Se ha dado a conocer la primera sanción impuesta por la utilización de cookies en una página web. La Agencia Española de Protección de Datos, en su Resolución 02990/2013 ha sancionado a dos empresas con un total de 3500€ al no haber contado con un consentimiento válido del usuario antes de la instalación de estos dispositivos de almacenamiento y recuperación.
¿Entonces pueden sancionarme si uso cookies en mi página web?
Sí, se contempla la posibilidad de sancionar si no cumplimos con las obligaciones que la Ley establece, en particular respecto a la información que debemos facilitar antes de instalar dichas cookies.
Tengo un aviso de que instalo cookies en mi página ¿Es suficiente?
No, no basta con simplemente avisar. Existen una serie de requisitos mínimos en la información que facilitamos que, de no cumplirse, harían que el consentimiento no fuera válido incluso aunque hubieran pulsado el botón de «Aceptar»
¿La sanción es por no contar con el consentimiento expreso antes de instalar las cookies?
No, la sanción es porque la información que se facilitaba al usuario era insuficiente, con lo cual el consentimiento no se podía producir después de haber sido adecuadamente informado. De hecho, la misma resolución admite la posibilidad de que se hubiera producido un consentimiento tácito si la información hubiera sido la adecuada.
¿Cuáles son las circunstancias que se han dado en esta Resolución?
La denuncia se realizaba contra las actuaciones de dos entidades a través de sus respectivas páginas web, al entender que no facilitaban la información requerida legalmente sobre dispositivos de almacenamiento y recuperación de datos ( en este caso cookies), y existir asimismo un vicio en su utilización al no solicitar consentimiento para ello. Además, la denuncia hacía constar que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos, hecho por el que fueron sancionadas pero que corresponde a una materia ajena a la del presente post.
Ambos sitios web se encontraban íntimamente relacionados, al tratarse de una división funcional de la actividad en dos páginas diferenciadas: una destinada a la mera actividad promocional y otra a la gestión de la página web y para la que se creó otra sociedad distinta. La Resolución nos indica además que en el caso de la página destinada a actividad promocional se utilizaban las herramientas de WordPress, siendo desarrollada y mantenida por la propia sociedad, mientras que en el caso de la tienda online se acudió a Magento y a un diseño por parte de una sociedad contratada al efecto.
En el presente supuesto ha quedado acreditado que se producen las circunstancias que tipifica el citado precepto, ya que tanto NAVAS JOYEROS como PRIVILEGIA utilizan cookies propias y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad sin informarles, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas.
La Agencia nos indica que en el caso de la web usada para promociones las cookies contaban inicialmente con un apartado dentro de la Política de Protección de Datos, sin que constara nada al respecto en el resto de páginas. La redacción fue siendo modificada para intentar cumplir con los requisitos exigidos por el ordenamiento vigente.
En las actuaciones de inspección se detectó la utilización de múltiples cookies, como son las correspondientes a Google Analytics, WordPress (incluyendo la relacionada con las funcionalidades del conocido modulo Jetpack), doubleclick, o Zopim entre otras. Esto responde al gran número de funcionalidades que se optó instalar en la página web como puede ser chat, la inserción de anuncios entre los afiliados de una compañía o servicios de analítica web. Sobre estas cookies es clara la agencia en su apartado 8 de Hechos Probados
La utilización de los mencionados servicios origina la descarga de diferentes tipos de cookies no exentas del deber de información previa al usuario que accede a los sitios web de su titularidad.
Así, en primer lugar debemos tener en cuenta que existirán una serie de cookies que sí estarán exentas de este deber de información previa, y que aparecen en el párrafo tercero del artículo 22 de la LSSICE
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
¿Y cómo debe ser este consentimiento? Recordemos que el art. 22 LSSICE nos dice claramente que
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
En la presente resolución se pone en duda el carácter de completa de dicha información, lo cual invalidaría el consentimiento del usuario aunque hubiera pulsado el botón aceptar mostrado en un aviso instalado en nuestra página web. Si bien las empresas tomaron medidas para mejorar la información que facilitaban a sus usuarios, del contenido de la Resolución debemos concluir que fueron insuficientes para satisfacer la obligación impuesta por la Ley.
La Agencia durante su análisis nos muestra un dato sin duda interesante: el contenido mínimo necesario que debemos aportar. Dicho contenido queda dividido entre la primera capa (la información obtenida a través de la clásica ventana emergente que multitud de sitios incorpora) y la segunda capa a la que se accederá a través de un enlace en la misma.
