La Agencia Española de Protección de Datos (AEPD), además de tener potestad sancionadora en caso de que se infrinja lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD); también le corresponde la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).
La LSSI entra en vigor hace ya casi dos décadas, concretamente en el año 2002, y ha ido sufriendo en el tiempo una serie de modificaciones de muy diversa índole en su articulado y, especialmente si nos centramos en uno de sus artículos más importantes en la materia que nos ataña, esto es el artículo 22, referido a los derechos de los destinatarios de los servicios.
En 2012, a raíz de la publicación del Real Decreto Ley 13/2012, “se exige el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información en el equipo de usuario y permiten que se acceda a ésta (las cookies)”; pues con su uso pueden desvelarse aspectos de la esfera privada de los usuarios y adquiere importancia que estos estén informados y dispongan de mecanismos que les permitan preservar su privacidad.
Por otra parte, con la entrada en vigor de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, se configura la redacción del apartado segundo del artículo 22:
- Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siempre que se cuente con su consentimiento y tras haberles facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
- Cuando sea técnicamente posible y eficaz, el consentimiento para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Hasta la aprobación del RGPD era válido obtener el consentimiento tácito del interesado a través de la inacción del mismo, siempre y cuando se hubiera informado con carácter previo. Sin embargo, tal y como analizamos en una de nuestras publicaciones de este blog (ver aquí), ante el nuevo escenario en el que nos encontrábamos con el cambio normativo en materia de protección de datos personales, la AEPD publicaba con fecha 8 de noviembre de 2019 una Guía sobre el uso de las cookies (la Guía), con el fin de ofrecer ciertas orientaciones, partiendo de la base de que el consentimiento ahora debe ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.
También, en línea de lo expuesto en la Guía, la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies es la llamada “información en dos capas”.
Atendiendo a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), esta Guía ha sido actualizada y adaptada por la AEPD en julio de 2020, estableciéndose nuevos criterios al respecto.
NUEVOS CRITERIOS
- En cuanto a la validez de la fórmula “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios, el Comité considera que no constituye, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario.
- Respecto a la opción de utilizar los conocidos como “muros de cookies”, esto es, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.
No podrán entonces utilizarse “muros de cookies» que no ofrezcan una alternativa al consentimiento. Este criterio es aún más relevante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.
- No obstante, puede haber determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.
Conviene aclarar que, en ningún caso es o será lícito que el servicio lo ofrezca una entidad ajena.
La AEPD emitía su primera resolución sancionadora por una infracción del artículo 22.2 LSSI en el año 2014 (ver aquí), y desde entonces, no hemos parado de ver y analizar resoluciones relacionadas y que sin duda han ido sentando jurisprudencia en la materia.
De hecho, una de las resoluciones más impactantes y trascendentes, y que hoy analizamos en el presente blog, ha sido dictada por la AEPD el pasado mes de octubre a la conocida aerolínea española, IBERIA, por infringirse el artículo 22.2 LSSI. En este caso, además, la entidad se enfrenta por ello a la máxima sanción económica prevista en el artículo 39.1c de la LSSI: 30.000 euros. (ver resolución)
El origen de este procedimiento tiene lugar con la denuncia de un particular ante la AEPD por considerar que al buscar un viaje a través de su página web (www.iberia.com), no se le ofrecía la opción de rechazar las cookies, sino que tenía que aceptarlas obligatoriamente para seguir navegando por la misma.
A raíz de esta denuncia, la AEPD procedió a realizar las actuaciones correspondientes para el esclarecimiento de los hechos, y la entidad por su parte, emitió las siguientes alegaciones: En primer lugar, siempre ha mantenido que llevaba trabajando desde junio de 2019 en el diseño de la Política de Cookies conforme a las nuevas exigencias normativas y guías de buenas prácticas emitidas por la AEPD. Asevera, asimismo; que, aunque en el momento de recepción de la reclamación, la entidad estaba realizando una serie de pruebas finales en la página web para poner en marcha la nueva funcionalidad de información y autogestión de cookies, ya desde principios del 2020 la página web cumplía tanto con la normativa, como con las recomendaciones emitidas por la autoridad de control.
