Ya tenemos la primera sanción de la Agencia Española de Protección de Datos por la aplicación de la mal llamada «ley de cookies». Esto es de la modificación de la LSSI que obligaba a los prestadores de servicios que utilicen estos dispositivos a informar y obtener el consentimiento de los usuarios para la instalación de las cookies en sus ordenadores. En una resolución de la Agencia que incluye además otras infracciones en materia de protección de datos, lo más importante del caso en cuanto a la novedad establecida es lo siguiente:
En primer lugar se inicia el procedimiento sancionador porque las webs sancionadas no cumplen con ninguno de los requisitos exigidos en el artículo 22 de la LSSI, si bien,durante la tramitación del procedimiento, y tal como se recoge en la propia resolución: se verifica que las entidades imputadas optan por utilizar el sistema de información por capas. Y la propia Agencia en la resolución recoge cómo debe ser este sistema para que sea acorde con la legislación:
Resulta conveniente precisar que, con carácter general, dicho sistema opta por ofrecer una información esencial en una primera capa, cuando se accede al sitio webo aplicación, y una información adicional contenida en una segunda capa a la que se accede mediante un enlace. La primera capa debería incluir la siguiente información mínima:
– Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
-Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a la segunda capa informativa en la que se indica una información más detallada.
Esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.
En la segunda capa se debería incluir la siguiente información:
– Definición y función de las cookies.
-Tipo de cookies que utiliza la página web y su finalidad.
-Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
-Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies
Una vez que la Agencia procede a revisar el nuevo sistema de doble capa incluído resuelve que no cumple todo lo estipulado porque no recoge toda la información ni especifica todas las cookies instaladas:
De todo lo cual se concluye que el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web
Por todo ello, si bien la Agencia tiene a bien entender el esfuerzo realizado por las webs denunciadas para cumplir con la normativa y que no se considera que hay una gran ventaja en cuanto a facturación se refiere por la utilización de cookies, rebaja la cantidad de la sanción por infracción leve, imponiendo finalmente una sanción de 3000 € y 500 € respectivamente a cada una de las webs Asimismo es interesante que si bien la normativa de cookies establece el cosentimiento informado, la Agencia sólo puede sancionar por la falta de información, no por la falta de consentimiento del usuario en su caso:
Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)
En definitiva, ya tenemos una primera sanción por las cookies, y que por la cantidad, desde leugo no es un tema baladí que podemos dejarlo de lado. Otra cosa es sinceramente, la discusión sobre si esta situación beneficia a los ciudadanos realmente, que lo dejamos para otro post