Publicidad
Inicio » Noticias Jurídicas » Primera Sanción de la AEPD por el uso de ‘Cookies’

Primera Sanción de la AEPD por el uso de ‘Cookies’

Las cookies han dado mucho que hablar en los últimos tiempos, existiendo diversidad de interpretaciones en cuanto a los requerimientos exigidos para el cumplimiento normativo de su implantación. En este contexto, la pasada semana vio la luz la primera resolución sancionadora de la Agencia Española de Protección de Datos (R/02990/2013 del procedimiento PS/00321/2013), de fecha 14 de enero de 2014, por el uso de cookies sin cumplir los requisitos legales establecidos en materia de información y consentimiento por parte de dos entidades.

La citada resolución supone un hito importante en el criterio e interpretación a seguir por los prestadores de servicios de la sociedad de la información cuando instalen y utilicen cookies, respetando y protegiendo el derecho a la privacidad de los usuarios de conformidad con lo establecido por la normativa nacional y comunitaria.

La regulación vigente en materia de cookies se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico), modificado por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas, que establece que:

”Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

En el caso analizado por la Resolución 02990/2013 de la Agencia Española de Protección de Datos se presta especial atención a la interpretación de las dos principales obligaciones impuestas por la normativa: el deber de información y el de obtención del consentimiento.

Deber de información: En relación con el deber de información, la Agencia Española de Protección de Datos en la Resolución analizada, establece claramente los requisitos a cumplir. Así, se hace referencia a la denominada puesta a disposición de la información por capas. La Agencia Española de Protección de Datos considera válido que la información requerida por la normativa pueda ser facilitada al usuario a través de diversas capas, siempre y cuando la información facilitada sea clara, completa, y la misma se encuentre accesible al usuario, estableciendo el contenido mínimo que ha de contener cada una de las capas.

A) Primera Capa: La primera capa de información debe ser facilitada al usuario en el primer acceso que se realice al site del prestador, bien a través de la barra de encabezamiento, pie de página o ventana emergente accesible desde la propia home del sitio web.

“En esta primera capa deberá incluirse la siguiente información mínima:

– Advertencia sobre el uso de cookies no exceptuadas que se instalan en al navegar por los sitios web o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan, con información de si las cookies son propias o de terceros.
– Advertencia, en su caso, de que se si realiza una determinada acción (clicar en un “acepto”, seguir navegando en el “site”, etc.) se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a la segunda capa informativa en la que se indica la información más detallada.”

B) Segunda Capa (Política de Cookies): La segunda capa de información debe corresponderse con lo que denominamos Política de Cookies. La Agencia Española de Protección de Datos ha venido recomendando que esta información específica sobre el uso de cookies se facilite a través de una política o documento especifico, distinto de las Condiciones de Uso, Aviso Legal o Política de Privacidad del site, en cuanto que su independencia facilita su localización por parte del usuario, y en consecuencia, el cumplimiento de los requerimientos de información exigidos.

El contenido de esta segunda capa de información también es definido por la Agencia Española de Protección de Datos en la Resolución 02990/2013:

“En la segunda capa se debería incluir la siguiente información:

– Definición y función de las cookies.
– Tipo de cookies que utiliza la web y su finalidad.
– Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
– Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de cookies”.

Las entidades sancionadas por la Resolución 02990/2013, según la Agencia Española de Protección de Datos, no precisan con suficiente claridad si la tipología de las cookies incluidas en el documento se corresponde con las realmente utilizadas y con las finalidades descritas en las mismas, o lo que es lo mismo, que no se identifica inequívocamente las cookies instaladas ni sus finalidades de menara que permita conocer al usuario de una forma apropiada el uso que se dará a la información almacenada. Tampoco se identifica claramente quien es el responsable de su uso, si el propio editor del site o un tercero que también deben ser identificados.

Es, por tanto, fundamental que los prestadores de servicios de la sociedad de la información que utilicen cookies en sus sites, identifiquen claramente en sus políticas de cookies de forma clara y completa, la siguiente información: tipología, nombre, finalidad, tiempo que permanecen activadas y responsable.
Igualmente, deberá ponerse a disposición de los usuarios información completa acerca de cómo proceder a la revocación del consentimiento prestado, ya sea través del propio site o a través de la configuración de los distintos navegadores.

Obtención del consentimiento: Para la instalación y utilización de cookies se exige contar con el consentimiento del usuario, que podrá obtenerse mediante fórmulas expresas (“consiento”, “acepto”, etc.), o bien a través de una determinada acción realizada por el usuario (configuración del navegador). En cualquier caso, para que el consentimiento obtenido sea válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado toda la información exigida en los términos comentados anteriormente. En el presente supuesto, ninguna infracción fue entendida cometida por la Agencia Española de Protección de Datos en su Resolución.

En definitiva, las entidades han sido sancionadas por haber quedado acreditada la instalación de cookies en los equipos terminales de los usuarios que visitan las páginas web de su titularidad sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales, si bien han visto atenuada la sanción al considerar la Agencia Española de Protección de Datos que “se considera acreditada la falta de intencionalidad”.

por María González Moreno y Teresa Pereyra Caramé. Asociadas Senior del Área de Information Technology de ECIJA

Contenidos relacionados

Ver Todos >>

El Defensor del Pueblo propone establecer directrices tributarias para el alquiler de viviendas turísticas

El Defensor del Pueblo propone establecer directrices tributarias para el alquiler de viviendas turísticas

El Defensor del Pueblo ha planteado a la Secretaría de Estado de Hacienda la necesidad de que clarifique la fiscalidad de los rendimientos producidos por el alquiler de inmuebles destinados a uso turístico, cuando los propietarios son personas físicas que no ejercen una actividad empresarial y/o profesional. De no dictarse directrices claras, esta actividad quedará únicamente en manos de empresas ... Leer Más »

El Consejo de Ministros acuerda un arbitraje obligatorio como solución a la huelga del aeropuerto de Barcelona

El Consejo de Ministros acuerda un arbitraje obligatorio como solución a la huelga del aeropuerto de Barcelona

El Consejo de Ministros extraordinario celebrado el miércoles 16 de agosto ha acordado establecer un arbitraje obligatorio como medio de solución de la huelga declarada en la empresa Eulen Seguridad en el aeropuerto de Barcelona-El Prat. Esta decisión se adopta en aplicación de lo dispuesto en el párrafo primero del artículo 10 del Real Decreto Ley 17/1977, de 4 de ... Leer Más »

Más de 408.000 ciudadanos se benefician del Expediente Electrónico de Justicia Gratuita en los siete primeros meses de 2017

Más de 408.000 ciudadanos se benefician del Expediente Electrónico de Justicia Gratuita en los siete primeros meses de 2017

  Supone un incremento de casi el 5% con respecto al mismo periodo de 2016 El Expediente puesto en marcha por el Consejo General de la Abogacía Española simplifica y acorta los plazos y evita desplazamientos y esperas La utilización del Expediente Electrónico de Justicia Gratuita sigue incrementándose durante 2017 ya que hubo 408.668 solicitudes de ciudadanos que utilizaron hasta ... Leer Más »

La AEPD premiará las iniciativas del sector público y privado para adaptarse al Reglamento General de Protección de Datos

La AEPD premiará las iniciativas del sector público y privado para adaptarse al Reglamento General de Protección de Datos

La Agencia quiere reconocer las buenas prácticas realizadas por las organizaciones, así como fomentar el conocimiento de la nueva normativa. Este nuevo premio se convoca en dos modalidades: una dirigida a empresas privadas, asociaciones y fundaciones, y otra a entidades del sector público En los proyectos presentados se valorarán aspectos como su adecuación, innovación, el grado de implantación de los ... Leer Más »

Acuerdo de reconocimiento de títulos, diplomas y grados académicos con argentina

Acuerdo de reconocimiento de títulos, diplomas y grados académicos con argentina

El Consejo de Ministros ha aprobado la firma ad referéndum del Acuerdo de reconocimiento mutuo de títulos, diplomas y grados académicos de Educación Superior Universitaria entre el Reino de España y la República Argentina, rubricado el 23 de febrero de 2017 con ocasión de la visita a España del presidente de la República Argentina. Además, se decide su remisión a ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon