Multa de medio millón de euros a una empresa española de webs porno por tratar ilícitamente datos personales
La Agencia de Protección de Datos advierte que Techpump Solutions SL puede estar usando información personal de menores ya que hay “un riesgo cierto” de que accedan sin limitaciones al contenido
La Agencia Española de Protección de Datos (AEPD) le ha impuesto una sanción de 525.000 euros a Techpump Solutions S.L., una empresa asturiana titular de cinco páginas webs porno, por vulnerar la normativa de protección de datos. En concreto, el organismo falla que existe “vaguedad, falta de concreción y de transparencia” sobre la información tratada y la suministrada a los usuarios, lo que es constitutivo de infracciones "muy graves". Además, advierte que “no se puede afirmar que (la compañía) no trate datos de carácter personal de menores”.
En una resolución de 122 páginas, que agota la vía administrativa, pero que es recurrible ante la Audiencia Nacional, la AEPD le exige a la empresa sancionada la adopción de “medidas de seguridad apropiadas mediante las que se verifique la edad de los usuarios, registrados o no, que accedan a las páginas de su propiedad, garantizando que son mayores de edad”.
No en vano, aunque al entrar por primera vez en los cinco sitios para adultos (“cumlouder”, “serviporno”, “soloporno.xxx”, “diverporno” y “porn300”) aparece una ventana emergente (banner) advirtiendo del contenido y solicitando al usuario que declare, antes de acceder, que es mayor de edad, si le da a cualquier parte, fuera del área de confirmación o, incluso, fuera del propio banner, las webs permiten el acceso a sus servicios sin ningún tipo de impedimento. De la misma forma, al entrar, y sin realizar otra acción, los sitios utilizan cookies de terceros no necesarias sin el previo consentimiento del usuario. Además, la política de privacidad sólo se mostraba en inglés hasta septiembre de 2021 en todas las páginas, que almacenan los datos de navegación, la IP, la wifi o el teléfono de quien accede, entre otros.
La investigación, que fue abierta en marzo del año pasado por la directora de la AEPD, Mar España, incide en que la empresa puede estar tratando datos personales de menores. Aunque Techpump Solutions S.L. aseveró en el procedimiento que el contenido de los sitios está dirigido exclusivamente a adultos, lo cierto es que “las aplicaciones de control parental son obsoletas y la mayoría de los enlaces conducen a páginas que no existen e, incluso, uno de los enlaces conduce a una tienda de venta de paquetes de acceso a sitios de contenido para adultos”.
Comprobar la edad
Así pues, existe “un riesgo cierto” de que los menores entren directamente y sin limitaciones al contenido de las páginas porno. Y ello porque “las cautelas previstas son claramente insuficientes”, ya se acceda como usuario no registrado o como usuario registrado.
“Si bien hay presentes mecanismos para declarar la edad, no existe ninguno para comprobarla ulteriormente, ni ninguno para verificarla ab initio, lo que sí constituiría una medida apropiada para evitar la materialización de los altos riesgos en los derechos y libertades de los menores”, señala la AEPD. Además, el mecanismo para declarar la edad no funciona adecuadamente, pues salvo en una de las páginas, aun dándole a la opción “no”, si se cliquea en cualquier otro sitio, el banner de advertencia desaparece y se posibilita el acceso al contenido de la web.
Por estos motivos, el regulador le exige a la empresa sancionada la adopción de “medidas de seguridad apropiadas” para garantizar la edad de quien accede a las webs. No en vano, los riesgos a los que están afectos los menores han de ser considerados no sólo por aquellos que dirigen “servicios directa y específicamente a los niños”, sino “por todos aquellos que realizan tratamientos de datos personales dirigidos a otros colectivos en los que los menores puedan interactuar o intervenir y ver en riesgo su integridad física o psicológica”, señala la resolución.
Las sanciones más altas que la AEPD le impone a Techpump Solutions S.L. son por la falta de lealtad y transparencia sobre los datos recogidos, por mantener con carácter indefinido la información personal de los usuarios registrados o por la exigencia de aportar el DNI o el pasaporte en todo caso y con carácter previo al ejercicio de los derechos conferidos a los ciudadanos en el Reglamento General de Protección de Datos.
