AEPD: 20.000 € por tratar datos sexuales sin verificar edad

Un padre acude a la Agencia Española de Protección de Datos para denunciar algo muy concreto: su hijo de doce años ha entrado, sin ningún obstáculo, en una página de anuncios de prostitución. Catorce meses de investigación después, la AEPD cierra el expediente EXP202401598 (puede consultarse la RESOLUCIÓN completa en PDF) con una multa de 20.000 euros, repartida en cuatro infracciones distintas del RGPD, contra una persona física identificada como A.A.A., a la que la Agencia localiza mediante el cruce entre el registro de un dominio, la titularidad de una línea telefónica y el padrón municipal.

Una lectura apresurada despacharía el expediente como "otro caso de web para adultos sin avisos legales". Sería un error. Detrás de las cuatro infracciones hay tres preguntas que la propia Resolución no responde del todo y que conviene plantear con calma: qué significa tratar datos relativos a la vida sexual cuando ese dato surge de un filtro de búsqueda y no de un formulario; cómo debería articularse el artículo 83.3 RGPD cuando un mismo sitio web acumula cuatro infracciones; y qué sentido tiene hablar de una sanción "efectiva, proporcionada y disuasoria" cuando el sancionado es, a efectos prácticos, un fantasma administrativo.

Cuatro infracciones, un mismo sitio web, catorce meses de instrucción

La investigación arranca el 30 de noviembre de 2023, cuando un particular presenta una reclamación acompañada de capturas de pantalla. La AEPD la admite a trámite dos meses después y, el 13 de febrero de 2024, accede por primera vez al sitio identificado en el expediente como ***URL.1. En esa fecha, la única barrera de entrada consiste en una imagen de bienvenida con el texto "¿Tienes 18 años o más?" y dos botones, uno verde con "Sí" y otro rojo con "No"; pulsar el verde lleva directamente a un listado de anuncios de prostitución.

Trece meses más tarde, el 6 de marzo de 2025, los inspectores vuelven a entrar. La página ha cambiado de aspecto y, sobre todo, ha perdido aquel aviso: ya no hay mensaje de advertencia ni botones de "Sí" o "No". Cualquiera puede navegar directamente por un buscador con los filtros "categorías", "provincia", "ciudad", "zona" y "preferencias sexuales". Ese mismo día, los técnicos completan el proceso de registro como "visitante" o "anunciante" (que pide nombre, apellidos, teléfono y correo, sin mencionar en ningún momento qué se hará con esos datos) y revisan el "Aviso Legal" del sitio, que no identifica a ningún responsable ni describe ningún tratamiento.

Sobre esos hechos, la Resolución construye cuatro infracciones que conviene tener presentes desde el principio, porque el resto del análisis gira en torno a su combinación:

• Artículo 9 RGPD (categorías especiales de datos), tipificada en el artículo 83.5.a) RGPD: 6.000 euros.
• Artículo 13 RGPD (información al interesado), tipificada en el artículo 83.5.b) RGPD: 4.000 euros.
• Artículo 32 RGPD (seguridad del tratamiento), tipificada en el artículo 83.4.a) RGPD: 5.000 euros.
• Artículo 6.1 RGPD (licitud del tratamiento), tipificada en el artículo 83.5.a) RGPD: 5.000 euros.

Tres de las cuatro infracciones (la del artículo 9, la del artículo 13 y la del artículo 6.1) se califican como "muy graves" al amparo del artículo 83.5 RGPD, con un techo de veinte millones de euros o el cuatro por ciento del volumen de negocio global. La cuarta, la del artículo 32, se califica como "grave" conforme al artículo 83.4 RGPD, con un techo de diez millones o el dos por ciento. La AEPD suma las cuatro cantidades sin más operación aritmética: seis mil más cuatro mil más cinco mil más cinco mil, veinte mil euros. Sobre si esa suma simple es la forma correcta de aplicar el artículo 83 RGPD cuando las cuatro infracciones nacen del mismo sitio web, volveremos más adelante.

El filtro de "preferencias sexuales" y la frontera del artículo 9 RGPD

El fundamento jurídico tercero de la Resolución dedica varias páginas a algo que, leído por primera vez, puede sorprender: la AEPD considera que un simple filtro de búsqueda, la opción "preferencias sexuales" dentro del buscador de anuncios, constituye por sí mismo un tratamiento de datos de categoría especial en el sentido del artículo 9.1 RGPD, que prohíbe en principio el tratamiento de "datos relativos a la vida sexual o la orientación sexual de una persona física".