La primera capa según la Agencia debería contar necesariamente con la siguiente información:
– Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
– Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a la segunda capa informativa en la que se indica una información más detallada.
La segunda capa deberá profundizar más al respecto, y deberá incluir
– Tipo de cookies que utiliza la página web y su finalidad.
– Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
– Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
En este caso, se detecta que la primera capa correspondiente a la web utilizada para actividades de promoción ya omite la información respecto a la titularidad y finalidades de las cookies que se instalaban. En cambio, la tienda online sí que incluía la información al respecto
Respecto a la segunda capa, la conclusión a que llega la Agencia es que no se precisa con suficiente claridad el tipo de cookies utilizadas y las finalidades a que se destinará la información recuperada. Además, se nos indica que pese a mencionar las cookies referentes al servicio Google Analytic omite multitud de cookies de terceros cuya descarga quedó comprobada, produciéndose por tanto un vicio en la información que facilitamos al usuario, al que no se le facilitan los datos relativos a la asociación de cookies con el editor responsable.
La Agencia sí que admite que el consentimiento del usuario podría obtenerse a través de “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web (admitiendo así un consentimiento tácito), pero al no cumplir la información facilita los requisitos necesarios para que sea completa y clara éste no resulta válido.
Por lo tanto, la conclusión a la que podemos llegar a la vista de esta primera Resolución es obvia: no basta con facilitar simplemente un aviso que informe de que hay cookies, sino que se deben cumplir unos requisitos mínimos en la información que facilitamos a los navegantes, pudiendo ser sancionados si omitimos alguno de ellos como se ha producido en este caso.
¿Alguna recomendación?
Sí, analizar correctamente las cookies que instala nuestra página web, diferenciando las que se encuentran exentas del deber de obligación de las que no. Adecuar la información que facilitamos a los requisitos mínimos que hemos indicado y, en caso de duda, consultar con un experto en el tema. En ocasiones, infravaloramos las consecuencias de no acudir a personas que conozcan de la materia, incluso en el caso de proyectos de entidad económica ya importante, y luego pueden producirse sanciones como son la del presente caso.
Creo que es interesante destacar, que no hay obligación de mostrar la información por capas, ya que la resolución habla de «se verifica
que las entidades imputadas optan por utilizar el sistema de información por capas.» Luego también se está admitiendo tácitamente que la información se muestre como aparece en la guía de la propia Agencia a través de un enlace en el encabezado o en el footer, o al darse de alta en un servicio.
Efectivamente no es que deba facilitarse la información por capas (aquí se ha optado por esta opción), pero en todo caso tenemos que tener en cuenta que debemos facilitar la información completa antes de que se preste el consentimiento para que sea válido.
Un saludo
Sanciones a NAVAS JOYEROS por dos incumplimientos de la AEPD, y una a PRIVILEGIA y LUXURY por no informar sobre las COOKIES.
He leído la resolución impuesta por la AEPD a estos dos negocios de joyería de venta online. Pero leo que la sanción se pone por dos motivos y NO solo por el incumplimiento de las cookies.
Lo curioso del caso es que todo el mundo se centra en las COOKIES, pero nadie hace mención sobre el motivo de la otra sanción; la solicitud de datos a través de formularios existentes en las páginas de la empresa Navas Joyeros sin que existiese una política de privacidad para que el usuario consintiese el uso de sus datos personales que se aportan en el formulario. Es decir, el usuario no disponía de información sobre cómo y de que forma se iban a tratar sus datos personales.
Si bien la política de cookies es algo relativamente nuevo y para muchos difícil de entender (aunque no es menos cierto que hay cookies que sin información alguna al usuario se te meten en tu ordenador y te localizan la ip ..etc.), no hay motivo alguno que pueda justificar la inexistencia de la obligada política de privacidad que debe figurar de manera clara y precisa, y que a su vez proporcione información suficiente al usuario sobre cómo se tratarán sus datos.
Por tanto, y desde mi punto de vista, este hecho que pasa desapercibido, es a todas luces un incumplimiento suficiente para determinar una sanción previa advertencia. Posiblemente lo que haya pasado es que abordado este punto en las páginas de la joyería Navas Joyeros, determinasen por el motivo que fuese, sancionar todo aquello que no estuviese acorde con la normativa de la AEGP.