En las últimas semanas, las Cookies han sido un tema de tendencia a raíz de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el Asunto C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband Ev Y Planet49 GmbH. En este asunto, la sociedad alemana Planet 49, en el marco de juegos con fines promocionales organizados en línea, procedió a la configuración de una casilla marcada por defecto con la que los internautas que deseaban participar en dicho juego expresaban su consentimiento para la colocación de cookies, con el fin de recabar información con fines publicitarios para los productos de las empresas colaboradoras de Planet49.
En esta resolución, el TJUE declara que el consentimiento que el usuario de un sitio de Internet debe dar para la instalación de cookies en su equipo y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto, requiriendo la intervención del interesado para evitar esta aceptación.
También subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado por Planet49 con fines promocionales, no basta para considerar que este ha dado de manera válida su consentimiento para la instalación de cookies.
Es cierto que esta sentencia ha gozado de mucha difusión y se ha presentado como una resolución muy novedosa, tal vez porque el TJUE ha entrado de lleno en uno de los aspectos más polémicos que afecta de manera directa a los usuarios cuando hacen uso de la navegación online. Sin embargo, al fin y al cabo el Tribunal ha aplicado el Reglamento Europeo de Protección de Datos (RGPD), y en concreto ha tenido en cuenta los requisitos que la norma europea establece para recabar de forma válida el consentimiento de los interesados (art. 8 y Considerando 32).
Asimismo, el Grupo de Trabajo del artículo 29 (GT29), configurado actualmente como Comité Europeo de Protección de Datos, en sus Directrices sobre el consentimiento conforme a RGPD (puedes ver un artículo sobre su análisis aquí), ya dejaba claro que no son válidas las construcciones de exclusión voluntaria (opt-out boxes). Es decir, que requieren una intervención del interesado para evitar el tratamiento.
De igual modo, manifestaba que deben evitarse prácticas tales como incorporar casillas pre-marcadas en los procedimientos de gestión del consentimiento, pues el RGPD exige que el consentimiento debe otorgarse mediante una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado.
Y si esta Sentencia del TJUE se convertía en noticia en los medios de comunicación hace unas semanas, estos días hemos podido ver las redes sociales inundadas con publicaciones acerca de la resolución de la AEPD en el Procedimiento Nº: PS/00300/2019 sancionando a la conocida aerolínea Vueling, por no recabar el consentimiento de los usuarios de manera correcta para la instalación de cookies en su página web.
¿En qué fundamenta la AEPD su decisión?
Tras recibir la denuncia de un interesado, en el ejercicio de su potestad investigadora, la AEPD practicó diligencias de investigación, pudiendo constatar que:
- El aviso de cookies de la página web de la aerolínea poseía, y conserva hoy en día, la siguiente redacción:
“Utilizamos cookies para recordar tus preferencias, elaborar estadísticas de uso y ofrecerte publicidad basada en tus hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información al respecto consultando nuestra Política de Cookies”. El banner posee un enlace a la segunda capa: “Política de cookies” y la opción de, “Aceptar y continuar navegando”.
- Segunda capa de cookies. Esta contiene la política de cookies accesible en la URL a través del mencionado aviso de cookies de primera capa y a través también, desde un enlace en la parte inferior de la página web, en el que se informa sobre la “Política de Cookies”.
Tras esta investigación, y revisión del contenido de la segunda capa de la Política de Cookies, la AEPD pudo constatar que, con el mero acceso a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies se recaba de una manera implícita, ya que en ningún momento se da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas. De esta manera, no ofrece la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.
Así, la AEPD indica que, en este caso, la Política de Cookies carece de un panel de configuración de cookies, que permita al usuario eliminarlas de forma granular.
Para facilitar esta selección, el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias.
A este respecto, se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.
Por todo ello, la AEPD considera que la aerolínea ha cometido una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicio de Sociedad de la Información y Comercio electrónico (LSSI), según el cual: “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”.
A su vez, esta infracción está tipificada como leve en el artículo 38.4 g), de la LSSI, que considera como tal: utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2., pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.
Aunque la AEPD no lo indica de manera específica en su resolución, entendemos que la misma ya se ha dictado aplicando el RGPD, y teniendo en consideración cuáles son las características que debe tener el consentimiento, para que este sea recabado de manera lícita y conforme a la norma europea.
Ya en la 10ª Sesión anual abierta de la AEPD celebrada en 2018, se indicaba que los requisitos aplicables al consentimiento informado para el uso de cookies son los establecidos en el RGPD, en tanto que la LSSI, en su art. 22.2, se remite a la Ley Orgánica 15/1999, de protección de datos de carácter personal, en lo relativo a los requisitos del consentimiento informado, debiendo entender hecha esta remisión al RGPD, desde el 25 de mayo de 2018.
En base a ello, queremos aprovechar para recordar de manera resumida, cuáles son las directrices que se proporcionaban como necesarias para que una Política de Cookies cuente con una configuración correcta a efectos de la ley especial, LSSI, y RGPD:
- Debe excluirse cualquier tipo de información que induzca a confusión o desvirtúe la claridad del mensaje, como por ejemplo usamos cookies para personalizar su contenido y crear una mejor experiencia para usted o para mejorar su navegación o similares.
- La información y las decisiones de rechazar o de gestionar deben referirse a la utilización de las cookies y no a la recepción de publicidad.
- Posibilidad de retirada del consentimiento. En cualquier momento y con tanta facilidad como para prestar el mismo.
- Las acciones dirigidas a informarse sobre las cookies o para gestionarlas (global o granularmente) no puede considerarse como prestación de consentimiento basado en la acción de «seguir navegando».
- Como fórmulas posibles de configuración se pueden tener en cuenta las siguientes:
– Inclusión en la primera capa de: un botón (o mecanismo semejante) para aceptar todas las cookies, otro para rechazarlas y un tercero para configurarlas (este último botón podría ser también un enlace dentro del texto de la primera capa, que permitiría acceder a un panel de configuración en el que el usuario podría optar entre habilitar o no las cookies de forma granular).
– Un botón para aceptar todas las cookies y otro para configurarlas, especificándose ya en esta primera capa que la opción de configurar las cookies sirve también para rechazarlas.
– Hay sitios web que incorporan un botón de «aceptar» pero utilizan cookies si el usuario sigue navegando. La inclusión del botón y la opción de «seguir navegando» deben considerarse incompatibles puesto que inducen a error en la manifestación del consentimiento.
Tras lo planteado a lo largo del presente artículo, queda confirmado que disponemos de criterios suficientes y fundamentados; sentencia del TJUE, Directrices del GT29, resolución y criterios AEPD, para poder llevar a cabo la correcta configuración de nuestra Política de Cookies.