La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 525.000 euros a una empresa asturiana propietaria de cinco webs de contenido pornográfico por la utilización ilícita de datos personales y otras irregularidades, como no disponer de mecanismo que permita verificar que el usuario que se pretende registrar tiene más de 14 años pero menos de 18.

En una resolución de 122 páginas, difundida este lunes y consultada por El Independiente, la AEPD concluye el procedimiento iniciado en marzo de 2021, cuando abrió de oficio actuaciones previas de investigación contra Techpump Solutions SL por el tratamiento de datos personales en su portales www.cumlouder.com, www.serviporno.com, www.solopornoxxxl, www.porn300.com/es y www.diverporno.com. La decisión puede ser recurrida ahora ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

El organismo público considera que la citada empresa vulnera hasta siete artículos del Reglamento General de Protección de Datos -tipificando como muy graves la mayoría de las infracciones- y uno de los preceptos de la Ley de servicios de la sociedad de la información y de comercio electrónico, concretamente por su política de cookies. Especialistas en privacidad y protección de datos aseguran que no existen precedentes de una sanción con una cuantía tan elevada a titulares de sitios porno.

Protección de Datos ve "riesgo cierto" de que menores puedan acceder directamente y sin limitaciones a estas páginas

De entrada, la AEPD considera que Techpump Solutions adolece de falta de lealtad y transparencia, toda vez que la información que suministra a los interesados a través de la política de privacidad de las páginas "no se corresponde con el tratamiento realmente efectuado", lo que genera -sostiene- una "confusión evidente". Tampoco diferencia entre los datos que se recopilan de los usuarios registrados y los no registrados, según ha constatado.

En fase de alegaciones, la compañía reconoció que en tres de las páginas recopila el nombre, los apellidos, el usuario, el correo electrónico, la contraseña, el sexo, la fecha de nacimiento, la provincia y el país, junto con la dirección de IP desde que la persona accede a las mismas. También otros datos "no señalados" por la empresa, dado que comparte la imagen y la voz con otros usuarios, el número de vídeos subidos, las visualizaciones y los "like" a los de otros internautas, puntualiza Protección de Datos.

"No se informa específicamente de otros datos personales que se recopilan y que se comparten con otros usuarios registrados (www.serviporno.com/ y www.porn300.com/es/), tales como los contenidos en la ficha o perfil de usuario y que son, tal y como constan en los hechos probados, la edad, sexo, así como el país y ciudad de este (localización), la fotografía de perfil y los vídeos que decida compartir el usuario (imagen y voz), así como los comentarios que realice", añade. En una de las webs se recogen también los relativos a la tarjeta de crédito.

Limitación de la finalidad

De la misma forma, la AEPD ha apreciado una vulneración del principio de limitación de la finalidad. Así, llama la atención sobre el hecho de que Techpump Solutions recopila el dato de la IP "no sólo para la gestión de los datos de los usuarios para la entrega de publicidad digital (finalidad propia)" sino también con la intención de "suministrar la IP a las fuerzas y cuerpos de seguridad del Estado (finalidad de un tercero)", lo que no se menciona ni en el registro de actividades de tratamiento ni en la política de privacidad.

El reproche viene también derivado del hecho de mantener "con carácter indefinido" los datos recabados de los usuarios registrados en dos de las webs y que las políticas de privacidad de los cinco sitios estuvieran redactadas en inglés, lo que hace que no sea "claro e inteligible" para todos los usuarios. Igualmente, Protección de Datos también ha detectado que la empresa no informa de la posibilidad de revocar en cualquier momento el consentimiento prestado por el usuario respecto de los formularios.

La resolución tampoco pasa por alto el hecho de que las citadas páginas, pese a advertir en sus banners que son sitios para mayores de 18 años, no requieran ni el consentimiento de los titulares de la patria potestad o de la tutela sin son niños menores de 14 años ni cuenten con mecanismos para asegurar que se registra un niño mayor de 14 años y menor de 18.