La lógica de la Agencia es la siguiente. El artículo 4.2 RGPD define "tratamiento" de forma deliberadamente amplia: incluye la estructuración y la organización de datos, no solo su recogida directa en un formulario. Si la web organiza su catálogo de anuncios permitiendo filtrarlos por "preferencias sexuales", está estructurando información sobre la vida sexual de las personas cuyos anuncios componen ese catálogo, y esa estructuración es, en sí misma, un tratamiento. Como ninguna de las nueve excepciones del artículo 9.2 RGPD aparece mencionada en la web, ni siquiera de forma implícita, el tratamiento queda prohibido sin matices. La AEPD remata el argumento con una frase que merece leerse con atención: como la página "no contiene referencia alguna al tratamiento de datos de categoría especial", "parecería" que el responsable "ni siquiera ha valorado la necesidad de contar con una excepción". No es solo que falte la excepción. Es que falta la pregunta.

Sustancialmente, el razonamiento es defendible y tiene un precedente comparado conocido. La autoridad noruega de protección de datos sancionó en 2021 a la aplicación de citas Grindr precisamente por estructurar y compartir con socios publicitarios información que revelaba la orientación sexual de sus usuarios, sin que mediara un consentimiento válido conforme al artículo 9.2.a) RGPD. La idea de fondo es la misma: cuando una plataforma convierte la orientación o las preferencias sexuales de las personas en un atributo operativo de su sistema, algo por lo que se puede filtrar, buscar o segmentar, está tratando datos de categoría especial, exista o no un campo de formulario donde alguien "introduzca" ese dato.

Dicho esto, la Resolución deja una laguna que conviene no pasar por alto: en ningún momento identifica con precisión de quién son los datos que se estructuran a través del filtro. El fundamento jurídico habla, indistintamente, de "los usuarios de la página, registrados o no" y de "las preferencias sexuales de los usuarios de la página web", como si se tratara de un colectivo homogéneo. Pero un sitio de anuncios de contactos tiene, como mínimo, dos poblaciones de interesados con intereses muy distintos: quienes publican los anuncios, cuyos datos personales (incluida su actividad y posiblemente su orientación sexual) quedan estructurados y expuestos públicamente a través del buscador, y quienes simplemente navegan y eligen un filtro, cuya elección en ese momento no es necesariamente un dato sobre su propia vida sexual, sino un criterio de búsqueda sobre la oferta de terceros.

La diferencia no es un matiz académico. Si el dato de categoría especial es el de quienes publican los anuncios, el artículo 9 RGPD opera sobre un conjunto identificable y relativamente estable de personas, y la estructuración mediante el buscador es el tratamiento más claro y más grave: convierte la orientación o la actividad sexual de esas personas en un criterio público de clasificación. Si, en cambio, lo que preocupa es la preferencia que selecciona quien navega, el tratamiento es mucho más débil (una elección efímera dentro de una sesión, normalmente sin vincularse a una identidad) y su encaje en el artículo 9.1 RGPD exigiría un esfuerzo argumental que la Resolución no llega a desarrollar.

Esta imprecisión no afecta al resultado del expediente: los hechos son, en su conjunto, lo bastante graves para sostener la infracción del artículo 9 RGPD bajo cualquiera de las dos lecturas. Pero sí debilita su valor como precedente para casos futuros. Cualquier plataforma de contactos, aplicación de citas o directorio de servicios que incorpore filtros de categorización por orientación, preferencia o práctica sexual (y son muchas) debería leer este expediente no como "un caso de web ilegal de prostitución", que es la lectura fácil, sino como una advertencia sobre el propio diseño del producto: la arquitectura de un buscador puede convertir, por sí sola, datos de terceros en datos de categoría especial, con independencia de la finalidad declarada del servicio.

La "ausencia total" de información: el artículo 13 como condición de posibilidad

El fundamento jurídico sexto aborda algo que, en apariencia, resulta más sencillo: ¿facilitaba la web la información del artículo 13 RGPD a quienes se registraban? La respuesta de la AEPD es tajante y emplea una expresión que aparece varias veces en la Resolución: "ausencia total". No se trata de una información incompleta, ni de un aviso de privacidad mal redactado o desactualizado. No hay nada.

