Cookies: regulación, criterios interpretativos y sanciones

Cookies: regulación, criterios interpretativos y sanciones

En los últimos meses hemos asistido a un incremento del número de sanciones impuestas por parte de la Agencia Española de Protección de Datos en materia de cookies. A modo de ejemplo, Twitter España y Vueling han sido sancionadas con multas de 30.000 euros cada una de ellas. Por su parte, Ikea ha sido sancionada con una multa de 10.000 euros. Igualmente, entidades de menores dimensiones que las anteriores también recibido sanciones con multas que oscilan entre los 1.000 y los 4.000 euros. Pero, ¿cuál es la regulación sobre las cookies y por qué están siendo sancionadas estas entidades?

Regulación y casuística

La regulación sobre las denominadas cookies la encontramos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. En este sentido, el mencionado artículo legitima la instalación de cookies en los dispositivos de los usuarios, siempre y cuando estos hayan prestado su consentimiento, después de que se les haya facilitado información clara y completa sobre su utilización.

Los motivos de las sanciones, anteriormente mencionadas, son referentes a incumplimientos bien del deber de informar, bien por la forma en la que las entidades obtienen el consentimiento para legitimar la instalación de cookies en los dispositivos de los usuarios.

En una primera aproximación, es relevante traer a colación que no siempre es obligatorio solicitar el consentimiento para la instalación de cookies en los dispositivos de los usuarios. La AEPD, en su Guía sobre el uso de las cookies publicada en el mes de noviembre de 2019, ya establecía que se deberá valorar la necesidad de contar con el consentimiento del usuario en función de la finalidad de las cookies que se pretenden utilizar. En este sentido, la AEPD establece cuatro grandes grupos de cookies –aunque podríamos identificar otros grupos o subgrupos, o cookies concretas con diferentes finalidades, como las denominadas híbridas- divididas en función de su finalidad, identificando cookies técnicas, de personalización, analíticas y publicitarias. En este sentido, es importante resaltar que únicamente es obligatorio obtener el consentimiento para la instalación de cookies analíticas y publicitarias. Y sobre éstas nos centraremos en los próximos párrafos.

Para poder valorar la idoneidad del consentimiento prestado por los usuarios, es de especial relevancia el Reglamento UE 2016/679, generalmente conocido como RGPD, debido a que las cookies almacenan datos personales, protegidos por esta regulación. El RGPD establece que el consentimiento, para poder considerarse válido, debe contar con los siguientes elementos: debe prestarse libremente, de forma específica para cada tratamiento concreto, debe ser informado e inequívoco. Este último concepto –inequívoco- estaba provocando diferentes interpretaciones entre las entidades y organismos reguladores, como analizaremos posteriormente.

En primer lugar, y en lo que respecta al deber de información, es necesario que las páginas web cuenten con un banner de cookies –y políticas de cookies– en su página principal donde se informe a los usuarios sobre el uso de cookies y se obtenga el consentimiento de los usuarios para su instalación –en los casos en lo que es necesario recabar el consentimiento-.

Pero, ¿cómo podemos obtener el consentimiento?

Por su parte, la AEPD, en la ya mencionada Guía sobre el uso de cookies del año 2019, establecía tres posibilidades para obtener el consentimiento a través del banner de cookies:

  • Incluir en el banner un botón de “Aceptar” donde el usuario pueda aceptar expresamente la instalación. Sin el click del usuario en el mencionado botón, no se podrán instalar cookies analíticas y/o publicitarias en el dispositivo usuario.
  • Muy similar a la anterior, incluir en el banner dos botones, “Aceptar” y “Rechazar”. Sin el click del usuario en el botón, no se podrán instalar cookies analíticas y/o publicitarias en el dispositivo usuario.
  • La tercera opción, y la más polémica, es el uso del muy extendido “si continúa navegando consideramos que acepta el uso de cookies”.

Esta última opción, utilizada por multitud de entidades en sus páginas web, es la que está conllevando mayores problemas legales a los responsables del tratamiento. La AEPD, en la Guía sobre el uso de cookies de 2019, advertía a los responsables del tratamiento que quisieran utilizar esta opción de que tendrían que cumplir con dos obligaciones adicionales. La primera de ellas consiste en que, además de que el banner debe incluir toda la información necesaria para que el usuario comprenda qué tipo de cookies se van a instalar en su dispositivo, el banner de cookies no podía contener ningún botón de “Aceptar” ni “Rechazar”. La segunda obligación consiste en que, en la Política General de Cookies de la web, se incluya un botón denominado “Rechazar todas las cookies”, para dar cumplimiento al principio referente a que debe ser tan sencillo prestar el consentimiento como retirarlo.

