PRIMERA SANCIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) EN MATERIA DE COOKIES

La AEPD ha impuesto la primera sanción por incumplimiento del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

En virtud de la Resolución R/02990/2013, cuyo origen fue la denuncia presentada por una persona física, la AEPD ha impuesto las primeras sanciones a dos empresas, por importe de 3.000€ y 500€, respectivamente, por incumplimiento de las exigencias del artículo 22.2 de la LSSI en materia de cookies. Adicionalmente, la AEPD sanciona con 1.500€ a una de las empresas por incumplimiento del artículo 5 de la LOPD (Derecho de información en la recogida de datos), si bien, en esta nota nos referiremos únicamente al incumplimiento relativo al régimen legal de las cookies.

Con carácter previo, conviene realizar una breve referencia tanto al concepto de cookie como a las obligaciones legales que deben cumplirse para su utilización, de conformidad con lo dispuesto en el art. 22.2 de la LSSI tras su modificación por el Real Decreto Ley 13/2012, de 30 de marzo:

La “cookie” es un archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. Existen varias clasificaciones de cookies en función de distintos criterios como, por ejemplo, según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir cookies propias o de terceros; según la finalidad para la que se traten los datos obtenidos encontramos cookies técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental, etc.

En cuanto al régimen legal que resulta aplicable, a continuación se indican los requisitos previstos en el art. 22.2 LSSI:

  1. En primer lugar, se debe facilitar a los usuarios información clara y completa sobre la utilización de este tipo de dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. En consecuencia, la información sobre las cookies facilitada debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. Además de facilitar la información necesaria para que los usuarios puedan prestar un consentimiento valido, es aconsejable que la citada información, y en particular la relativa a la forma a través de la cual pueden gestionar las cookies, esté a su disposición de forma accesible y permanente en todo momento a través la página web desde la que se presta el servicio.
  2. Una vez informado el usuario, para la instalación y utilización de las cookies será necesario, en todo caso, obtener su consentimiento. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Pero, no todas las cookies se encuentran sometidas al régimen legal previsto en el artículo 22.2 de la LSSI, ya que, existen las denominadas “cookies exceptuadas”, para cuyo uso no sería necesario informar ni obtener el consentimiento del titular de los datos. Se trata de supuestos en los que el almacenamiento o acceso a los datos es de índole técnica y al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario. La Resolución comentada se refiere a cookies no exceptuadas y por tanto en el ámbito de aplicación de la LSSI.

Durante la tramitación del procedimiento, la AEPD observa que la información sobre el uso de cookies proporcionada por las titulares de las páginas web denunciadas es insuficiente. En este sentido, la Resolución destaca las siguientes carencias: (i) no se incluye una definición de las cookies, (ii) tampoco se detalla mínimamente el tipo de cookies utilizadas, (iii) ni se identifica si son propias o de terceros. Además, la AEPD considera que la citada información se facilitaba de forma poco accesible y sin suficiente visibilidad para el usuario.

Una vez notificado el acuerdo de inicio del procedimiento sancionador a las empresas denunciadas, éstas optan por utilizar el sistema de información por capas. Con carácter general, dicho sistema consiste en ofrecer una información esencial en una primera capa, cuando se accede al sitio web o aplicación, y una información adicional contenida en una segunda capa a la que se accede mediante un enlace.

Sin embargo, tras el análisis efectuado por la AEPD, se concluye que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.

Finalmente, y aplicando lo dispuesto en el artículo 38.4.g) de la LSSI, se sanciona a ambas empresas por incumplimiento de los deberes de información previstos en el artículo 22.2. En este sentido, el art. 38.4.g) de la LSSI considera infracción leve: ”El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave”.

Cabe destacar que, habiendo quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

A tenor del análisis efectuado por la AEPD y del contenido de la Resolución comentada, resulta evidente la complejidad de esta materia, ya que, a pesar de que ambas empresas adoptaron, después de recibir los requerimientos de información y las notificaciones sobre la incoación de procedimiento sancionador, una serie de medidas tendentes a introducir, modificar y actualizar la información facilitada sobre cookies y obtener el consentimiento informado para su instalación y utilización, tales modificaciones no resultaron suficientes y no pudieron evitar la imposición de las sanciones.

   

0 comentarios

Escribe tu comentario

¿Quieres unirte a la conversación?
Agradecemos tu participación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *