Hace unos días, algunos medios de comunicación publicaban una noticia sobre una resolución sancionadora de la Agencia Española de Protección de Datos (en adelante la AEPD) impuesta a una entidad propietaria, según los titulares de la prensa, de una de las webs más activas de piratería digital (R/00267/2017).
A pesar de que titulares así, pueden hacer que parezca que la AEPD ha sancionado por piratería, en realidad lo ha hecho por infracción del artículo 22.2, relativo a los derechos de los usuarios, de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI), como así aclaran, por otro lado, los diferentes medios de prensa en el cuerpo de sus artículos.
Este tipo de resoluciones sancionadoras hacen que no nos olvidemos de lo importante que es la obligación,de informar para obtener el consentimiento inequívoco de los interesados para el almacenamiento de sus datos de carácter personal a través, en este caso, de las famosas cookies.
Recordemos que las cookies son pequeños ficheros que se descargan en el equipo terminal de un usuario con la finalidad de almacenar, recuperar y/o actualizar datos.
Asimismo, esos ficheros almacenan una información que permiten, además de mejorar la navegación, llevar a cabo la recogida actualizada y continuada de datos relacionados con sus equipos y perfiles de navegación a los que, posteriormente, los responsables de los sitios web tendrán acceso y podrán tratar a su conveniencia.
Si bien es cierto que este almacenamiento está amparado por la LSSI cuando indica en su artículo 22 que: “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (…)”. Este tratamiento sólo será legítimo cuando los destinatarios hayan dado su consentimiento para ello, después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines de tratamiento de los datos (…)”.
¿Cómo debemos proceder a facilitar esa información clara y completa?
Como ya hemos comentado en este mismo blog, la AEPD no exige una fórmula específica para cumplir con el deber de información, sin embargo en su “Guía sobre el uso de cookies” nos propone un sistema de información basado en dos capas de información:
• Una primera capa, donde debe mostrarse la información esencial sobre la existencia o no de cookies, si son propias o de terceros y las finalidades de las cookies empleadas.
• Una segunda capa, en la que debe aparecer una información adicional que verse sobre que son y para que se utilizan las cookies, sus tipos y finalidades, como desactivarlas, eliminarlas o incluso denunciarlas…etc.
Sistema que nos recuerda, efectivamente, al sistema de información propuesto por la AEPD en la Guía para el cumplimiento del deber de informar del Reglamento General de Protección de Datos Europeo.
Volviendo a la resolución, ¿cuáles son los argumentos que la AEPD para sancionar a la web?
El argumento principal es el incumplimiento de ese deber de informar, puesto que a pesar de que la web sancionada sí ofrecía una información sobre el uso de dispositivos de almacenamiento y recuperación de datos (en adelante DARD) que dividía en un sistema de dos capas, se constató que en la primera capa no se especificaban las finalidades de los DARD utilizados y en la segunda capa no se hacía referencia al almacenamiento local relativo a redes sociales.
Por tanto, no puede entenderse que la página web proporcionara información suficiente al usuario respecto de la instalación de DARD para otorgar su consentimiento informado que permitiese el uso de los mismos de acuerdo con el mandato del art. 22.2 de la LSSI.
Por último indicar, que no debemos olvidar que no es la primera vez que la AEPD sanciona por no informar de forma correcta.Subrayamos esto último.