Las entidades que están siendo sancionadas por la Agencia Española de Protección de Datos, están obteniendo consentimientos inválidos por no cumplir con alguna de las anteriores premisas, por lo que el tratamiento de datos personales realizado a través de las cookies, se considera ilegítimo. También la AEPD ha emitido resoluciones en las que sancionaba a un responsable del tratamiento debido a que, aunque el banner fuese correcto en cuanto a contenido y recogida del consentimiento, las cookies se instalaban por defecto en el dispositivo del usuario incluso cuando éste no realizaba ninguna acción.

Disparidad de criterios entre la AEPD y la EDPB

Los profesionales de la privacidad ya veíamos cómo el resto de organismos nacionales europeos ponían en duda la obtención del consentimiento a través de la fórmula “Si continúa navegando consideramos que acepta el uso de cookies”, debido a que podría considerarse que este consentimiento no era inequívoco –recordemos, uno de los elementos del consentimiento válido-.

Por ello, la European Data Protection Board (EDPB), mediante la publicación de las recientes Guidelines 05/2020 on consent under Regulation 2016/679, publicadas en mayo de 2020, analizaba la fórmula de obtención del consentimiento, entendiendo que no debe considerarse válida por no cumplir con el elemento necesario de que el consentimiento sea inequívoco.

Entre las líneas de las mencionadas directrices, podemos identificar que la EDPB entiende que los responsables del tratamiento deben diseñar mecanismos de consentimiento de forma clara para los interesados, evitando la ambigüedad, y garantizando que la acción por la cual se presta el consentimiento se pueda distinguir de otras acciones. Por ello, continuar con el uso ordinario de una página web, no es una conducta desde la cual se puede inferir una indicación de deseos por parte de los interesados para indicar su aceptación al tratamiento de sus datos personales mediante el uso de cookies.

A raíz de las Guidelines 05/2020 mencionadas, la AEPD publicó, en julio de 2020, una nueva “Guía sobre el uso de cookies”, rectificando sus orientaciones plasmadas en la anterior guía del año 2019. En este sentido, la AEPD, siguiendo las indicaciones de la EDPB, establece que seguir navegando no es una forma válida de prestar el consentimiento. Por ello, la obtención del consentimiento –en aquellos casos en que sea obligatorio recabarlo- debe consistir en una clara acción afirmativa, como un pinchar en un botón de aceptar o una acción similar.

Adicionalmente, la AEPD, e igualmente siguiendo las indicaciones de la EDPB, establece que el acceso del usuario a los servicios y funcionalidades no debe supeditarse a la aceptación de las cookies por parte del usuario; debiendo evitar los responsables del tratamiento los denominados “muros de cookies” que no ofrezcan una alternativa al consentimiento. Este criterio tiene especial relevancia en los supuestos en los que la denegación del servicio –a través de un muro de cookies– impide el ejercicio de un derecho legalmente reconocido al usuario, cuando éste únicamente puede ejercitar dicho derecho a través del sitio web, por ejemplo.

En aquellos casos en los que la no aceptación de cookies impida el acceso al sitio web, o la utilización total o parcial del servicio, se debe informar adecuadamente al usuario sobre este extremo, así como facilitarle una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies –como venimos repitiendo, aquellas de las que sea obligatorio recabar el consentimiento-. Igualmente, hay que tener en cuenta que los servicios de ambas alternativas deberán ser equivalentes, y no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.

Conclusiones

El cumplimiento de las obligaciones legales en materia de cookies está siendo una cuestión problemática para los responsables del tratamiento, y está conllevando importantes sanciones.

Las sanciones en materia de cookies en España se encuentran reguladas en el art. 39 de la Ley 34/2002, pudiendo considerarse, en función del tipo de incumplimiento, como infracciones leves o graves. Las sanciones leves –que pueden ser impuestas por el mero incumplimiento- pueden conllevar multas de hasta 30.000 euros. Por su parte, las sanciones graves –que únicamente pueden ser impuestas por reiteración en el incumplimiento después de una sanción firme en materia de cookies- pueden conllevar multas de hasta 150.000 euros.

Por todo lo anterior, es necesario que los responsables del tratamiento analicen qué cookies utilizan y cómo están informando a los usuarios y obteniendo los consentimientos necesarios para su instalación, teniendo especialmente en cuenta que la extendida fórmula de “si continúa navegando consideramos que acepta el uso de cookies” ya no se considera válida y, por lo tanto, es sancionable.

La AEPD expresamente ha establecido un periodo transitorio de tres meses para la adaptación a la nueva guía de cookies, por lo que los nuevos criterios deben ser implementados antes del 31 de octubre de 2020.

 

Juan Manuel Valiente Rodríguez

Consultor de Privacidad y Compliance en Secure&IT

Internationally Certified Compliance Professional

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados