La Agencia Española de Protección de Datos ha impuesto por primera vez una sanción de 3500€ a dos empresas por no informar debidamente del uso de cookies en sus páginas web.

La resolución de la Agencia, de 35 páginas, puede descargarse aquí.

La Agencia mantiene un criterio estricto en la aplicación de la norma dentro del margen interpretativo que esta le confiere a la hora de decidir qué se entiende por información clara y completa sobre el uso de cookies. Recordemos que la norma sobre cookies (art. 22.2 LSSI-CE) establece lo siguiente:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

También conviene recordar que la AEPD ha publicado la Guía sobre el uso de las cookies en la que no se ofrecen soluciones generales y uniformes a todos los casos de uso de cookies, sino una orientación para que los responsables ’reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio’ en función del tipo y uso concreto de las cookies que realicen.

En este contexto, la resolución de la Agencia es interesante porque confirma lo siguiente:

  • La Agencia hace una búsqueda y análisis pormenorizado de las cookies de los sitios web que son objeto de investigación. Para ello hace pruebas de acceso con un ordenador ‘limpio’ de cookies – procediendo a su borrado, incluyendo los archivos temporales – y con ayuda de diferentes navegadores y complementos varios como Firebug (v.1.11.3 de Firefox) va detectando cada una de las cookies.
  • Las cookies así identificadas, en su mayoría, son del tipo ‘no exentas’ del deber de información previa del usuario que accede a los sitios web. Entre la tipología de cookies no exentas se encuentran las que sirven para realizar analíticas web (Google Analytics y Automattic), publicitarias (Doubleclick, TradeDoubler), servicios de video (Youtube), servicio de mapa interactivo (Google Maps) y servicio de chat, entre otras. En cambio las cookies que sirven para utilizar el carrito de compra virtual quedan exentas del deber de información.
  • La información genérica sobre cookies no se considera suficiente para cumplir la norma. El hecho de no incluir una información detallada sobre el tipo de cookies utilizadas, identificando si son propias o de terceros – que deben ser identificados -, ni mencionar tampoco los mecanismos de desactivación de cookies y el modo de revocar el consentimiento se considera una vulneración del deber de información, reafirmada en este caso por considerar la Agencia que la información genérica facilitada sobre las cookies figuraba en un aviso legal que no era suficientemente visible para el usuario. En definitiva, la Agencia sigue aquí el criterio mantenido en la Guía, recomendando de nuevo que la información sobre cookies se provea en dos capas; esto es, una información esencial en una primera capa – incluyendo si son cookies propias y/o de terceros y sus finalidades – cuando se accede al sitio web o aplicación y una información adicional, con el detalle necesario, en una segunda capa a la que se accede mediante un enlace.
  • La ausencia de información clara y suficiente sobre las cookies implica que el consentimiento prestado por los usuarios no se considere válido – no es consentimiento informado –  lo cual es otra infracción distinta de la norma. En este punto, parece que la Agencia acepta la fórmula de hacer click en el botón ACEPTAR de la política de cookies o incluso el seguir navegando por el sitio web, como forma de obtener el consentimiento del usuario, pero lo más relevante sin duda es que la Agencia reconoce explícitamente que la vulneración del deber de obtener el consentimiento informado para el uso de cookies no resulta sancionable en virtud de la actual redacción del artículo 38.4.g) de la LSSI. En otras palabras, hasta que no se reforme este precepto, la Agencia no podrá sancionar por falta de obtención del consentimiento en el uso de cookies.

¿Y ahora qué?

En definitiva, conviene que los responsables de sitios web realicen una auditoría exhaustiva de las cookies que utilizan e informen de forma clara y detallada sobre las mismas – preferentemente mediante el modelo de las dos capas recomendado por en la Guía sobre uso de Cookies – incluyendo si son propias o de terceras y su finalidad en la primera capa así como una información más detallada en la segunda capa que incluya nombre, tipología, finalidad así como los mecanismos para desactivarlas y la forma de revocar el consentimiento prestado.

El consentimiento tácito del tipo ‘si sigue navegando por nuestro sitio se entenderá que acepta el uso de cookies’ parece un modelo válido para la Agencia siempre y cuando se informe de forma prominente, clara y completa sobre uso de estas cookies. No obstante, es recomendable hacer un análisis pormenorizado en cada caso puesto que este modelo podría no ser suficiente en cookies más intrusivas para la intimidad – por ejemplo, las de tipo publicitario –  y ello con independencia de que el incumplimiento de este deber no resulte en estos momentos sancionable, aunque es de esperar que lo sea en breve cuando se apruebe la reforma de la Ley General de Telecomunicaciones.

La finalidad de este sitio es únicamente el de informar de un modo general. Esto no constituye un asesoramiento profesional (legal o no) y no debe ser utilizado como tal. No podemos ser responsables de las acciones basadas en los documentos disponibles en este sitio. El contenido del artículo compromete al autor, excluyendo a cualquier otro miembro de la red Lexing®.