.com”, al pulsarse el botón por parte del usuario se guarda esta acción en una variable «javascript» denominada «sessionstorage» que no sale del dispositivo del usuario y que permanece en este mientras no se cierre la pestaña del navegador que se está utilizando.
Asimismo, en dicho portal web existe forma de eludir el mecanismo de declaración de edad, permitiendo acceder a contenidos del portal sin declarar la mayoría de edad del usuario.
Cuando el servicio va dirigido de manera exclusiva a mayores de edad, cuando el responsable del tratamiento auto limite su tratamiento a mayores de edad, respecto de servicios que pueden comportar un riesgo para los menores, entonces, también sus esfuerzos, derivados de sus obligaciones, deben ir dirigidos a garantizar que sólo se traten datos de mayores de edad.
El tratamiento de datos personales de un niño como persona vulnerable es un riesgo, resultando que en el caso de los niños los riesgos que afectarían a cualquier colectivo se amplifican por su situación de vulnerabilidad, por lo que los peligros per se son mayores que si afectan a un mayor de edad.
Ello implica que, desde el enfoque de riesgos haya que habilitar las medidas técnicas y organizativas de seguridad apropiadas para evitar la materialización de riesgo muy alto causando una lesión en sus derechos y libertades.
Este último es el supuesto en el que nos encontramos, en el que la investigada pone de manifiesto el contenido de la web está dirigido exclusivamente a adultos y que es obligatorio ser mayor de edad.
La entidad decide que las categorías de interesados se limitan a los mayores de edad, por lo que le corresponde implementar las medidas técnicas y organizativas de seguridad apropiadas para que el tratamiento se efectúe únicamente respecto de interesados mayores de edad. Ello conlleva que también implemente las medidas técnicas y organizativas apropiadas para que los datos de los menores de edad no sean tratados.
Y en el presente caso se constata la ausencia de controles adicionales para verificar la edad de los visitantes de la web, más allá de la simple activación por el usuario de un botón indicando que es mayor de edad en una ventana informativa para acceder libremente a la web.
Si observamos las limitaciones o cautelas previstas en la página web, estas son claramente insuficientes para limitar el acceso a los menores, tanto de forma directa a la página web (usuarios no registrados) como para registrarse en la página web (usuarios registrados).
Si bien hay presentes mecanismos para “declarar” la edad, no existe ninguno para comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría una medida apropiada para evitar la materialización de los altos riesgos en los derechos y libertades de los menores que están presentes.
Amén de que el tratamiento se ajuste a lo decidido por el responsable del tratamiento (obligatoriedad de ser mayor de edad) y únicamente se traten datos de las categorías de interesados “mayores de edad”.
Además, ha quedado constatado que los sistemas o mecanismos de declaración de la edad de los usuarios que acceden a los portales web de los que era responsable del tratamiento de datos personales con facilidad se pueden eludir.
Se considera que los hechos conocidos son constitutivos de una infracción, imputable a la investigada, por vulneración del art. 32 RGPD con una multa de 48.000 euros.
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.