El proceso de registro (con las opciones "visitante" o "anunciante") pide nombre, apellidos, teléfono y correo electrónico, valida el formato del teléfono y del correo, exige marcar una casilla de "¿Afirmas que tienes 18 años o más?" y muestra un recaptcha. En ningún momento de ese flujo aparece quién es el responsable del tratamiento, con qué finalidad se recogen esos datos, durante cuánto tiempo se conservarán o qué derechos puede ejercer la persona que se registra. Y la segunda capa de información que cabría esperar, el aviso legal del sitio, tampoco lo suple: no identifica al responsable ni hace referencia alguna a ningún tratamiento de datos personales.

La Resolución insiste en que el artículo 13 RGPD "no es una mera formalidad", y tiene razón, aunque por un motivo que merece desarrollarse algo más de lo que hace el propio texto. El artículo 13 no es solo, ni principalmente, un deber de cortesía informativa hacia el interesado. Es la condición de posibilidad de todo el capítulo III del RGPD, los artículos 12 a 22, que regulan los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad. Una persona registrada en ***URL.1 que quisiera ejercer, por ejemplo, su derecho de supresión se encuentra con que no sabe a quién dirigirse, porque el responsable no se identifica en ningún lugar del sitio. El derecho existe en abstracto, en el RGPD, pero frente a esta web concreta resulta inejercitable. Por eso la AEPD acierta al calificar esta "ausencia total" como un agravante autónomo dentro de la graduación del artículo 83.2.a) RGPD: no es solo que el interesado no sepa algo que le interesa saber, es que el resto de su estatuto jurídico bajo el RGPD queda, de hecho, en suspenso.

Conviene además situar esta infracción en el contexto del principio de responsabilidad proactiva del artículo 24 RGPD, que la propia Resolución invoca más adelante a propósito de la licitud del tratamiento. El artículo 24 exige al responsable no solo cumplir el Reglamento, sino poder demostrarlo. Una web que no dice quién es su responsable no solo incumple el artículo 13: hace imposible, desde el origen, cualquier ejercicio de responsabilidad proactiva, porque no hay un sujeto frente al que esa responsabilidad pueda predicarse. La infracción del artículo 13 RGPD no es, en este sentido, un defecto aislado de transparencia, sino el síntoma visible de la ausencia completa de gobernanza del tratamiento, algo que reaparecerá, con otro nombre, en el análisis del artículo 6.1 RGPD.

Seguridad por diseño y menores: la desaparición del aviso de edad

El fundamento noveno desarrolla el artículo 32 RGPD desde su enfoque característico: no exige medidas concretas predeterminadas, sino medidas apropiadas al riesgo que presenta cada tratamiento. Y aquí la Resolución hace algo poco habitual: convierte la propia evolución temporal del sitio web en el argumento central de la infracción.

El 13 de febrero de 2024, ***URL.1 mostraba al menos algo: una imagen de bienvenida con el aviso "si es menor de edad abandone de inmediato este sitio web" y dos botones de "Sí" y "No". Es un mecanismo puramente declarativo, que no verifica nada y se limita a preguntar, y que dicho sea de paso tampoco habría superado el estándar del artículo 32 RGPD aunque hubiera permanecido. Pero el 6 de marzo de 2025, trece meses después, ese aviso ha desaparecido por completo. No hay pantalla de advertencia, ni botones, ni fricción alguna: se navega directamente hacia el listado de anuncios y el buscador con el filtro de "preferencias sexuales".

La AEPD no se limita a constatar que, en ambas fechas, faltaba una medida adecuada de verificación de edad. Da un paso más y califica la eliminación del aviso, ocurrida durante el periodo de investigación, como "negligencia grave" a efectos del artículo 83.2.b) RGPD, producida "sin ningún tipo de justificación". El paso del tiempo no ha mejorado el cumplimiento del responsable: lo ha empeorado, y lo ha empeorado precisamente mientras la Agencia estaba mirando. Para cualquier responsable que se encuentre en mitad de una investigación abierta por la AEPD, la lección es directa: retroceder en las medidas existentes durante la instrucción no pasa inadvertido y se valora como un indicio autónomo de culpabilidad, independiente del incumplimiento de fondo.