Por otra parte, la entidad afirma que estaba implementando en ese momento un banner que además de informar sobre la responsabilidad del uso de las cookies, permitía configurar la tipología de cookies que se encuentran en la web, o bien aceptar todas ellas. Además, sostiene la entidad que las cookies de la web están siempre activadas y son configurables, exceptuando las técnicas.
Sin embargo, en el trascurso de la investigación realizada por parte de la AEPD, se comprueba que:
- Al acceder a la página web, en la primera capa, el banner sobre cookies proporciona información poco concisa, transparente o inteligible, utilizándose la expresión “(…)almacenas cookies en su dispositivo para garantizar el buen funcionamiento y la seguridad de nuestros sitios web, y ofrecerle la mejor experiencia de navegación posible (…)”, ya que inducen a confusión desvirtuando la claridad del mensaje, (punto 3.1.2.1 de la Guía).
- En la primera capa, se indica que para aceptar todas las cookies, se debe hacer clic en “aceptar”, o bien si desea cambiar la configuración de las cookies se debe hacer clic en “Configuración de cookies”, pero no se informa de que cuando se accede a la página, sin haber realizado ninguna otra acción se cargan cookies sin haberlas aceptado.
- Tampoco se informa de si las cookies son propias o de terceros, ni acerca del tipo de datos que se van a recopilar en caso de que se elaboren perfiles (cookies de publicidad comportamental). Si no se pulsa el botón de “aceptar” o el botón de “configuración de cookies”, no se permite seguir navegando, con lo cual no se da realmente la opción al usuario de rechazar el uso de cookies (punto 3.1.2.2. guía).
- Entrando en la segunda capa, a través del enlace, “configuración de cookies” o en la página de “política de cookies”, se permite su configuración de forma granular, pero no se identifican las cookies de terceros y no se informa del periodo de conservación de las cookies en el navegador (excepto las utilizadas para equilibrar la carga en la infraestructura del sitio web).
Ante esto, la entidad, consideraba que los hechos sobre los que se inicia el procedimiento no son los mismos por los que se remitió el primer requerimiento en el expediente; ya que de inicio únicamente se daba traslado de una reclamación y se requería información en relación con la política de cookies de la web, con el uso que de dichas cookies se hace, así como de la no inclusión de una opción de oposición al tratamiento de datos personales que se realiza mediante las mismas.
A ojos de la reclamada, una vez ya se realizaron las pequeñas modificaciones llevadas a cabo en los textos y las correcciones técnicas, se demuestra que los motivos del procedimiento sancionador no guardan relación con el hecho denunciado y que, sin embargo, se mantiene la misma propuesta de resolución y misma cuantía de la multa cuando el bien jurídico protegido por el artículo 22.2 LSSI no ha sido vulnerado. De hecho, insiste en reiteradas ocasiones en que “concurriendo los requisitos establecidos en el art. 39bis.2 LSSI (hechos constitutivos de infracción leve y la existencia de un registro histórico limpio por parte de la entidad en materia de cookies e infracciones LSSI) la actuación diligente por parte de la AEPD hubiera consistido en emitir un apercibimiento, en lugar de iniciar procedimiento sancionador, y otorgar un plazo de subsanación”.
RESOLUCIÓN
Con todo, la AEPD dictamina, en este caso, que, tras comprobarse nuevamente varios puntos de la Política de Cookies de la página, ésta aún no se ajustaba a las recomendaciones hechas en la Guía. Así, se entiende que la entidad no había cumplido con lo afirmado previamente, motivo por el cual se procedió a la apertura del expediente sancionador.
Recalca que hasta que la entidad reclamada no recibió la incoación del expediente sancionador con una propuesta de sanción de 30.000 euros, no ha procedido realmente a modificar la página web en lo referente a las cookies; y que, la opción de emitir un apercibimiento, en lugar de iniciar procedimiento sancionador, hubiera sido lo correcto si la entidad hubiera realizado o intentado realizar los cambios que indicó realizados en enero de 2020 y que no fueron realmente hechos.
Aunque actualmente, tal y como hemos comprobado, IBERIA ya ha actualizado la web conforme a las pautas otorgadas en materia de cookies, haberlo hecho con tanto retraso le ha salido caro; por lo que animamos a todas aquellas entidades que aún no tengan sus páginas web debidamente actualizadas a hacerlo cuanto antes.