Notícies i jurisprudència

Primera sanción de la AEPD por usar «cookies» sin informar ni obtener un consentimiento válido

La Agencia Española de Protección de Datos sanciona a una joyería y a la sociedad que gestiona su tienda on-line tras constatar que instalaron y utilizaron «cookies» en los terminales de sus visitantes sin facilitarles previamente información clara y completa sobre el uso y finalidades de dichos dispositivos, ni contar con un consentimiento válidamente otorgado.
La Agencia Española de Protección de Datos (en adelante AEPD) ha dictado la primera resolución en relación con la instalación y uso de «cookies» sin cumplir con los requisitos legales de información y consentimiento. Tras recibir la denuncia de un particular, la Agencia abrió una investigación en el transcurso de la cual ha constatado que la joyería incumplía el deber de información previa que establece la Ley Orgánica de Protección de Datos (LOPD), ya que recogía datos personales de los interesados a través de los formularios habilitados en sus diferentes sitios web sin incluir en los mismos la información en materia de protección de datos recogida en el art. 5.1 de la Ley.

Las «cookies» son ficheros de texto que se descargan en el terminal del usuario para almacenar datos con una o varias finalidades de su navegación en Internet. Estos ficheros constituyen para la AEPD un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la «cookie» sin informar y sin contar con el consentimiento del usuario para ello.

En función de la entidad que las gestione puede distinguirse entre «cookies» propias o de terceros, mientras que atendiendo al plazo de tiempo que permanecen activadas en el equipo terminal, hay «cookies» de sesión y «cookies» persistentes.

Asimismo, según la finalidad para la que se traten, cabe diferenciar entre «cookies» técnicas (son aquellas que permiten al usuario navegar a través de una página web, plataforma o aplicación y utilizar sus diferentes opciones o servicios), de personalización (que permiten acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario), de análisis (que facilita a su responsable el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas), publicitarias (permiten la gestión de los espacios publicitarios incluidos en la página web) y de la publicidad comportamental (permiten desarrollar un perfil específico para mostrar publicidad personalizada al usuario).

Para garantizar que estos dispositivos se utilizan con fines legítimos y con el conocimiento de los usuarios, la regulación comunitaria y nacional establece la necesidad de obtener un consentimiento informado para asegurar que los usuarios puedan conocer el uso que se va a hacer de sus datos y las finalidades para las que son utilizados. En este sentido el art. 22.2 Ley de Servicios de la Sociedad de la Información (en adelante LSSI) regula que el prestador de servicios podrá almacenar y utilizar estos dispositivos en los equipos de los destinatarios a condición de que los usuarios hayan dado su consentimiento una vez que se les haya facilitado información clara y completa sobre su utilización.

Las entidades denunciadas prestan sus servicios empleando «cookies» propias y de terceros en virtud de las cuales pueden optimizar la navegación, realizar estudios estadísticos para mejorar la funcionalidad de los servicios ofrecidos y ofrecer publicidad relacionada con las preferencias de sus usuarios en función de sus patrones de navegación, entre otras finalidades. Sin embargo, la Agencia considera acreditado que ambas sociedades instalaron y utilizaron estos dispositivos sin facilitar previamente a los usuarios de sus páginas web, información clara y completa sobre el uso y finalidades de dichas «cookies» y sin contar, tampoco, con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

Información por capas

Una vez notificado el acuerdo de inicio de procedimiento sancionador a las entidades denunciadas, la Agencia verificó que estas optaron por utilizar el sistema de información por capas. Este sistema se basa generalmente en ofrecer la información esencial en una primera capa, cuando se accede al sitio web o aplicación, y una información adicional contenida en una segunda capa a la que se accede mediante un enlace.

En su resolución, La AEPD recuerda que la primera capa debería incluir como mínimo una advertencia sobre el uso de «cookies» no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado y la identificación de las finalidades que se persiguen al instalar dichas «cookies», con información sobre si son propias o de terceros. También debe añadir una advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las estos dispositivos, así como un enlace a la segunda capa informativa en la que se indica una información más detallada.

Por su parte, la segunda capa debería incluir la definición y función de las «cookies»; el tipo de «cookies» que utiliza la página web y su finalidad; la forma de desactivarlas o eliminarlas y de revocar el consentimiento ya prestado, y la identificación de quienes las utilizan, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de «cookies».

La Agencia también constató que el sistema de capas utilizado por ambas entidades no contenía la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de «cookies» realmente utilizadas, finalidad de las mismas e identidad de quienes las instalan y utilizan, «lo que invalidaría el consentimiento que pueda ser prestado por los usuarios al "aceptar" la "política de cookies" o seguir navegando por los sitios web».

Por todo ello, la AEPD ha impuesto una sanción a las dos entidades que suma 5.000 euros por la comisión de varias infracciones de la LOPD y la LSSI.

Guía sobre el uso de «cookies»

La resolución llega nueve meses después de que la AEPD presentara junto con las asociaciones Adigital, Autocontrol e IAB Spain la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria, que recoge orientaciones, garantías y obligaciones que la industria se compromete a difundir y aplicar para adaptar la instalación de este tipo de archivos a la legislación vigente.

El documento ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la primera, hace hincapié en que la información que se brinda debe ser lo suficientemente completa para que los usuarios entiendan la finalidad de las «cookies» (si pueden rastrear sus hábitos de navegación, por ejemplo), conocer qué uso se hará de sus datos y a quién se van a facilitar. Pese a que no indica de forma rígidadónde debe ser colocada dicha información, sí especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Paralelamente, recuerda que para instalar y utilizar «cookies» es necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado específico o infiriéndolo de una determinada acción realizada por el usuario. También dispone que para que dicho consentimiento sea válido, será necesario que haya sido otorgado de forma informada, ya que la mera inactividad del usuario no implica una prestación del consentimiento.

La Guía también aconseja a las entidades implicadas en la utilización de «cookies» llevar a cabo una revisión, para así saber qué «cookies» se utilizan y para qué finalidad, descartando así las innecesarias.

vIS: Diario La Ley, Nº 8256, Sección Tribuna, 21 Feb. 2014, Año XXXV, Editorial LA LEY

Tornar al principi

Notícies recents