La infracción anterior a la infracción: el artículo 25 del RGPD como multiplicador de responsabilidad

El artículo 25 del RGPD obliga a integrar la privacidad en el diseño antes de que el sistema procese ningún dato. Los casos Vueling PS/00300/2019 e Iberia, confirmado por la Audiencia Nacional en sentencia de 17 de junio de 2024, releídos bajo ese principio.

Sunt mala quae libas, ipse venena bibas.

La Acusación

Los expedientes anteriores de este archivo documentan infracciones que ocurren durante el funcionamiento de una web: cookies que se instalan antes del consentimiento, datos que se transfieren a servidores fuera del EEE, formularios que capturan más de lo necesario, plugins que abren vulnerabilidades mientras el técnico busca el parche.

Todas esas infracciones comparten una característica que ninguna de las resoluciones que las sancionan menciona expresamente: estaban incorporadas en el sistema antes de que el primer visitante cargara la primera página. No son errores de operación. Son errores de diseño. Y el RGPD tiene un artículo específico para eso.

El artículo 25 del RGPD —"Protección de datos desde el diseño y por defecto"— establece que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas "tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento". La obligación no empieza cuando la web recibe su primera visita. Empieza cuando alguien decide qué arquitectura va a tener esa web, qué componentes va a instalar y qué conexiones externas va a generar.

El artículo 83 del RGPD tipifica el incumplimiento del artículo 25 como infracción sancionable con multas de hasta 10 millones de euros o el 2% del volumen de negocio global anual. No es un artículo programático. Es una obligación con consecuencias económicas, que aplica —según la Guía de Privacidad desde el Diseño de la propia AEPD— a todos los responsables del tratamiento "con independencia de su tamaño, el tipo de datos tratados o la naturaleza del tratamiento".

El Cuerpo del Delito

El primer caso: Vueling PS/00300/2019

El 1 de octubre de 2019, la AEPD dictó la Resolución PS/00300/2019 contra Vueling Airlines, S.L. Primera sanción en España por incumplimiento de la normativa de cookies. Multa de 30.000 euros —reducida a 18.000 por reconocimiento de responsabilidad y pago voluntario.

Los hechos que la inspección documentó son precisos. Al acceder a la web de Vueling, el sistema mostraba un banner que informaba de la existencia de cookies para recordar preferencias, elaborar estadísticas y ofrecer publicidad basada en hábitos de navegación. Ese banner no ofrecía ninguna opción para rechazarlas: si el usuario continuaba navegando, el sistema interpretaba ese comportamiento como consentimiento. No existía ningún panel de configuración que permitiera gestión granular. Si el usuario quería eliminar las cookies ya instaladas, el sistema le remitía a las opciones del navegador —mecanismo que la AEPD calificó como insuficiente y "complementario, no sustitutivo".

La infracción que la AEPD sancionó fue el artículo 22.2 de la LSSI. Lo que la resolución no dijo —no porque no fuera aplicable— es que el sistema descrito no podía haber cumplido ese artículo en ninguna circunstancia, porque fue diseñado sin contemplar la posibilidad técnica de que el usuario rechazara las cookies. No había un botón de rechazo porque nadie construyó ese botón. No había panel de configuración porque nadie lo integró en el diseño. La infracción no nació en el momento en que el primer usuario aceptó implícitamente unas cookies que no podía rechazar. Nació en el momento en que alguien decidió cómo iba a funcionar ese sistema y no incorporó la opción de rechazo.

Ese momento —la decisión de diseño— es exactamente el que regula el artículo 25 del RGPD.

El segundo caso: Iberia, confirmado por la Audiencia Nacional el 17 de junio de 2024

Vueling e Iberia son empresas del mismo grupo corporativo, IAG. Cuando la AEPD sancionó a Vueling en octubre de 2019, la infracción, la resolución y la cuantía se hicieron públicos. Iberia, con acceso a esa información dentro del mismo grupo, continuó operando con un sistema de cookies estructuralmente idéntico.

