Muchas ya son las sanciones por vulneración de una política de cookies establecida en las páginas web de las entidades. Este procedimiento no es sino un ejemplo más de cómo el mal uso de las cookies puede terminar sacando los colores a muchas empresas.
Lo más curioso y excepcional de este caso es que las actuaciones se inician de oficio por parte de la Agencia Española de Protección de Datos (en adelante, AEPD) y no a instancia de parte o reclamación previa, como ocurre en la mayoría de los casos. De esto se infiere que la relevancia del buen establecimiento de las cookies cobra especial importancia en la actualidad.
Pues bien, de las actuaciones practicadas de oficio y de las comprobaciones diligenciadas en la web de una gran empresa de automoción, se constatan las siguientes características respecto a su Política de Cookies por parte de la AEPD:
- Sobre la utilización de cookies antes de que el usuario preste su consentimiento: Una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies y sin realizar ninguna acción sobre la página web, se comprueba que se utilizan las siguientes cookies:
- Cookies de naturaleza técnica o necesaria: Se utilizan para distribuir el tráfico del sitio web a diferentes servidores con el fin de optimizar los tiempos de respuesta; almacenar información sobre las categorías de cookies que utiliza el sitio y sobre si los visitantes han dado o retirado el consentimiento para el uso de cada categoría; así como registrar las decisiones del usuario sobre qué servicios o cookies están permitidos en función de su consentimiento.
- Cookies de Funcionalidad o Preferencias: Son aquellas que permiten a un sitio web recordar las elecciones que hace el usuario con respecto a su experiencia de navegación. Estas cookies no son esenciales para el funcionamiento básico del sitio, pero sí son útiles para ofrecer una experiencia más adaptada a las preferencias del usuario. Estas cookies almacenan información como el idioma preferido, la región desde donde accede el usuario, el tamaño del texto o el diseño.
La AEPD considera que hay que tener en cuenta que las cookies de funcionalidad o preferencia no son consideradas estrictamente necesarias para el funcionamiento básico del sitio web, lo que implica que, bajo el Reglamento General de Protección de Datos (en adelante, RGPD), sí es necesario solicitar el consentimiento previo del usuario para su instalación, ya que afectan a la experiencia personal, aunque no sean invasivas en cuanto a la recopilación de datos.
- Cookies de segmentación (cookies de publicidad o cookies de targeting): Son aquellas diseñadas para recoger información sobre los hábitos de navegación del usuario con el objetivo de mostrarle anuncios personalizados y relevantes. Estas cookies permiten a las empresas crear perfiles detallados de los usuarios basados en sus preferencias y comportamientos en línea, ayudando a orientar sus campañas publicitarias.
- Cookies cuya finalidad no ha podido ser determinada: Según la información suministrada por el responsable de la web en su Política de Cookies, esta cookie la tiene catalogada como “Cookie técnica”. No obstante, la extensión concreta que tiene, dice la AEPD, que suele utilizarse en cookies cuya finalidad es la gestión del consentimiento de los usuarios.
- Sobre el banner de información sobre cookies y la posibilidad de gestionar la utilización de cookies: Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin realizar ninguna acción sobre la página web, aparece un banner de información sobre cookies en la parte inferior de la página principal con el siguiente mensaje:
La Privacidad es un valor para SEAT.
Sobre las cookies: SEAT usa cookies propias y de terceros para guardar datos de tu actividad. Con ellas, podemos analizar el tráfico de la web y darte una experiencia completa y personalizada. Algunas cookies se comparten con terceros para mostrarte publicidad online más relevante. Puedes aceptar, rechazar, o gestionarlas en el configurador. ¿Quieres saber más? Consulta nuestra <<Política de Cookies>>.
<<Aceptar Todas>> <<Configurar>> <<Rechazar>>
- Si se opta por rechazar las cookies (<<Rechazar>>) se comprueba cómo la web empieza a utilizar, además de las cookies detectadas al inicio de la sesión, la nueva cookie “OptanonAlertBoxClosed” cuya finalidad, se ha comprobado que es para registrar que el usuario ha cerrado la notificación emergente de cookies, que aparece cuando se visita el sitio web por primera vez, por lo que se puede considerar como una cookie de naturaleza técnica.
- Si se opta por configurar la utilización de cookies a través de la opción <<Configurar>> la web despliega un panel de control donde se puede apreciar las siguientes características:
- Las cookies se encuentran divididas por grupos de finalidad: cookies de preferencias o personalización; cookies de análisis o medición; cookies técnicas y cookies de publicidad comportamental.
- Se comprueba que cada grupo de cookies se encuentra premarcado en la opción “OFF” (desactivado) excepto el grupo de cookies “técnicas” que se encuentra con el mensaje de “siempre activas”.
