Ya llegó el lobo: ¡5000 euros en multas por el uso de Cookies!

Ha llegado la Resolución en la que impone 5.000 euros en multas por el uso de cookies sin cumplir con los deberes de información que exige la LOPD y la LSSI.

En artículos anteriores, he mencionado la problemática del uso de cookies SIN TENER EN CUENTA CIERTAS PREVENCIONES de carácter legal. Algunos han venido pensando que era como el cuento de “Caperucita y el Lobo”, que nunca llegaría. Pues bien, para los más escépticos, ha llegado la Resolución R/02990/2013 de la AEPD, derivada del procedimiento sancionador  PS/00321/2013, en la que impone 5.000 euros en multas por el uso de cookies SIN CUMPLIR CORRECTAMENTE CON LOS DEBERES DE INFORMACIÓN  que exige la LOPD y la LSSI. Notad que lo que se castiga no es el uso de cookies, ni tampoco se dice que no se haya informado, sino que lo que se sanciona es el uso de éstas sin una información ACORDE A LA EXIGENCIA LEGAL.

single packet of 500 Euro notes with bank wrapper – 50.000 Euros

© PixBox – Fotolia.com

También es muy interesante que este procedimiento se inició por la AEPD, por vulneración de la LOPD y la LSSI por la denuncia de un tercero, (¿un cliente descontento, o tal vez un competidor que quería quitar del camino a esta empresa que le molestaba?). El caso es que  según el denunciante, en los sitios web de las entidades sancionadas no se facilitaba información sobre los dispositivos de almacenamiento y recuperación de datos (cookies), ni se solicitaba el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos. Los datos se recababan a partir de los formularios de contacto que recababan el nombre, el correo electrónico y el teléfono del interesado. (Para descargar un formulario preparado por mí en post anterior de recogida de datos adaptado a la ley, click aquí).

Efectivamente, las webs sancionadas pertenecientes a una empresa de joyería, había incluido un aviso de cookies que decía:

“Utilizamos cookies para mejorar la experiencia del usuario y para enviar contenidos personalizados. Las cookies nos permiten ofrecerle información personalizada o seleccionada por usted (sus favoritos), le evitan tener que volver a introducir la contraseña cada vez que visita nuestra página y llevan un seguimiento de su carrito de la compra. Además, nos permiten analizar mejor el tráfico de la página para mejorar nuestra oferta. Nuestra página web NO funcionará si desactiva las cookies en su navegador.”

¿Te suena?, ¿a qué sí?. Claro, si es el aviso más estandarizado que puede verse, puede que sea el que usas tú. Pues si es así, presta atención a lo que sigue, pues podrás evitar tener problemas con la AEPD por este asunto.

Según la AEPD,  este aviso de cookies no satisface los requisitos legales porque  no detalla mínimamente el tipo de cookies utilizadas ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación. Además, avisa la AEPD que tampoco advierte sobre los mecanismos de desactivación de las cookies ni sobre el modo de revocar el consentimiento. Además, teniendo en cuenta su diseño y mecánica, (pop-up), considera que la información anteriormente señalada se facilitaba de forma poco accesible y sin suficiente visibilidad para el usuario.

Entonces, ¿cómo debería de realizarse el “aviso de cookies” para que sea aceptable desde un punto de vista legal?. Bueno, no existe una forma establecida por la ley, por lo que servirá cualquier sistema que cumpla con las exigencias del art. 22.2 de la LSSI, pero en esta resolución, la AEPD abre la puerta a cumplir con esta obligación mediante un sistema de dos capas, por el que se ofrecería una información esencial en una primera capa, cuando se accede al sitio web  o aplicación, y una información adicional contenida en una segunda capa a la que se accedería mediante un enlace:

Capa 1, mediante el clásico pop-up al entrar a la web, o en una marquesina informativa, que incluiría información relativa a:

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
  • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
  • Incluir un enlace a la segunda capa informativa en la que se indica una información más detallada.

Declara la AEPD que esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Pero, ¡ojo!, porque para cumplir con esta primera capa, una de las webs expedientadas, al acceder mostraba un aviso sobreimpreso que indicaba que :

“Al continuar navegando entendemos que acepta el uso de las cookies en nuestro sitio web. Más información. Aceptar”

Pues bien, la AEPD censura esta práctica al afirmar que  no indica si el uso de las cookies se realiza por el propio editor del sitio o por tercero y tampoco identifica las finalidades de las cookies utilizadas, información que, como se ha señalado, se considera mínima y esencial en este primer nivel. Así pues, ha de tomarse muy en cuenta esta advertencia, pues marca la diferencia entre que se acepte como correcto o incorrecto, el aviso de cookies en este primer nivel o capa.

Capa 2, que incluiría información más específica:

  • Definición y función de las cookies.
  • Tipo de cookies que utiliza la página web y su finalidad.
  • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
  • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

A esta segunda capa de información se accedería a través de los enlaces contenidos en los avisos de “Más información”, o “Política de Cookies”,  los cuales habrían de redirigir a un documento denominado “Política de cookies“, que también debería resultar accesible desde otros enlaces habilitados en las páginas de Inicio o en otros documentos, como por ejemplo en las “Condiciones de Uso” o “Aviso Legal”.

La idea es que en esta segunda capa se debe precisar  con suficiente claridad la tipología de cookies incluidas en el documento, y que esa descripción se corresponda con las realmente utilizadas en los sitios web y con las finalidades descritas en las mismas.

En resumen, que es hora de tomarse en serio la obtención del consentimiento informado para el uso de las cookies, porque la AEPD ya ha empezado a hablar con el idioma universal sancionador.

Leave a Reply

Your email address will not be published. Required fields are marked *