En octubre de 2019 —el mismo mes de la sanción a Vueling— un usuario presentó una reclamación ante la AEPD porque la web de Iberia "no le daba la opción de rechazar las cookies" y le decía que tenía que aceptarlas para seguir navegando. La AEPD comunicó la denuncia a Iberia en noviembre de 2019. La aerolínea respondió alegando que estaba "trabajando en la adaptación de su política de cookies" y que su página web ya cumplía el RGPD. Las inspecciones de la AEPD, realizadas con posterioridad, revelaron que la información del banner seguía siendo imprecisa, poco transparente e inteligible, y que el sistema no permitía rechazar las cookies desde la primera capa: la opción de rechazo, si existía, exigía configuración granular uno a uno, sin botón de rechazo global.

La AEPD impuso una sanción de 30.000 euros mediante resolución de febrero de 2021. Iberia recurrió ante la Audiencia Nacional, alegando que a fecha de 30 de enero de 2020 su web ya cumplía la normativa. La sentencia de la Sala de lo Contencioso-Administrativo, dictada el 17 de junio de 2024 por las magistradas Lourdes Sanz, María Nieves Buisan y Begoña Fernández, desestimó el recurso y condenó en costas a la aerolínea.

El razonamiento del tribunal es el que convierte este caso en doctrina para el argumento del artículo 25: las magistradas constataron que Iberia no modificó su web hasta que recibió la comunicación de incoación del expediente sancionador. El esfuerzo posterior —la modificación que la aerolínea presentó como prueba de cumplimiento— no tuvo ningún valor probatorio porque no existía en el momento de la infracción. La Audiencia Nacional estableció que la sanción era "ponderada y proporcionada a la gravedad de los hechos, sin que se aprecien razones que justifiquen su minoración".

Traducido al principio que el artículo 25 establece: el sistema se modificó cuando llegó la inspección, no cuando se diseñó. Y el artículo 25 no protege al titular que corrige el sistema al recibir la inspección. Protege al titular que no necesita corregirlo porque lo diseñó correctamente desde el principio.

Lo que el artículo 25 exige antes de que el sistema exista

Las Directrices 4/2019 del Comité Europeo de Protección de Datos sobre el artículo 25, en versión definitiva de 2020, establecen que el responsable del tratamiento debe poder acreditar que incorporó las medidas oportunas en el diseño para que los principios de protección de datos fueran efectivos desde el inicio. No es suficiente con que el sistema funcione correctamente una vez desplegado. Es necesario demostrar que la protección de datos fue considerada antes de que el sistema procesara ningún dato.

La obligación tiene dos dimensiones que el considerando 78 del RGPD articula con claridad:

Privacidad desde el diseño: integrar la protección de datos en el momento de diseñar el sistema, no añadirla posteriormente como capa correctiva.

Privacidad por defecto: garantizar que el estado inicial del sistema —antes de que el usuario pulse ningún botón, antes de que acepte o rechace nada— sea el estado de mínimo tratamiento de datos posible. No el estado de máximo tratamiento pendiente de rechazo.

El caso Vueling ilustra la segunda dimensión con precisión clínica: el estado inicial del sistema era cookies activas, sin posibilidad de rechazo. El estado por defecto era el de máximo tratamiento. El artículo 25.2 del RGPD exige exactamente lo contrario: que por defecto solo sean objeto de tratamiento los datos estrictamente necesarios para la función declarada, sin ninguna acción requerida del usuario para limitar ese tratamiento.

El caso Iberia ilustra la primera: el sistema que se corrige al llegar la inspección es un sistema que no fue diseñado con la protección incorporada. Y el tribunal que confirma la sanción después de esa corrección convierte ese hecho en precedente: la modificación posterior no extingue la responsabilidad por el diseño deficiente previo.

Los expedientes anteriores de este archivo releídos bajo el artículo 25

Vueling e Iberia son los casos más explícitos porque la conexión entre diseño deficiente e infracción es directa y documentada judicialmente. Pero el mismo principio recorrer los expedientes anteriores de este archivo.