El marco normativo que sostiene esta valoración conecta el artículo 32 RGPD con un eje que recorre transversalmente el RGPD y la LOPDGDD: la protección reforzada de los menores. El considerando 38 RGPD afirma que los niños merecen una protección específica de sus datos personales; el considerando 75 los menciona expresamente como colectivo vulnerable a efectos de riesgo; y el artículo 76.2.f) LOPDGDD convierte la afectación a los derechos de los menores en un criterio de graduación de la sanción. Ninguno de estos preceptos impone, por sí solo, instalar un sistema de verificación de edad. Lo que hacen, leídos en conjunto, es desplazar el centro de gravedad del análisis de riesgo: si un servicio se dirige exclusivamente a adultos, como reconoce el propio responsable de ***URL.1 al incluir el aviso original, el riesgo relevante a efectos del artículo 32 RGPD no es solo el de quienes accedan legítimamente, sino el riesgo, mucho mayor en términos de derechos fundamentales, de que accedan quienes no deberían.

De aquí se deriva una implicación práctica que la Resolución no formula de manera explícita pero que surge con naturalidad de su propio razonamiento: una casilla de autodeclaración de edad ("¿Tienes 18 años o más? Sí / No") no constituye, por sí sola, una medida del artículo 32 RGPD adecuada para un sitio con contenido para adultos, ni siquiera cuando está presente. Es exactamente el tipo de medida que, según el considerando 32 RGPD sobre el consentimiento, "el silencio, las casillas ya marcadas o la inacción no deben constituir". Trasladado a la verificación de edad, el principio es el mismo: una declaración no verificable no gestiona ningún riesgo, solo lo documenta. La diferencia entre el 13 de febrero de 2024 y el 6 de marzo de 2025 no es, en el fondo, la diferencia entre cumplimiento e incumplimiento del artículo 32 RGPD. Es la diferencia entre un incumplimiento visible y uno invisible.

La licitud que nunca llegó: por qué ni el contrato ni el consentimiento sirven

El fundamento duodécimo se ocupa de la pregunta más básica de todo el RGPD y, paradójicamente, la última que examina la Resolución: ¿con qué base jurídica del artículo 6.1 RGPD se recogían el nombre, los apellidos, el teléfono y el correo electrónico de quienes se registraban en ***URL.1?

La AEPD descarta, una por una, las dos bases que la naturaleza de la operación (abrir una cuenta de usuario) sugeriría de forma natural. El contrato del artículo 6.1.b) RGPD queda fuera porque, sencillamente, no hay elementos para hablar de un contrato: la web no identifica con quién se contrata, ni cuál es el objeto del servicio, ni qué condiciones lo rigen. No puede estarse ejecutando un contrato cuyas partes, objeto y condiciones son desconocidas para una de ellas.

El consentimiento del artículo 6.1.a) RGPD queda descartado por un motivo distinto y, en cierto modo, más interesante. La Resolución no afirma que el consentimiento recogido fuera insuficiente, deficiente o demasiado genérico, que sería el reproche habitual. Afirma que no existe ningún consentimiento, ni siquiera defectuoso. No hay casilla, ni texto, ni referencia alguna al tratamiento de los datos en todo el proceso de registro. La AEPD recuerda, citando el artículo 4.11 y el considerando 32 RGPD, que el consentimiento exige "una manifestación de voluntad libre, específica, informada e inequívoca", expresada mediante un acto afirmativo claro, y que ni el silencio ni la mera introducción de datos en un formulario pueden interpretarse como tal. Rellenar un campo con un nombre y un correo electrónico no equivale a decir "sí" a nada, porque nadie ha preguntado nada.

La diferencia entre estos dos escenarios (elegir mal la base jurídica frente a no tener ninguna) no es retórica, y conviene tenerla presente porque la práctica profesional suele tratar ambos supuestos como equivalentes bajo el cajón de sastre "falta de base legal". En el primer escenario, el responsable se ha planteado la pregunta jurídica y ha respondido de forma incorrecta: hay un error de calificación, pero hay un razonamiento detrás, y ese razonamiento puede haber generado documentación, cláusulas o registros de actividades de tratamiento, aunque defectuosos. En el segundo escenario, que es el de este expediente, no hay ninguna de esas cosas porque la pregunta nunca se formuló. La AEPD lo expresa con una frase que cierra el círculo abierto en torno al artículo 13: en la página web "no se hacía referencia a ninguna base legal y tampoco hay referencias al responsable, fines o condiciones en que se realiza el tratamiento". Las tres carencias (responsable, finalidad, base jurídica) son, en realidad, una sola: la ausencia de cualquier ejercicio, por mínimo que sea, de diseño jurídico del tratamiento antes de ponerlo en marcha.

