Opinión

Artículo

La Agencia de Protección de Datos mueve ficha en materia de cookies

Artículo elaborado por Susana Rodríguez Ballano, asociada senior de Deloitte Abogados

La Agencia Española de Protección de Datos (“AEPD”) ha publicado su Resolución nº 02990/2013, primera a través de la cual impone una multa por incumplimiento del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (“LSSI”), que regula el uso de las cookies tras la modificación de su régimen jurídico por el Real Decreto-ley 13/2012.

Las cookies, son dispositivos de almacenamiento masivo de información que pueden instalar las páginas web en los ordenadores de los usuarios para monitorizar sus movimientos en la red. Dado que, en la mayoría de los casos, la información recabada por las cookies comprende datos de carácter personal de los usuarios, resulta necesario conciliar su uso con la protección de la privacidad.

El régimen jurídico de las cookies en España fue modificado en el año 2012, a raíz de la transposición del nuevo marco europeo en materia de comunicaciones electrónicas, siendo ahora preciso para su utilización, con carácter general, obtener el consentimiento del usuario tras haberle facilitado información clara y completa sobre la utilización de las cookies y las finalidades de dicho uso, entre otros.

En abril de 2013, la AEPD y las asociaciones Adigital, Autocontrol e IAB Spain publicaron conjuntamente una “Guía sobre el uso de cookies” (la “Guía”), que plantea algunas alternativas para dar cumplimiento a las obligaciones legales en materia de cookies, dado que la nueva regulación no resulta del todo clara al respecto. Sin embargo, no parece que el sector se haya mostrado concienciado en relación con el acatamiento de estas nuevas reglas, circunstancia ésta en la que probablemente haya influido la ausencia de imposición de sanciones por parte de la AEPD hasta la fecha. Sin perjuicio de lo anterior, desde septiembre de 2013 se empieza a atisbar cierto compromiso en este sentido, probablemente fruto de la repercusión en prensa del inicio de actuaciones inspectoras por parte de la AEPD.

El procedimiento sancionador que da lugar a la Resolución, se inició como consecuencia de una denuncia por parte de un interesado contra los sitios web de dos sociedades que, utilizando cookies propias y de terceros, no informaban a los visitantes de forma clara y completa sobre el uso y finalidades de las mismas, ni tampoco contaban con un consentimiento otorgado válidamente por los usuarios. En línea con lo previsto por la Guía, la AEPD da por buenos los sistemas de información por capas utilizados por las denunciadas, que consisten en mostrar la información esencial sobre cookies en una primera capa, cuando se accede a la página web, y completarla con una segunda capa, mediante una sección en la que se ofrezca información detallada. Ahora bien, la AEPD considera que la información incluida por estas sociedades en las citadas capas no resulta ni completa ni clara, dado que no comprende las categorías enumeradas en la Guía, en especial, el desglose de la tipología de cookies realmente utilizadas (técnicas, de personalización, publicitarias, etc.), finalidades de las mismas e identidad de quienes las instalan, de forma tal que el consentimiento quedaría invalidado.

Las multas impuestas a las sociedades afectadas ascienden a 500 euros y a 3.000 euros, respectivamente, cuantías poco elevadas debido a la apreciación de las siguientes circunstancias atenuantes por parte de la AEPD: ausencia de intencionalidad, por la adopción de medidas tendentes a remediar la situación una vez las sociedades conocieron sus irregularidades; ausencia de obtención de beneficios a raíz de la infracción; y falta de conexión entre la facturación de las páginas web y el incumplimiento.

Sin embargo, a pesar de la aplicación de las citadas atenuantes, la AEPD no estima la vía del apercibimiento, que excluiría la sanción económica en caso de cumplirse determinadas condiciones, y cuya aplicación solicitaron las demandadas. Efectivamente, esta figura no viene contemplada en el régimen sancionador de la LSSI, sino que es propia de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y por lo tanto no puede ser extrapolada a los incumplimientos en materia de cookies.

La infracción que en virtud del artículo 38.4.g de la LSSI aprecia la AEPD, de naturaleza leve, consiste en el incumplimiento del deber de información en materia de cookies. Aunque queda probado que el uso de cookies por las sociedades se lleva también a cabo sin mediar el consentimiento de los usuarios, la AEPD no sanciona dicha violación porque el artículo 38.4.g. de la LSSI únicamente contempla el incumplimiento del deber de información o del establecimiento de un procedimiento de rechazo del tratamiento de datos.

Si bien, a día de hoy, la AEPD no ha iniciado una inspección sectorial de oficio en materia de cookies, somos conscientes de que tiene en marcha varios procedimientos sancionadores similares a éste. Resulta por tanto importante dar cumplimiento a las obligaciones previstas por el artículo 22.2 de la LSSI, teniendo en cuenta las recomendaciones de la Guía, dado que las multas por infracciones leves a la LSSI podrían llegar a alcanzar los 30.000€. 

Did you find this useful?