La Agencia Española de Protección de Datos (AEPD) a través del “Sistema de Información del Mercado Interior”, cuyo objetivo es favorecer la cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y el intercambio de información, ha cooperado con el Comisario de Protección de Datos y Libertad de Información de Berlín, Hamburgo (SA Berlín) en la resolución de una reclamación formulada por un interesado ante esta última. La reclamación en cuestión fue formulada contra una página web por falta de política de privacidad y política de cookies. Además, el reclamante denuncia también que “la entidad se niega a emitir una factura a menos que aporte un número de identificación fiscal”.
Analizados los hechos, la AEPD emite un proyecto de decisión donde propone un archivo del procedimiento, pues considera que la política de privacidad se adecuaba a lo dispuesto en el RGPD. No conforme con esta decisión, la autoridad de control de Berlín remitió a la AEPD un escrito poniendo de manifiesto que el proyecto de decisión estaba incompleto en base a las siguientes consideraciones: (i) que la política de privacidad no informa acerca de la base jurídica del tratamiento; (ii) que no se proporciona información acerca de la incrustación de cookies de terceros al usar la web y el usuario únicamente dispone de la opción de aceptarlas (incluso parece que son instaladas con carácter previo a su aceptación) derivando la deshabilitación al navegador; y finalmente, (iii) que el proyecto de decisión no hace referencia a la reclamación efectuada de que el comprador hubiera solicitado el número de identificación fiscal para emitir una factura.
De acuerdo con lo manifestado por la autoridad de control de Berlín, la política de privacidad en la página web, que está escrita en alemán, es de difícil lectura y su estructura es confusa. Contiene una gran cantidad de errores gramaticales y ortográficos y utiliza términos que no se corresponden con vocablos utilizados en el idioma alemán cotidiano, en el derecho alemán o en el RGPD (siendo, por tanto, completamente ininteligibles). Además, no existe información del derecho que asiste al interesado a oponerse al tratamiento de datos cuando este tenga como fin la mercadotecnia directa. Con base en lo anterior, la AEPD resuelve el presente procedimiento sancionador con la imposición a la entidad de varias sanciones por importe de 3.000, 1.000 y 2.000 euros, respectivamente, por la infracción de los artículos 5.1.a), 6, 12, 13 y 21.4 del RGPD.