Esto explica por qué la AEPD trata la infracción del artículo 6.1 RGPD como "muy grave" autónoma, tipificada igual que la del artículo 9, y no como una simple derivada de la falta de información del artículo 13. Son, en su razonamiento, dos infracciones distintas que comparten un mismo origen: el registro de usuarios sin ningún marco jurídico previo. Y es precisamente esa coincidencia de origen, junto con la del artículo 9, la que plantea la pregunta que la Resolución no llega a hacerse.

Cuatro multas, un mismo tratamiento: el problema del artículo 83.3 RGPD

Hasta aquí, cada infracción se ha analizado de forma aislada, que es exactamente como lo hace la propia Resolución: cuatro fundamentos jurídicos, cuatro tipificaciones, cuatro graduaciones y, al final, cuatro multas que se suman sin más. Pero el artículo 83.3 RGPD contiene una regla que rara vez se menciona en este tipo de expedientes y que, sin embargo, está pensada exactamente para casos como este: cuando un responsable infringe varias disposiciones del Reglamento "para las mismas operaciones de tratamiento o para operaciones de tratamiento vinculadas", el importe total de la multa no puede superar la cuantía especificada para la infracción más grave.

La pregunta, entonces, es si las cuatro infracciones de EXP202401598 nacen de las mismas operaciones de tratamiento o de operaciones vinculadas. Leyendo los hechos probados, al menos dos de ellas claramente sí: la infracción del artículo 6.1 RGPD (falta de base jurídica para el registro) y la infracción del artículo 13 RGPD (falta de información en ese mismo registro) describen, literalmente, el mismo proceso de registro de usuarios visto desde dos ángulos distintos. No hay dos tratamientos diferentes. Hay un tratamiento con dos defectos.

Esta pregunta no es teórica ni exclusiva de este expediente. A comienzos de 2026, el Tribunal Supremo admitió un recurso de casación de la AEPD precisamente sobre esta cuestión, en relación con la sanción a CaixaBank. La Audiencia Nacional había revisado una sanción de seis millones de euros, dos por infracción de los artículos 13 y 14 RGPD y cuatro por infracción del artículo 6 RGPD, y la redujo a dos millones aplicando lo que el propio tribunal denominó concurso medial: entendió que la falta de información había sido el medio para obtener un consentimiento viciado, de modo que ambas infracciones describían, en el fondo, una sola conducta, y que la infracción del artículo 6, la más grave, debía absorber a la del artículo 13. La AEPD recurrió esa reducción ante el Tribunal Supremo sosteniendo que el artículo 83.3 RGPD no impone necesariamente una única sanción cuando hay concurso medial, sino solo un techo conjunto. El Alto Tribunal admitió el recurso para fijar doctrina sobre, exactamente, esa cuestión.

Da igual qué responda finalmente el Tribunal Supremo. Lo relevante para EXP202401598 es que, en el momento en que se dicta esta Resolución, la propia AEPD tenía pendiente ante el Tribunal Supremo la pregunta de cómo debe aplicarse el artículo 83.3 RGPD cuando la falta de información y la falta de base jurídica conviven en el mismo tratamiento. Y, sin embargo, la Resolución que aquí se comenta no contiene una sola línea sobre el artículo 83.3 RGPD, ni sobre si las infracciones de los artículos 6.1 y 13 constituyen un concurso medial, real o de normas. Simplemente las trata como compartimentos estancos: cada una con su fundamento, su tipificación, su graduación y su importe, sumados al final sin operación adicional.

