La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 120.000 euros a TIGER MEDIA INC., titular de una plataforma publicitaria (Ad Network) especializada en la gestión y difusión de anuncios en sitios web de contenido para adultos, tras constatar el uso de cookies publicitarias sin consentimiento válido de los usuarios en distintos sitios web accesibles desde España.
La sanción deriva del procedimiento iniciado tras las actuaciones de investigación de la AEPD en relación con el funcionamiento de la plataforma publicitaria utilizada por editores para mostrar anuncios en sus páginas web.
¿Qué ocurrió?
La AEPD comprobó que, a través de la red publicitaria de TIGER MEDIA, se instalaban cookies persistentes en los dispositivos de los usuarios sin que estos hubieran prestado previamente su consentimiento.
Estas cookies permitían tratar datos como la dirección IP, información del navegador y del dispositivo, la página web visitada y las interacciones con los anuncios (impresiones y clics).
La AEPD comprobó que, en varios sitios web españoles que utilizaban la red publicitaria de TIGER MEDIA, se instalaban cookies asociadas a su plataforma en los dispositivos de los usuarios al cargarse los anuncios, sin que existiera un consentimiento previo válido.
En este sentido, la AEPD concluyó que TIGER MEDIA actúo como responsable del tratamiento, al ser quien explotaba la plataforma publicitaria, determinaba las finalidades para las que se utilizaban los datos (envío y medición de publicidad) y decidía los medios técnicos utilizados para el tratamiento de los datos (qué cookies se instalan y durante cuánto tiempo).
Por tanto, la autoridad rechaza que la empresa pueda trasladar toda la responsabilidad a los editores de las páginas web, al considerar que la propia plataforma define y controla el funcionamiento de las cookies.
Según la AEPD, los datos personales obtenidos a través de las cookies se trataban sin una base jurídica válida, al no haberse recabado el consentimiento previo de los usuarios y alega que no es aplicable el interés legítimo alegado por la empresa, que los usuarios no eran informados adecuadamente y que por tanto no existía una expectativa razonable de este tipo de tratamiento.
Finalmente, la AEPD apreció una doble infracción.
(i) Por un lado, consideró vulnerado el artículo 22.2 de la LSSI, al haberse instalado cookies publicitarias en los dispositivos de los usuarios sin su consentimiento previo. Y por otro, que los datos personales obtenidos a través de dichas cookies fueron tratados sin base jurídica válida, lo que supuso una infracción del artículo 6 del RGPD. Según la Agencia, la ausencia de consentimiento para la instalación de las cookies impide que el tratamiento posterior de los datos pudiera considerarse lícito.
(ii) Además, la AEPD apreció una segunda infracción por no disponer de un representante en la Unión Europea, pese a ofrecer servicios dirigidos a usuarios situados en España y otros Estados miembros.
La resolución fija inicialmente una sanción de 120.000 euros: 70.000 euros por la infracción del artículo 6 del RGPD, y de 50.000 euros por la infracción del artículo 27 del RGPD, por la falta de representante en la UE. Si bien quedó reducida a 72.000 euros aplicando las reducciones previstas legalmente.
Además de la multa, la AEPD ha ordenado a TIGER MEDIA acreditar la adopción de medidas necesarias para garantizar el cumplimiento de lo dispuesto en el artículo 6 RGPD, asegurar el cumplimiento de las obligaciones relativas al uso de cookies y designar un representante válido en la Unión Europea en el plazo establecido.