El reclamante denunció ante la Agencia Española de Protección de Datos que una empresa que comercializa placas de matrícula de vehículos carecía de las medidas de seguridad para proteger los datos personales como (HTTPS) y que carecía de información respecto al tratamiento de los datos personales, su finalidad y el periodo de retención de los mismos.
La investigación de la página web llevada a cabo por la AEPD se ha centrado en tres partes:
-La web no contaba con el protocolo de seguridad necesario, posibilitando que otros usuarios puedan interceptar la información que se transmite al no estar encriptada dicha información. Para adquirir un juego de placas, los usuarios deben introducir sus datos personales en la hoja de pedido: nombre y apellidos, DNI, matrícula de vehículo y número de bastidor, junto con una imagen escaneada del permiso de circulación del vehículo, el DNI y el justificante de pago.
-La Política de Privacidad hacía referencia a la derogada LOPD 15/1999, sin haber sido adaptada a la nueva normativa vigente sobre protección de datos de carácter personal.
-La Política de Cookies no contiene ningún tipo de banner informativo en la primera capa que proporcione información genérica sobre la instalación de las cookies en el equipo del usuario y la segunda capa no se proporciona información suficiente, ya que no se indica la identidad y las características de cookies cookies propias que se instalan, ni el tiempo de permanencia en el dispositivo del usuario ni de las cookies de terceros. Igualmente, tampoco existe posibilidad de rechazar las cookies.
En este sentido, la AEPD sanciona con 3.000 euros a la empresa por infracción de los artículos 32 y 13 del RGPD respecto de la política de seguridad (1.000 euros) y política de privacidad (1.000 euros), así como por la infracción del artículo 22.2 de la LSSI respecto a la política de cookies (1.000 euros).