Cecilia Álvarez / Reyes Bermejo
Primera sanción en España en materia de cookies
El pasado 26 de enero de 2014 fue publicada la primera resolución sancionadora de la Agencia Española de Protección de Datos (“AEPD”) a través de la cual se impone a 2 entidades del sector de la joyería sanciones económicas (de 3.000 y 500 euros respectivamente) por la instalación y utilización de cookies sin cumplir de forma completa con los deberes de información y consentimiento establecidos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (“LSSI”).
El caso específico al que se refiere esta resolución trae causa de una denuncia presentada por un usuario de varios sitios web gestionados por las entidades denunciadas, las cuales, según la AEPD, en su condición de editoras de sus respectivas páginas web, prestan servicios de la sociedad de la información (ofrecer información y publicidad y servicio de tienda on-line) y utilizan cookies propias y de terceros para las siguientes finalidades: analítica web, preferencias, publicidad, servicios de video, servicio de mapa interactivo, servicio de chat, funcionamiento de la plataforma MAGENTO y refresco de datos.
En esta resolución, la AEPD describe de forma pormenorizada qué información sobre cookies ha de proporcionarse a los usuarios, siguiendo el formato de dos capas (esto es, en un aviso visible en la home desde el que se accedería a un mayor detalle en una política de cookies) preconizado en la Guía sobre el uso de las cookies publicada en 2013 para que el consentimiento de los usuarios pueda entenderse válidamente prestado.
En el caso analizado, la AEPD considera acreditado que los editores de las páginas web analizadas utilizan cookies sin informarles en todos los casos, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas.
La primera capa de información debe permitir al usuario conocer “el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.” Los defectos resaltados por la AEPD respecto de la primera capa de los avisos de algunas páginas web consistían en que no indicaban “si el uso de las cookies se realiza por el propio editor del sitio o por tercero y tampoco identifica[ban] las finalidades de las cookies utilizadas, información que, como se ha señalado, se considera mínima y esencial en este primer nivel.” Respecto de los avisos de otras páginas web que sí consideró adecuados por cumplir los anteriores requisitos, la AEPD destacó que “se mantienen visibles hasta que el usuario acepta la “Política de Cookies” o realiza la acción requerida a los efectos de la obtención del consentimiento”.
Respecto de la segunda capa de todas las páginas web analizadas, la AEPD consideró insuficiente la información proporcionada ya que la política de cookies donde esta figuraba “no precisa con suficiente claridad si la tipología de cookies incluidas en el documento se corresponde con las realmente utilizadas en los sitios web de dichas sociedades y con las finalidades descritas en las mismas. Por lo tanto, no contiene una información adecuada sobre el tipo de cookies que efectivamente se utilizan y sus finalidades que permita conocer al usuario de una forma apropiada el uso que se dará a la información recuperada, tampoco se asocia claramente su uso con el propio editor o con terceros que también deben ser identificados, habiéndose constatado que sólo se hace referencia a las cookies del servicio Google Analytics de Google Inc sin citar otras cookies de terceros cuya descarga también se ha comprobado se realiza en los terminales de los usuarios, como son, por ejemplo, las de Automattic Inc, Quantcast,You Tube LLc, Zopim Technologies Pte Ltd, Seevolutión Inc.”(sic.)
A pesar de que la AEPD considera probado que el uso de cookies se lleva a cabo sin mediar el consentimiento informado que el artículo 22.2 de la LSSI, “la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)” (que sólo se refiere al incumplimiento de la obligación de informar y proporcionar un medio de oposición), cuestión que la modificación prevista de la LSSI en la futura ley de telecomunicaciones que se aprobó en el Congreso el 13 de febrero de 2014 vendría a corregir.
Cabe añadir que en esta misma resolución la AEPD aprovecha para imponer una sanción de 1.500 euros a una de las entidades denunciadas por recabar datos personales de los usuarios web a través de formularios sin facilitarles, en el momento de la recogida, la información preceptiva en materia de protección de datos personales.
***
Se puede acceder al contenido íntegro de la Resolución de la AEPD en el siguiente enlace.
volver al inicio