La infracción del artículo 9 RGPD ocupa una posición algo distinta. Si se acepta la primera de las dos lecturas propuestas más arriba, que el dato de categoría especial es el de quienes publican los anuncios, estructurado por el buscador, entonces esta infracción describe una operación de tratamiento diferente de la del registro de usuarios: no es lo mismo abrir una cuenta que publicar y categorizar un catálogo de anuncios. Podría tratarse de un tratamiento vinculado en el sentido del artículo 83.3 RGPD, pero conceptualmente separable del registro, lo que haría más defendible mantenerlo como infracción autónoma. El artículo 32 RGPD, por su parte, opera de forma transversal a ambos tratamientos (afecta tanto al registro como al acceso general al sitio) y su clasificación como infracción "grave", con un techo menor, hace que su peso relativo en cualquier ejercicio de absorción sea, en la práctica, secundario.

Conviene ser honestos sobre el alcance real de esta crítica en este expediente concreto. Aunque se aplicara la doctrina de la absorción a las infracciones de los artículos 6.1 y 13, reduciendo los nueve mil euros conjuntos a los cinco mil de la infracción más grave, el ahorro para A.A.A. sería de cuatro mil euros sobre un total de veinte mil. Nadie va a recurrir esta Resolución ante la Audiencia Nacional invocando el artículo 83.3 RGPD por cuatro mil euros, y la cifra final sigue estando, en cualquier caso, muy por debajo de cualquier techo legal aplicable. Pero el valor de esta observación no está en el importe de este expediente, sino en el método. Las Directrices 04/2022 del Comité Europeo de Protección de Datos sobre el cálculo de las multas administrativas dedican un apartado específico a esta cuestión y recomiendan a las autoridades de control razonar de forma explícita sobre si las infracciones detectadas derivan de las mismas operaciones de tratamiento antes de sumar sus importes. Si la AEPD no incorpora ese razonamiento ni siquiera en expedientes de veinte mil euros, donde el resultado práctico apenas varía, resulta difícil esperar que lo haga de forma sistemática en expedientes de varios millones, donde sí varía, y mucho. EXP202401598 es, en este sentido, un espejo pequeño de un problema grande que el Tribunal Supremo tiene ahora sobre la mesa.

El responsable fantasma: identificación, notificación y los límites de la disuasión

El artículo 83.1 RGPD exige que las multas administrativas sean, en cada caso, efectivas, proporcionadas y disuasorias. Es una de esas fórmulas que aparecen citadas en casi todas las resoluciones de la AEPD, normalmente como preámbulo casi automático antes de entrar en la graduación de la sanción. En EXP202401598 merece una lectura distinta, porque el propio expediente documenta, sin pretenderlo, hasta qué punto esos tres adjetivos dependen de algo que el RGPD presupone pero no garantiza: que el responsable sancionado sea alguien a quien se pueda, efectivamente, sancionar.

El itinerario que sigue la AEPD para llegar hasta A.A.A. ocupa buena parte de los antecedentes de la Resolución y merece reconstruirse, porque funciona como un pequeño manual de cómo investigar la titularidad de un sitio web cuando su responsable no se identifica. Primero, una consulta de titularidad del dominio a través de una herramienta de whois (identificada en el expediente como ***URL.2) revela que el ASN del dominio corresponde a Hostinger International Limited, proveedor de alojamiento al que la AEPD envía un requerimiento de información que queda sin respuesta. Segundo, el registrador del dominio resulta ser name.com, gestionado por Identity Digital Inc., que sí responde y aporta un nombre de contacto (identificado en la Resolución como ***EMPRESA.1), una dirección y un teléfono. Tercero, el requerimiento enviado a esa dirección es devuelto por "dirección incorrecta". Cuarto, la AEPD acude al operador del número de teléfono, XFERA Móviles, que identifica a su titular como A.A.A., con un número de pasaporte concreto. Quinto, un requerimiento enviado a la dirección que consta en el padrón municipal para esa persona y ese pasaporte es devuelto por "Ausente". Sexto, la Agencia Tributaria, consultada sobre el domicilio fiscal de A.A.A., responde que no dispone de datos.

De seis intentos de contacto o verificación, cuatro fracasan: Hostinger no responde, la dirección de ***EMPRESA.1 es incorrecta, A.A.A. está "ausente" en su domicilio del padrón, y la Agencia Tributaria no tiene datos fiscales. El expediente avanza únicamente gracias al quinto eslabón, el operador telefónico, que es, de los seis, el único dato sin relación directa con la titularidad del sitio web: A.A.A. queda identificado porque su número de teléfono figuraba como contacto del dominio, no porque exista ningún registro corporativo o fiscal que lo vincule a ***URL.1. Si XFERA Móviles no hubiera podido o querido responder, o si el número hubiera correspondido a un operador extranjero o a una línea prepago sin identidad asociada, es razonable pensar que el expediente habría terminado archivado por imposibilidad de identificar al responsable.

