Sanciones por el mal uso de las Cookies

  1. Inicio
  2. Opinión y Artículos Ceca Magán
  3. Sanciones por el mal uso de las Cookies
Sanciones por el mal uso de las Cookies
22 Jun 2020
¿Por qué es importante que adaptes las cookies de tu página web?

Las Cookies han dado mucho que hablar últimamente. Las Autoridades Europeas de Protección de Datos han emitido en los últimos meses sus Guías e instrucciones al respecto y, en el caso de la Agencia Española de Protección de Datos (AEPD), se han dictado varias resoluciones sancionadoras por la instalación de Cookies sin cumplir los requisitos exigidos por la normativa.

Entre las más recientes, se encuentra la sanción de 30.000 € impuesta a la red social Twitter. La Agencia Española de Protección de Datos considera que la red social instala Cookies no técnicas por defecto, sin que el usuario realice ninguna acción previa y sin posibilitar que el usuario pueda rechazar su instalación.

Además de la sanción económica, una mal configuración de las cookies puede suponer un riesgo reputacional para la empresa titular de la web, provocando la pérdida de confianza de los usuarios, cada vez más concienciados con la protección de su privacidad.

A continuación, analizamos los requisitos de cumplimiento exigidos a fin de establecer los pasos a seguir para adecuar tu web y evitar sanciones:

Deber de Información en la instalación de cookies

El artículo 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) exige que los prestadores de servicios de la información recaben el consentimiento de los usuarios antes de utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (hablamos generalmente de Cookies, aunque existen otros tipos de dispositivos de rastreo).

Para que el consentimiento obtenido sea válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado previamente toda la información relativa a la instalación de Cookies.

¿Qué debe incluir la información facilitada al usuario para la instalación de Cookies?

  1. Definición y función genérica de las cookies
  2. Tipo de cookies que se utilizan y su finalidad
  3. Identificar quién utiliza las cookies, es decir, si son propias del titular de la web o de terceros
  4. Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
  5. Información sobre las transferencias de datos a terceros países realizadas por el editor, en su caso
  6. Periodo de conservación de las cookies
  7. Información genérica sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios (por ejemplo, cuando se utilicen cookies de publicidad comportamental)
Consentimiento previo a la instalación de Cookies

Para que el consentimiento sea válido, la voluntad manifestada debe ser “libre, específica, informada e inequívoca”.

La validez del consentimiento en los términos expuestos requiere que se otorgue de forma activa por parte del usuario, tal y como ha destacado el Tribunal de Justicia de la Unión Europea (TJUE) en el asunto Bundesverband der Verbraucherzentralen und VerbraucherverbändeVerbraucherzentrale Bundesverband e.V. contra Planet49 GmbH – Asunto C-673/17, al concluir que no puede entenderse válido el consentimiento otorgado a través de una casilla pre-marcada.

En el mismo sentido, el Supervisor Europeo de Protección de Datos (EDPB, por sus siglas en inglés), ha destacado expresamente en sus Directrices sobre el consentimiento emitidas el pasado 4 de mayo que la acción de seguir navegando por la web no puede ser entendida como un consentimiento válido.

Por lo tanto, para que el consentimiento se recabe correctamente deben incorporarse mecanismos que permitan aceptar, configurar y rechazar la utilización de cookies por parte del usuario.

Para cumplir con este requisito, es importante comprobar técnicamente que no se están instalando cookies por defecto (salvo que sean técnicas y necesarias para el correcto funcionamiento de la web).

Sanciones impuestas por la AEPD por no cumplir el deber de información: 

  • Resolución Nº PS/00127/2019: Sanción de 10.000 € por proceder a la instalación de cookies con carácter previo a la obtención del consentimiento informado del usuario. La AEPD corrobora que no se ofrecía información clara y completa sobre el uso de las cookies y los fines del tratamiento de los datos, no identifica las cookies de terceros y no incluye un botón o mecanismo específico para rechazar todas las cookies. Tampoco informa sobre la posibilidad de configurar las preferencias de uso de las cookies, entre otras cosas. La falta de información requerida motiva la imposición de una multa de 10.000,00 €.
  • Resolución Nº PS/00435/2016: Sanción de 10.000 € rebajada a 6.000€ por reconocimiento y pago voluntario. La AEPD constata que la instalación de las cookies se produce antes de ofrecer información clara y completa al usuario sobre el tipo de cookies utilizadas y sobre la identidad de los responsables del tratamiento. La falta de información y consentimiento previo a la instalación motiva la imposición de una multa de 10.000,00 €, rebajada en un 20% por reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones y 20% adicional por pago voluntario, siendo ambas reducciones acumulables.

