El uso de dispositivos de almacenamiento y recuperación de datos (DARD) y sus requisitos

La Agencia Española de Protección de Datos ha sancionado a la web lolabits.es, de la que es titular ABELHAS.PT LIMITED (una sociedad chipriota), por no informar a los usuarios del uso de DARD (dispositivos de almacenamiento y recuperación de datos).

Los DARD son dispositivos que permiten obtener y almacenar datos de los usuarios, un ejemplo muy común son las cookies o el tracking pixel, estos dispositivos ayudan a los titulares de las web a analizar el comportamiento del usuario, haciendo posible que se conozca qué páginas visita, cuanto tiempo está en la página, qué productos busca etc. Es una herramienta de marketing valiosísima para los prestadores de servicios online.

La famosa web lolabits.es, que en teoría era una página de almacenamiento de archivos como Dropbox, aunque todos sabemos que era una plataforma que se utilizaba para intercambiar contenidos que vulneraban la propiedad intelectual, y que ya cerró sus puertas el 31 de marzo de 2016, ha sido sancionada por hacer uso de DARDS sin informar al usuario ni obtener su consentimiento.

En concreto en la Resolución: R/00267/2017 hace referencia al artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que dispone que: “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización…”

A pesar de que los principales argumentos de la defensa de lolabits.es eran:

Que la Sociedad no llevaba su actividad económica en España, ni disponía de sucursal y que por ello no debía ser llevada ante la Agencia Española de Protección de Datos.
Que el sitio web informaba de la utilización de cookies y cada usuario aceptaba la política de privacidad.
Que no se puede considerar la dirección IP como dato personal.

La Agencia Española de Protección de Datos desmontó su defensa con los siguientes contrargumentos:

El artículo 3 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) establece: “esta Ley se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España….”
El sitio web denunciado no ofrecía información respecto de la instalación de dispositivos de almacenamiento y recuperación de datos así como la finalidad de cada dispositivo y del modo en el que se pueden deshabilitar.
En cuanto a la consideración de la Dirección IP como dato de carácter personal hace referencia a la Sentencia C-582/2014 del Tribunal de Justicia de la Unión Europea que ha declarado que las direcciones IP, incluso las dinámicas son un dato personal.

Finalmente resuelve imponiendo, por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4 g) de la misma Ley, una multa de 5.000 euros. Esto nos enseña la política de privacidad, la política de cookies, el aviso legal o en general, cualquier texto legal de nuestra web, debe estar redactado a conciencia, no debe ser un mero “copia y pega” de otra página web, es importante hacer un análisis de las herramientas y funcionalidades de cada web, para luego elaborar un texto que de forma clara y sencilla informe a los usuarios y posteriormente se pueda recabar su consentimiento. Recordemos que la información, el consentimiento y la calidad de los datos son 3 ejes en los que se asienta la legislación de protección de datos y los servicios de la sociedad de la información y comercio electrónico.