Cargador Cargando...
Logotipo de EAD ¿Tarda demasiado?

Recargar Recargar el documento
| Abrir Abrir en una nueva pestaña

"No sólo el tratamiento de datos personales de un niño como persona vulnerable es un riesgo, sino que en el caso de los niños los riesgos que afectarían a cualquier colectivo se amplifican por su situación de vulnerabilidad, por lo que los peligros per se son mayores que si afectan a un mayor de edad. Ello implica que, desde el enfoque de riesgo, pilar fundamental del Reglamento General de Protección de Datos, haya que habilitar las medidas técnicas y organizativas de seguridad apropiadas para evitar la materialización de riesgo muy alto causando una lesión en sus derechos y libertades, teniendo en consideración como punto de partida que nos encontramos con el tratamiento de datos personales de niños", argumenta.

El importe de la sanción es casi cuatro veces superior al beneficio declarado por la firma en 2021

En este sentido, la AEPD recuerda que el legislador considera la pornografía como un riesgo específico de los menores en su desarrollo psicológico, al tiempo que subraya que las aplicaciones de control parental habilitadas por la citada empresa en las webs son "obsoletas" y la mayoría de los enlaces conducen a páginas que "no existen". "En el caso que nos ocupa, existe un riesgo cierto de que los menores accedan directamente y sin limitaciones a un contenido tan perjudicial para ellos", concluye.

El pasado 1 de marzo, el regulador audiovisual de Polonia (Krajowa Rada Radiofonii i Telewizji) presentó una denuncia ante la Comisión Nacional de los Mercados y la Competencia (CNMC) en la que denunciaba que uno de los sitios analizados -concretamente www.porn300.com, que ofrece su servicio en lengua polaca en dicho país- podría considerarse una plataforma de intercambio de vídeos y que no estaría cumpliendo con la obligación de implementar los sistemas de verificación de edad.

En una resolución fechada el pasado 16 de junio, la Sala de Supervisión Regulatoria de la CNMC acordó dar traslado del citado escrito al Ministerio de Asuntos Económicos y Transformación Digital como órgano competente para controlar el cumplimiento de la Ley de servicios de la sociedad de la información y de comercio electrónico. El órgano tomaba esa decisión "atendiendo a la gravedad de los elementos que incorpora la página web analizada y con el objeto de garantizar la protección del menor en el entorno de la sociedad de la información".

La empresa reconoció errores

Cuando Techpump Solutions presentó sus alegaciones al inicio de la apertura del procedimiento, reconoció haber incurrido en algunos errores y discrepó abiertamente de algunos de los criterios mantenidos por la AEPD, como el hecho de que haber redactado las políticas de privacidad en inglés lo hiciera "ininteligible" cuando la "mayoría" de sus clientes son "de fuera de España" y dicho idioma sea uno de los oficiales de la Unión Europea.

En dicho escrito, la empresa resaltó que el hecho de haber subsanado "inmediatamente" los fallos sin que se le requiriese y no haber sido sancionada previamente eran argumentos para que quedara en un "apercibimiento" y no en una sanción en aplicación del principio de proporcionalidad. Según advertía, la imposición de una cuantía elevada podría "poner en peligro" su continuidad.

La AEPD ha desoído estas consideraciones y ha castigado la conducta de la compañía asturiana con 11 sanciones que, oscilando entre los 5.000 y los 125.000 euros cada una, suman 525.000 euros. Este montante es casi cuatro veces el beneficio declarado por la compañía en 2021 (145.736 euros) y un 30 % de su facturación en dicho ejercicio (4,45 millones).

Junto con el pago de la sanción económica, Protección de Datos ha dado un plazo de un mes a Techpump Solutions para que implante las medidas correctivas a fin de adecuar su actuación a la normativa de protección de datos personales. Si la entidad manifiesta su intención de recurrir en la jurisdicción contencioso-administrativa, se podría suspender cautelarmente la resolución firme en vía administrativa.