Sanciones impuestas por la AEPD por falta consentimiento válido de los interesados:

  • Resolución Nº PS/00300/2019: Sanción de 30.000 € rebajada a 18.000 € por reconocimiento y pago voluntario. La falta de mecanismos que permitan al usuario gestionar sus preferencias a la hora de aceptar de forma granular la instalación de cookies, rechazar su instalación o retirar el consentimiento previamente prestado, motiva la imposición de una multa de 30.000 €, finalmente rebajada a 18.000 € por reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones y por proceder al pago voluntario.
  • Resolución Nº PS/00175/2019: Sanción de 5.000 € rebajada a 3.000 € por reconocimiento y pago voluntario. La AEPD comprueba la AEPD comprueba que las cookies se cargan por defecto independientemente de la configuración seleccionada por el usuario a través de la pantalla de configuración habilitada para ello. No se obtiene, por lo tanto, el consentimiento válido de los usuarios para la instalación de las cookies a través de la web, lo que motiva la imposición de una multa de 5.000 €, finalmente moderada a 3.000€.
Recomendaciones para evitar sanciones
  1. Conocer qué Cookies utilizamos y sus características
  • Listar todas las Cookies utilizadas en nuestro sitio web.
  • Clasificar las Cookies utilizadas según el tipo y finalidad. Según la Guía de la AEPD las Cookies pueden ser: i) técnicas, ii) de personalización, iii) analíticas o de medición, iv) de publicidad comportamental.
  • Identificar si las Cookies son propias o de terceros y determinar su periodo de conservación.
  1. Elaborar los textos informativos con un lenguaje claro y transparente
  • Incorporar un Banner que se muestre nada más acceder a la web y que contenga la información básica de primera capa.
  • Incorporar en el banner las opciones para Aceptar y Configurar las Cookies dispuestas a través de nuestro sitio web.
  • Incorporar la información completa sobre las Cookies y el tratamiento de datos a través de ellas en nuestra Política de Cookies, que deberá vincularse a la información básica de primera capa (al banner) y estar ubicada en un lugar de la web de fácil visualización y acceso.
  1. Utilizar una herramienta de gestión del consentimiento, que permita a los usuarios configurar sus preferencias respecto a la instalación de cookies,

Teniendo en cuenta que:

  • La información ofrecida para bloquear o eliminar las cookies a través de las herramientas de configuración proporcionadas por los principales navegadores resulta insuficiente para permitir al usuario configurar sus preferencias de forma granular.
  • Si el sistema de gestión o configuración de las cookies del editor no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se debe facilitar información sobre las herramientas proporcionadas por el navegador o los terceros y se deberá advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello.
  1. Comprobar que técnicamente NO se instalan Cookies (salvo las técnicas necesarias para el funcionamiento de la web) sin que el usuario haya dado previamente su consentimiento.

Recuerda que “La privacidad se ha convertido en un elemento competitivo de primer orden y un elemento de confianza frente a consumidores y usuarios, que perciben la protección de su privacidad como criterio para otorgar fiabilidad a las empresas. Puedes consultar el Artículo de Noemí Brito, Socia responsable del Área de Tecnología, Innovación y Economía Digital, en el que analiza la importancia de ofrecer garantías en materia privacidad, aquí.

Si podemos ayudarte a revisar si tu web cumple o no con los requisitos legales para la instalación de cookies no dudes en contactarnos.

Nelia Álvarez García 
Área de Tecnología, Innovación y Economía Digital

Área Protección de Datos y Derecho Digital
AEPD Consentimiento Cookies LSSI Página web Sanciones

Añadir nuevo comentario

Acerca de formatos de texto