Las cookies que el expediente PS/00040/2024 —Motorpasión— documentó activas antes de cualquier interacción del usuario no eran el resultado de una configuración incorrecta posterior al despliegue. Eran el resultado predecible de incrustar un reproductor de vídeo de terceros sin evaluar, en el momento del diseño, qué datos generaría ese componente en el estado inicial de la página. La privacidad por defecto exige que ese estado inicial sea el de mínimo tratamiento. Un embed que dispara cookies en el momento en que la página carga no cumple esa condición, y no la cumplía desde el primer día.

Los plugins con vulnerabilidades documentadas en su historial CVE que forman el cuerpo del delito del Expediente I de este archivo fueron instalados sin que nadie evaluara ese historial en el momento de determinar los medios de tratamiento. El artículo 25.1 del RGPD exige que el responsable tenga en cuenta "el estado de la técnica" en ese momento. Un plugin con vulnerabilidades publicadas no supera esa evaluación, y no la supera desde el momento de su instalación.

Las transferencias internacionales de datos que el Expediente IV documentó con sentencias firmes son el resultado de decisiones de diseño: alguien eligió una fuente tipográfica alojada en un CDN americano, un mapa de un proveedor con sede en EE. UU., un sistema de reservas con infraestructura fuera del EEE. Cada una de esas decisiones se tomó en el momento de determinar los medios de tratamiento. Ninguna fue evaluada bajo el principio de minimización de transferencias que el artículo 25 impone.

La corrección que llega con la inspección no es cumplimiento. Es la prueba de que el sistema nunca fue diseñado para cumplir. El artículo 25 del RGPD no sanciona lo que el sistema hizo mal en producción. Sanciona la decisión de construirlo sin incorporar la protección desde el origen. Vueling lo ilustró en 2019. Iberia lo confirmó ante la Audiencia Nacional en 2024. Los cinco años que separan ambas sentencias no produjeron ningún cambio en la arquitectura de decisión que generó las dos infracciones.

La Sentencia

La AEPD no invocó el artículo 25 en ninguna de las resoluciones que forman parte de este archivo. Hay razones procesales para ello: demostrar el incumplimiento del artículo 22.2 de la LSSI es más directo y produce la misma sanción en menos tiempo. Pero el artículo 25 opera de forma distinta al resto del RGPD: no es solo una base adicional para sancionar. Es un criterio para graduar la gravedad de las infracciones que ya existen.

El artículo 83.2 del RGPD establece que, al graduar la cuantía de cualquier sanción, se tendrá en cuenta "el grado de responsabilidad del responsable del tratamiento, habida cuenta de las medidas técnicas u organizativas aplicadas". Un responsable que puede demostrar que evaluó las implicaciones de privacidad en el momento del diseño y tomó decisiones documentadas parte de una posición radicalmente distinta ante una inspección que uno que adoptó el sistema estándar de mercado sin ninguna evaluación previa.

Lo que el caso Iberia añade, después de la sentencia de 2024, es algo que antes era solo una interpretación jurídica: el tribunal que confirma la sanción después de que el sistema haya sido corregido establece que la corrección no es una circunstancia atenuante si ocurrió al recibir la notificación del expediente. El sistema que debía estar bien diseñado desde el principio no recupera la conformidad porque se corrigió cuando ya era tarde.

La pregunta que el artículo 25 introduce no es "¿qué falló?". Es "¿qué decisión tomaste antes de que pudiera fallar, y puedes demostrarlo?". En la mayoría de webs corporativas construidas sobre la pila tecnológica estándar del mercado, la respuesta honesta es que no se tomó ninguna: el sistema se instaló porque era el estándar, con las configuraciones por defecto que venían de fábrica, sin ningún documento que acredite que alguien evaluó sus implicaciones sobre los datos de los visitantes antes de ponerlo en producción.

Esa ausencia de decisión documentada no es inocua. Es, en términos del artículo 25, la infracción que precede a todas las demás.

El Cuervo es el archivo de diagnóstico de PRIBECY_.