Inicio » Noticias Jurídicas » Primera Sanción de la AEPD por el uso de ‘Cookies’

Primera Sanción de la AEPD por el uso de ‘Cookies’

Las cookies han dado mucho que hablar en los últimos tiempos, existiendo diversidad de interpretaciones en cuanto a los requerimientos exigidos para el cumplimiento normativo de su implantación. En este contexto, la pasada semana vio la luz la primera resolución sancionadora de la Agencia Española de Protección de Datos (R/02990/2013 del procedimiento PS/00321/2013), de fecha 14 de enero de 2014, por el uso de cookies sin cumplir los requisitos legales establecidos en materia de información y consentimiento por parte de dos entidades.

La citada resolución supone un hito importante en el criterio e interpretación a seguir por los prestadores de servicios de la sociedad de la información cuando instalen y utilicen cookies, respetando y protegiendo el derecho a la privacidad de los usuarios de conformidad con lo establecido por la normativa nacional y comunitaria.

La regulación vigente en materia de cookies se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico), modificado por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas, que establece que:

”Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

En el caso analizado por la Resolución 02990/2013 de la Agencia Española de Protección de Datos se presta especial atención a la interpretación de las dos principales obligaciones impuestas por la normativa: el deber de información y el de obtención del consentimiento.

Deber de información: En relación con el deber de información, la Agencia Española de Protección de Datos en la Resolución analizada, establece claramente los requisitos a cumplir. Así, se hace referencia a la denominada puesta a disposición de la información por capas. La Agencia Española de Protección de Datos considera válido que la información requerida por la normativa pueda ser facilitada al usuario a través de diversas capas, siempre y cuando la información facilitada sea clara, completa, y la misma se encuentre accesible al usuario, estableciendo el contenido mínimo que ha de contener cada una de las capas.

A) Primera Capa: La primera capa de información debe ser facilitada al usuario en el primer acceso que se realice al site del prestador, bien a través de la barra de encabezamiento, pie de página o ventana emergente accesible desde la propia home del sitio web.

“En esta primera capa deberá incluirse la siguiente información mínima:

– Advertencia sobre el uso de cookies no exceptuadas que se instalan en al navegar por los sitios web o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan, con información de si las cookies son propias o de terceros.
– Advertencia, en su caso, de que se si realiza una determinada acción (clicar en un “acepto”, seguir navegando en el “site”, etc.) se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a la segunda capa informativa en la que se indica la información más detallada.”

B) Segunda Capa (Política de Cookies): La segunda capa de información debe corresponderse con lo que denominamos Política de Cookies. La Agencia Española de Protección de Datos ha venido recomendando que esta información específica sobre el uso de cookies se facilite a través de una política o documento especifico, distinto de las Condiciones de Uso, Aviso Legal o Política de Privacidad del site, en cuanto que su independencia facilita su localización por parte del usuario, y en consecuencia, el cumplimiento de los requerimientos de información exigidos.

El contenido de esta segunda capa de información también es definido por la Agencia Española de Protección de Datos en la Resolución 02990/2013:

“En la segunda capa se debería incluir la siguiente información:

– Definición y función de las cookies.
– Tipo de cookies que utiliza la web y su finalidad.
– Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
– Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de cookies”.

Las entidades sancionadas por la Resolución 02990/2013, según la Agencia Española de Protección de Datos, no precisan con suficiente claridad si la tipología de las cookies incluidas en el documento se corresponde con las realmente utilizadas y con las finalidades descritas en las mismas, o lo que es lo mismo, que no se identifica inequívocamente las cookies instaladas ni sus finalidades de menara que permita conocer al usuario de una forma apropiada el uso que se dará a la información almacenada. Tampoco se identifica claramente quien es el responsable de su uso, si el propio editor del site o un tercero que también deben ser identificados.

Es, por tanto, fundamental que los prestadores de servicios de la sociedad de la información que utilicen cookies en sus sites, identifiquen claramente en sus políticas de cookies de forma clara y completa, la siguiente información: tipología, nombre, finalidad, tiempo que permanecen activadas y responsable.
Igualmente, deberá ponerse a disposición de los usuarios información completa acerca de cómo proceder a la revocación del consentimiento prestado, ya sea través del propio site o a través de la configuración de los distintos navegadores.

Obtención del consentimiento: Para la instalación y utilización de cookies se exige contar con el consentimiento del usuario, que podrá obtenerse mediante fórmulas expresas (“consiento”, “acepto”, etc.), o bien a través de una determinada acción realizada por el usuario (configuración del navegador). En cualquier caso, para que el consentimiento obtenido sea válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado toda la información exigida en los términos comentados anteriormente. En el presente supuesto, ninguna infracción fue entendida cometida por la Agencia Española de Protección de Datos en su Resolución.

En definitiva, las entidades han sido sancionadas por haber quedado acreditada la instalación de cookies en los equipos terminales de los usuarios que visitan las páginas web de su titularidad sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales, si bien han visto atenuada la sanción al considerar la Agencia Española de Protección de Datos que “se considera acreditada la falta de intencionalidad”.

por María González Moreno y Teresa Pereyra Caramé. Asociadas Senior del Área de Information Technology de ECIJA

Contenidos relacionados

Ver Todos >>

Condenado por incitar a su perro de raza peligrosa a atacar a un hombre

Condenado por incitar a su perro de raza peligrosa a atacar a un hombre

El Juzgado de lo Penal número 2 de Vitoria- Gasteiz ha condenado a un hombre a un año y dos meses de cárcel y al pago de una indemnización de 1.440 euros por haber incitado a su perro, de la raza American Staffordshire terrier -considerado potencialmente peligrosa- contra el dueño de otro can a quien mordió en un brazo. Los ... Leer Más »

Se publica las deducciones anticipadas por el IRPF para personas con discapacidad y familia numerosa

Se publica las deducciones anticipadas por el IRPF para personas con discapacidad y familia numerosa

Hoy se ha publicado en el BOE una orden del Ministerio de Hacienda para introducir un mecanismo para abonar las nuevas deducciones anticipadas en el IRPF por discapacidad y familia numerosa. En cuanto a las deducciones por personas con discapacidad, se sigue incluyendo los supuestos que antes venían incluyéndose para esta deducción, pero se añade una nueva: la deducción por cónyuge ... Leer Más »

Los embajadores pueden recurrir la extradición de un ciudadano de su país

Los embajadores pueden recurrir la extradición de un ciudadano de su país

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha establecido que un embajador, como representante de un Estado, está legitimado para recurrir ante los tribunales del Estado de destino la extradición de un ciudadano de su país sin necesidad de contar con una decisión al respecto de la autoridad competente del estado que representa. El tribunal reconoce esta facultad al ... Leer Más »

ISDE firma un acuerdo de colaboración con el despacho latinoamericano Bergés Dreyfous & Asociados

ISDE firma un acuerdo de colaboración con el despacho latinoamericano Bergés Dreyfous & Asociados

ISDE ha alcanzado un acuerdo de colaboración con el bufete Bergés Dreyfous & Asociados. Esta alianza se enmarca dentro de la política de vinculación y participación directa de los despachos de abogados con la oferta formativa de ISDE, institución especializada en la formación jurídico económica del más alto nivel. En este sentido, Bergés Dreyfous & Asociados, fundado en 1975, es ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon