EXP.

ED 29450
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
C/JORGE JUAN, 6
28001 MADRID

Sevilla, a 03 de diciembre de 2018

Muy Sres. Nuestros:

La Asociación de Consumidores y Usuarios en Acción –FACUA, sobre la base de la

capacidad legal del artículo 24 del Real Decreto-Legislativo 1/2007, de 16 de noviembre,
que aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y
Usuarios y otras leyes complementarias, por la presente, ante este Organismo
respetuosamente comparece y como mejor proceda se dirige al mismo con base en lo
siguiente:

Presentar DENUNCIA contra la plataforma CHANGE.ORG, en base a los

siguientes HECHOS Y FUNDAMENTOS DE DERECHO:

HECHOS

PRIMERO.- Que desde FACUA hemos podido comprobar que la plataforma web
CHANGE.ORG ha venido presentando una irregularidad en el funcionamiento de su página
web por la cual ha podido suplantarse la identidad de cualquier persona que estuviera dada
de alta en CHANGE.ORG .

Así, bastaba con entrar en cualquiera de las peticiones abiertas en CHANGE.ORG e

introducir una dirección de correo electrónico que estuviera vinculada a un usuario inscrito
en su plataforma. Si el sistema reconocía la existencia de dicho correo, el suplantador podía
conocer su nombre, apellidos y localidad de residencia con sólo pulsar el botón en el que
se invitaba a iniciar sesión o entrar en cualquier otra petición.

Además, al haber reconocido el correo electrónico introducido, la plataforma daba por válida
la firma de la petición, con lo que pasaba a hacer público que el titular de dicha cuenta de
correo la había firmado. Asimismo, también pasaba a publicar el comentario al respecto de
la petición que el suplantador hubiera decidido realizar, que después aparecería destacado
en la sección “razones para firmar”.

SEGUNDO.- Que todo lo comentado ha conllevado que CHANGE.ORG diese por válidas
e hiciese públicas las firmas sin necesidad de que el titular de la dirección de correo
electrónico validase que efectivamente había firmado y, en su caso, comentado una
petición.

Así, desde FACUA hemos podido comprobar que la posible víctima de una suplantación
recibía un correo electrónico de CHANGE.ORG de la misma manera que lo recibía
cualquier persona que, logueada en la web, firmaba una petición. En ese mensaje, un texto
de reducido tamaño indicaba: “¿No has firmado tú esta petición? Haz clic aquí para eliminar
tu firma de la petición”. Este funcionamiento de CHANGE.ORG puede implicar que, en
primer lugar, la víctima no viese ese correo, ya que es obvio que muchos usuarios no abren
todos los mensajes que reciben de CHANGE.ORG y, en segundo lugar, que la firma se
publicaba antes de que la persona suplantada recibiese ese correo electrónico, por lo que
aunque pudiera realizar alguna clase de acción para actuar contra esta suplantación de su
identidad, mientras CHANGE.ORG solucionaba dicha suplantación la identidad de la
persona suplantada aparecía asociada a una campaña concreta de esta página web que
puede asociarle a posicionamientos ideológicos concretos, con todo lo que ello puede
suponer.

Como prueba de lo indicado, adjuntamos acta de requerimiento notarial de fecha 20

de noviembre de 2018, en la que se recoge el proceso electrónico descrito y como
dicho procedimiento facilita que la identidad de un usuario pueda ser asociada a una
petición concreta de CHANGE.ORG sin su conocimiento y autorización.

TERCERO.- Que ante los hechos que pudimos constatar desde esta asociación de
consumidores y usuarios, nos pusimos en contacto con responsables de CHANGE.ORG
con el propósito de informarles de lo ocurrido para que, por un lado, realizasen los cambios
técnicos necesarios para evitar que lo descrito pudiera continuar ocurriendo y, por otro lado,
para que avisaran a todos los usuarios que hubieran podido ser víctimas de esta clase de
suplantación y para que retirasen de forma inmediata los datos personales relativos al
apoyo y comentarios de peticiones por parte de aquellos usuarios que apareciesen como
firmantes de las mismas sin que lo hubiesen autorizado de manera expresa, sino que su
firma y comentario se hubiese producido tras la mera introducción de su dirección de correo
electrónico en CHANGE.ORG, sin una contraseña que verificase que no se trataba de una
suplantación.

CUARTO.- Que ante el requerimiento que FACUA formuló a responsables de

CHANGE.ORG hemos recibido como respuesta que han procedido a realizar cambios
informáticos de su plataforma, a saber:

 Que el nuevo usuario que firme una petición no pueda registrar su firma sin una
verificación.
 Que el usuario existente que firme una petición no pueda registrar su firma sin una
verificación.
 Han introducido medidas para que cualquier usuario existente deba verificar su
cuenta para iniciar una petición.
 Han introducido medidas para que cualquier petición iniciada por un nuevo usuario
requiera verificación.

