Primera sanción de la AEPD por el uso
de ‘Cookies’
Por María González Moreno y Teresa Pereyra Caramé, asociadas del área de ‘Information Technology de ECIJA’
Las cookies han dado mucho que hablar en los últimos tiempos, existiendo diversidad de interpretaciones en cuanto a los requerimientos exigidos para el cumplimiento normativo de su implantación. En este contexto, la pasada semana vio la luz la primera resolución sancionadora de la Agencia Española de Protección de Datos(R/02990/2013 del procedimiento PS/00321/2013), de fecha 14 de enero de 2014, por el uso de cookies sin cumplir los requisitos legales establecidos en materia de información y consentimiento por parte de dos entidades.
La citada resolución supone un hito importante en el criterio e interpretación a seguir por los prestadores de servicios de la sociedad de la información cuando instalen y utilicen cookies, respetando y protegiendo el derecho a la privacidad de los usuarios de conformidad con lo establecido por la normativa nacional y comunitaria.
La regulación vigente en materia de cookies se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico), modificado por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas, que establece que:
”Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado suconsentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
En el caso analizado por la Resolución 02990/2013 de la Agencia Española de Protección de Datos se presta especial atención a la interpretación de las dos principales obligaciones impuestas por la normativa: el deber de información y el de obtención del consentimiento.
Deber de información: En relación con el deber de información, la Agencia Española de Protección de Datos en la Resolución analizada, establece claramente los requisitos a cumplir. Así, se hace referencia a la denominada puesta a disposición de la información por capas. La Agencia Española de Protección de Datos considera válido que la información requerida por la normativa pueda ser facilitada al usuario a través de diversas capas, siempre y cuando la información facilitada sea clara, completa, y la misma se encuentre accesible al usuario, estableciendo el contenido mínimo que ha de contener cada una de las capas.
A) Primera Capa: La primera capa de información debe ser facilitada al usuario en el primer acceso que se realice al site del prestador, bien a través de la barra de encabezamiento, pie de página o ventana emergente accesible desde la propia home del sitio web.
“En esta primera capa deberá incluirse la siguiente información mínima:
- Advertencia sobre el uso de cookies no exceptuadas que se instalan en al navegar por los sitios web o al utilizar el servicio solicitado.
- Identificación de las finalidades de las cookies que se instalan, con información de si las cookies son propias o de terceros.
- Advertencia, en su caso, de que se si realiza una determinada acción (clicar en un “acepto”, seguir navegando en el “site”, etc.) se entenderá que el usuario acepta el uso de las cookies.
- Un enlace a la segunda capa informativa en la que se indica la información más detallada.”
B) Segunda Capa (Política de Cookies): La segunda capa de información debe corresponderse con lo que denominamos Política de Cookies. La Agencia Española de Protección de Datos ha venido recomendando que esta información específica sobre el uso de cookies se facilite a través de una política o documento especifico, distinto de las Condiciones de Uso, Aviso Legal o Política de Privacidad del site, en cuanto que su independencia facilita su localización por parte del usuario, y en consecuencia, el cumplimiento de los requerimientos de información exigidos.
El contenido de esta segunda capa de información también es definido por la Agencia Española de Protección de Datos en la Resolución 02990/2013:
“En la segunda capa se debería incluir la siguiente información:
- Definición y función de las cookies.
- Tipo de cookies que utiliza la web y su finalidad.
- Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
- Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de cookies”.
Las entidades sancionadas por la Resolución 02990/2013, según la Agencia Española de Protección de Datos, no precisan con suficiente claridad si la tipología de las cookies incluidas en el documento se corresponde con las realmente utilizadas y con las finalidades descritas en las mismas, o lo que es lo mismo, que no se identifica inequívocamente las cookies instaladas ni sus finalidades de menara que permita conocer al usuario de una forma apropiada el uso que se dará a la información almacenada. Tampoco se identifica claramente quien es el responsable de su uso, si el propio editor del site o un tercero que también deben ser identificados.
Es, por tanto, fundamental que los prestadores de servicios de la sociedad de la información que utilicen cookies en sus sites, identifiquen claramente en sus políticas de cookies de forma clara y completa, la siguiente información: tipología, nombre, finalidad, tiempo que permanecen activadas y responsable.
Igualmente, deberá ponerse a disposición de los usuarios información completa acerca de cómo proceder a la revocación del consentimiento prestado, ya sea través del propio site o a través de la configuración de los distintos navegadores.
Igualmente, deberá ponerse a disposición de los usuarios información completa acerca de cómo proceder a la revocación del consentimiento prestado, ya sea través del propio site o a través de la configuración de los distintos navegadores.
Obtención del consentimiento: Para la instalación y utilización de cookies se exige contar con el consentimiento del usuario, que podrá obtenerse mediante fórmulas expresas (“consiento”, “acepto”, etc.), o bien a través de una determinada acción realizada por el usuario (configuración del navegador). En cualquier caso, para que el consentimiento obtenido sea válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado toda la información exigida en los términos comentados anteriormente. En el presente supuesto, ninguna infracción fue entendida cometida por la Agencia Española de Protección de Datos en su Resolución.
En definitiva, las entidades han sido sancionadas por haber quedado acreditada la instalación de cookies en los equipos terminales de los usuarios que visitan las páginas web de su titularidad sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales, si bien han visto atenuada la sanción al considerar la Agencia Española de Protección de Datos que “se considera acreditada la falta de intencionalidad”.