Y, aun con la identificación lograda, el final del itinerario resulta revelador. El acuerdo de inicio del procedimiento se notifica conforme a la Ley 39/2015, y la Resolución hace constar que esa notificación fue "rechazada por el reclamado" el 25 de julio de 2025. El reclamado llega, por tanto, a tener constancia del procedimiento en algún momento, y opta por rechazar la notificación, lo que activa las reglas de notificación por rechazo de la Ley 39/2015 y permite a la AEPD continuar sin que se presenten alegaciones. El acuerdo de inicio se convierte, por aplicación del artículo 64.2.f) LPACAP, en propuesta de resolución, y la Resolución impone la multa de veinte mil euros y ordena, además, que A.A.A. acredite en tres meses haber adoptado medidas para cumplir con los artículos 6.1, 9, 13 y 32 RGPD.

La pregunta que ningún fundamento jurídico de la Resolución formula, porque no le corresponde formularla, es qué ocurre si A.A.A. hace con esta Resolución lo mismo que hizo con el acuerdo de inicio: rechazarla, o simplemente ignorarla. Los artículos 83.5 y 83.6 RGPD permiten abrir un nuevo procedimiento sancionador por incumplir las medidas correctoras, pero ese nuevo procedimiento partiría exactamente del mismo punto: un responsable identificado a través de un teléfono, sin domicilio fiscal conocido, ausente en su padrón y alojado en infraestructura extranjera que no responde a los requerimientos de la autoridad española. El RGPD construye su sistema sancionador asumiendo, casi siempre de forma implícita, un responsable corporativo, con domicilio social, representación legal y activos localizables, frente al que una multa y un requerimiento resultan efectivamente disuasorios porque hay algo que perder y alguien a quien reclamárselo. Cuando el responsable es una persona física que opera tras un dominio registrado en otra jurisdicción, un alojamiento que no coopera y un domicilio del padrón vacío, los tres adjetivos del artículo 83.1 RGPD (efectiva, proporcionada, disuasoria) dejan de ser un estándar de control y pasan a ser, en buena medida, una aspiración.

Verificación de edad después de EXP202401598: de la casilla declarativa a la cartera digital

Si algo queda claro de los apartados anteriores es que ni la casilla de autodeclaración de 2024 ni su desaparición en 2025 resuelven el problema de fondo: cómo verificar, de forma efectiva y proporcionada, la edad de quien accede a un contenido para adultos, sin convertir esa verificación en un tratamiento de datos personales todavía más sensible que el que se pretende evitar. La Resolución ordena a A.A.A. acreditar en tres meses la adopción de medidas conforme al artículo 32 RGPD, pero no especifica cuáles, porque no le corresponde hacerlo: el RGPD es, deliberadamente, neutral en cuanto a la tecnología.

Esa neutralidad convive, sin embargo, con un marco regulador español que, para sitios de un determinado tipo, sí resulta prescriptivo, y que sitúa este expediente en una perspectiva incómoda. La Ley General de Comunicación Audiovisual (Ley 13/2022) impone a las plataformas de intercambio de vídeos de ámbito europeo, en su artículo 89.1.e), la obligación de establecer un sistema de verificación de edad efectivo para impedir el acceso de menores a contenidos pornográficos, bajo la supervisión de la CNMC. En 2024, la CNMC sancionó a una empresa titular de varias webs pornográficas con más de 308.000 euros por el incumplimiento de esa obligación, calificando los hechos como siete infracciones muy graves de carácter continuado. La propia AEPD, en un procedimiento anterior contra esa misma empresa, ya había impuesto una multa de 30.000 euros por no adoptar medidas diligentes para impedir el acceso de menores, al amparo del artículo 8 LOPDGDD.