Sin embargo, a pesar de las modificaciones que CHANGE.ORG asegura que ha llevado a
cabo en su plataforma, no aceptan la petición de esta asociación de consumidores de
comunicar lo ocurrido a todos y cada uno de los posibles usuarios de CHANGE.ORG
fectados, ni aceptan retirar todas aquellas firmas y comentarios que pudieran
haberse vinculado a una persona concreta sin su autorización.

FUNDAMENTOS DE DERECHO

PRIMERO.- Que ante todos los Hechos relatados, debemos comenzar indicando que el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE, establece en el apartado primero su artículo 6 que “el tratamiento solo será lícito
si se cumple al menos una de las siguientes condiciones: a) el interesado dio su
consentimiento para el tratamiento de sus datos personales para uno o varios fines
específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas precontractuales; c)
el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales
del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento
de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos
al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de
intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en particular
cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de
aplicación al tratamiento realizado por las autoridades públicas
en el ejercicio de sus funciones”.

Asimismo, el artículo 7 del Reglamento (UE) 2016/679 recoge en su primer apartado que
“cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá
ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”.

Por otro lado, el artículo 32 del Reglamento (UE) 2016/679 recoge en su apartado primero
que “1. teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza,
el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas físicas, el responsable
y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre
otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar
la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los
sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el
acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un
proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

Igualmente, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de

Datos de Carácter Personal refleja en su primer apartado que “el responsable del fichero,
y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole
técnica y organizativas necesarias que garanticen la seguridad de los datos de
carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o
natural”.

SEGUNDO.- Que el Reglamento (UE) 2016/679 indica en el apartado primero de su artículo

9 que “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o
racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,
y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera
unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o
las orientación sexuales de una persona física”.

En el mismo sentido, el apartado segundo del artículo 7 de la Ley Orgánica 15/1999, de 13

de diciembre, de Protección de Datos de Carácter Personal contempla que “sólo con el
consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos
de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se
exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los
datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos
precisará siempre el previo consentimiento del afectado”.

Si tenemos en cuenta que los servicios que presta la plataforma CHANGE.ORG pueden
desvelar cuál es el posicionamiento de una persona sobre asuntos políticos, sindicales,
religiosos, etc., desde FACUA entendemos que caben muchas posibilidades de que las
suplantaciones de identidad que pudieran haberse realizado en esta plataforma pudieran
conllevar que se asociasen determinadas personas sin su consentimiento con datos
especialmente protegidos.

TERCERO.- Que el apartado primero del artículo 34 del Reglamento (UE) 2016/679
menciona que “cuando sea probable que la violación de la seguridad de los datos
personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento la comunicará al interesado sin dilación indebida”.

Por otro lado, teniendo en cuenta la gran cantidad de usuarios a nivel mundial que posee
CHANGE.ORG, no siendo España una excepción, la infracción de la normativa de
protección de datos vigente derivada de los hechos descritos en la presente denuncia
posee una gran envergadura, que debe ser tomada en consideración por esta Agencia a
la hora de fijar la cuantía de la sanción que pudiera conllevar. Así, el Reglamento (UE)
2016/679 informa en su artículo 83, apartado segundo, letra a), que “las multas
administrativas se impondrán, en función de las circunstancias de cada caso individual, a
título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2,
letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada
caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y duración
de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación
de tratamiento de que se trate así como el número de interesados afectados y el nivel
de los daños y perjuicios que hayan sufrido”.

Por todo lo expuesto, SOLICITAMOS tengan por presentado este escrito con las
manifestaciones que en él se contienen y, en su virtud, tengan por formulada
DENUNCIA contra CHANGE.ORG y, en virtud de la misma, procedan a:

I.- Instar a CHANGE.ORG a que comunique a todos y cada uno de los posibles
usuarios afectados que su nombre puede haber sido vinculado a alguna de las
peticiones que se recogen en esta página web.

II.- Instar a CHANGE.ORG a que elimine las firmas recogidas en esta página web que
no pueda comprobar que han sido llevadas a cabo sin la autorización de su titular.

III.- Iniciar expediente sancionador contra CHANGE.ORG conforme a los Hechos y

Fundamentos de Derecho recogidos a lo largo del presente escrito.

Por ser de Justicia lo que se pide en el lugar y fecha indicados ut supra.

Atentamente,