Actualmente, la Agencia Española de Protección de Datos (AEPD) tiene un particular interés en regularizar el masivo incumplimiento de la normativa de protección de datos en el uso de cookies en las páginas web. Más concretamente, persiguiendo a aquellos titulares de páginas web que no regulen su funcionamiento de forma adecuada y sancionándolos en consecuencia.
En esta línea, el pasado 9 de junio de 2020 se publicó una resolución por la que se imponía una sanción de 30.000 euros por infracción del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI). Este tipo de sanciones comienzan a ser recurrentes en las actuaciones de la AEPD.
En esta resolución se determina que la empresa sancionada no facilita correctamente la información sobre las cookies que utiliza, ni identifica con claridad las finalidades de cada cookie ni a los terceros colaboradores que podrían hacer uso de la información recopilada por las cookies.
Asimismo, la página utiliza cookies que se instalan directamente sin solicitar ninguna acción al usuario que accede a la página web.
En este caso, las actuaciones fueron iniciadas a instancia de una denuncia de un particular, a raíz de la que la AEPD inició las oportunas diligencias de investigación.
Particularmente pudo constatarse lo siguiente:
a) Al acceder a la página principal del sitio, y sin haber realizado ningún tipo de acción, se comprueba que se almacenan automáticamente en el navegador hasta 7 cookies diferentes.
b) En el banner de cookies no existe ningún tipo de enlace ni botón que permita rechazar el uso de dichas cookies o que redirija a una segunda capa para la gestión y configuración de las cookies.
c) A título informativo, existe un link en la página de inicio con la información necesaria respecto a qué son las cookies, por qué las usan y cómo gestionar su uso en los navegadores y sistemas operativos móviles. Sin embargo, no se facilita en ningún momento una opción para rechazar propiamente su uso ni total ni granularmente.
Todo ello, supone en su conjunto una vulneración del artículo 22.2 de la LSSI, según el que:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, […].
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
Esta infracción está tipificada como leve en el artículo 38.4 g), de la LSSI, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos
cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.
Por ello, es altamente recomendable revisar detalladamente e implementar las recomendaciones expresas publicadas tanto por la propia AEPD a finales de 2019 como por el Comité Europeo de Protección de Datos el pasado mes de mayo respecto al uso de cookies:
- https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf
- https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
Andreas Terán
Vilá Abogados
Para más información, contacte con:
10 de julio de 2020