La comparación resulta incómoda porque el hecho sancionado es, sustancialmente, el mismo en los tres casos: un sitio con contenido para adultos, accesible por menores, sin un sistema de verificación de edad que merezca ese nombre. Pero el orden de magnitud de la respuesta sancionadora depende casi por completo de cómo se clasifique el sitio. Si es una plataforma de intercambio de vídeos de ámbito europeo en el sentido de la Ley 13/2022, la CNMC puede imponer sanciones de varios cientos de miles de euros por infracciones continuadas. Si, como ***URL.1, es un directorio de anuncios clasificados con un buscador, no, en sentido estricto, una plataforma de vídeos, esa vía sancionadora queda fuera de juego, y lo que queda es el artículo 32 RGPD, con una graduación que en este expediente se queda en cinco mil euros. La misma ausencia de verificación de edad, la misma exposición de un menor a contenido sexual, y dos órdenes de magnitud de diferencia en la respuesta, en función de una calificación sectorial que probablemente ningún responsable de este tipo de sitios se ha planteado nunca.

En este contexto cobra sentido el desarrollo, en marcha desde 2025, de un sistema europeo de verificación de edad basado en las futuras carteras digitales de identidad que el Reglamento eIDAS2 obliga a poner en marcha en todos los Estados miembros antes de finales de 2026. España, junto con Francia, Italia, Grecia y Dinamarca, participa en el piloto de la Comisión Europea de una solución que permite acreditar que una persona es mayor de edad sin revelar ningún otro dato, mediante entidades de verificación separadas de la plataforma, de forma que ni el sitio web ni el verificador puedan vincular la verificación con la identidad del usuario. La aplicación española, conocida como Cartera Digital Beta y desarrollada junto con la Fábrica Nacional de Moneda y Timbre y la propia AEPD, apunta precisamente a convertirse en esa solución de referencia.

Si ese sistema llega a consolidarse como el estándar de facto frente al que la AEPD valore si una medida de verificación de edad resulta apropiada al riesgo en el sentido del artículo 32 RGPD, el resultado sería interesante: una infraestructura pensada inicialmente para la Ley 13/2022 y los grandes servicios de vídeo terminaría siendo, por la vía del artículo 32 RGPD, el listón también para directorios de anuncios como ***URL.1, cerrando la brecha de magnitud descrita en el párrafo anterior sin necesidad de resolver primero la pregunta, mucho más espinosa, de qué es exactamente una plataforma de intercambio de vídeos de ámbito europeo. Para A.A.A., o para cualquiera en su misma situación a partir de 2026, la pregunta práctica empieza a tener una sola respuesta posible, y EXP202401598 documenta, sin saberlo, a la última generación de sitios que podrá seguir formulándola sin coste.

Lo que un jurista debería llevarse de este expediente

Para quien deba asesorar sobre el diseño o la auditoría de plataformas con registro de usuarios, catálogos clasificables o contenido restringido por edad, EXP202401598 ofrece, más allá de su anécdota, una lista de comprobación con implicaciones que trascienden el caso:

• Un filtro de búsqueda que clasifica perfiles, anuncios o contenidos por orientación, preferencia o práctica sexual trata datos de categoría especial del artículo 9 RGPD, exista o no un campo de formulario donde alguien "introduzca" ese dato.
• La ausencia total de información sobre el responsable y el tratamiento, tanto en el registro como en el aviso legal, se valora como agravante autónomo del artículo 13 RGPD, distinto y más grave que una información simplemente incompleta.
• Una casilla de autodeclaración de mayoría de edad no constituye, por sí sola, una medida adecuada del artículo 32 RGPD para servicios con contenido para adultos, ni siquiera cuando está presente.
• Retroceder en las medidas de seguridad existentes durante una investigación abierta de la AEPD se valora como negligencia grave independiente, al margen del incumplimiento de fondo.
• No tener ninguna base del artículo 6.1 RGPD, frente a tener una base incorrectamente elegida, constituye una infracción "muy grave" autónoma y se gradúa de forma diferenciada.
• La articulación del artículo 83.3 RGPD ante varias infracciones derivadas del mismo tratamiento sigue sin resolverse en la práctica habitual de la AEPD, mientras el Tribunal Supremo tiene pendiente fijar doctrina al respecto a raíz del caso CaixaBank.
• La clasificación sectorial de un sitio web, RGPD frente a Ley 13/2022, determina hoy el orden de magnitud de la sanción por la misma ausencia de verificación de edad, una brecha que las futuras carteras digitales de identidad podrían cerrar antes de que lo haga cualquier reforma legal.