- Si se desea dar el consentimiento para la utilización de cookies que no sean técnicas o necesarias cliqueando en la opción <<Aceptar Todas>> del banner inicial o cliqueando en la opción <<Permitir Todas>> del panel de control se comprueba como la web empieza a utilizar cookies tanto propias como de terceros.
- Sobre la posibilidad de modificar el consentimiento prestado sobre cookies, en cualquier momento de la navegación web: Si el usuario ha prestado el consentimiento inicial para que la web utilice cookies de naturaleza no técnica o necesaria y desea retirarlo o modificarlo, se comprueba que existe un enlace en la “Política de Cookies” (apartado 3), <<Configurar>> a través del cual la web despliega el panel de control de cookies:
- Si ahora se cliquea en la opción <<Rechazar Opciones>> se comprueba como la web sigue utilizando las mismas cookies detectadas cuando se prestó el consentimiento. Es decir, que tanto las cookies propias como las de terceros no técnicas, que fueron instaladas cuando se prestó el consentimiento, siguen presente en el navegador.
- Tras navegar por la página, se comprueba que con posterioridad a que el consentimiento haya sido revocado, en una petición a través del método GET se envía información de cookies no exceptuadas.
Una vez expuestas las comprobaciones, la AEPD alega, en cuanto a la instalación de cookies en el equipo terminal previo al consentimiento del usuario, el artículo 22.2. de la Ley de Servicios de Sociedad de la Información (en adelante LSSI)que establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Además, mantiene que esta información debe facilitarse con arreglo a lo dispuesto en el RGPD.
Por tanto, los responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias establecidas por la normativa sobre protección de datos en el caso de que una cookie conlleve un tratamiento que posibilite la información del usuario.
Si bien, sí que es necesario señalar que quedarían exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias para la intercomunicación de los terminales y la red y aquellas que prestan un servicio expresamente solicitado por el usuario. En cuanto a esto, el Grupo de Trabajo 29, en su Dictamen 4/2012, interpretó que, entre las cookies exceptuadas, estarían las cookies de entrada del usuario, (aquellas utilizadas para rellenar formularios, o como gestión de una cesta de la compra); cookies de autenticación o identificación de usuario (de sesión); cookies de seguridad del usuario (aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web); cookies de sesión de reproductor multimedia; cookies de sesión para equilibrar la carga; cookies de personalización de la interfaz de usuario y algunas de complemento (plug-in) para intercambiar contenidos sociales.
En conclusión, no sería necesario informar ni obtener el consentimiento sobre el uso de estas cookies exceptuadas. Por el contrario, sí que será imprescindible reportar y obtener el consentimiento previo del usuario antes de la utilización de cualquier otro tipo de cookies, tanto de primera como de tercera parte, de sesión o persistentes.
En concreto, en el presente caso, se detecta que, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la misma, se utilizaban cookies de naturaleza no técnica, sino de funcionalidad o preferencia; de segmentación; y otras que no han podido ser identificadas pero que apuntan a que no son técnicas.
Por otro lado, la AEPD pone de manifiesto que los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento. Asimismo, el usuario debe poder revocar el consentimiento de forma fácil, en el sentido de que el sistema que se ofrezca para retirar el consentimiento debe ser tan fácil como el utilizado cuando se prestó. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies.
En el presente supuesto, pese a que existe un mecanismo que posibilita al usuario volver a acceder al panel de control a través de la página de la “Política de Cookies”, no es posible modificar el consentimiento prestado a la utilización de cookies de naturaleza no técnicas o necesarias pues, aunque se opte por rechazar ahora todas las cookies se comprueba que las cookies instaladas cuando se prestó el consentimiento siguen presentes en el navegador.
También se comprueba que, con posterioridad a que el consentimiento haya sido revocado, se sigue enviando al servidor información de cookies no exceptuadas.
La AEPD, de las anteriores deficiencias detectadas en la política de cookies de la entidad investigada, esto es, la utilización de cookies que no son de naturaleza técnica sin el previo consentimiento del usuario, así como la imposibilidad de modificar el consentimiento prestado en cualquier momento de la navegación web, dictamina que se produce una vulneración del artículo 22.2 de la LSSI que dispone que:
“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
Como circunstancia agravante a tener en cuenta de las previstas en el artículo 40 de la LSSI, se establece por la AEPD el grado de intencionalidad, intencionalidad entendida como grado de culpabilidad de acuerdo con la Sentencia de la Audiencia Nacional de 12 de noviembre de 2007 recaída en el Recurso núm. 356/2006.
Por las infracciones del artículo 22.2. de la LSSI, esto es, por el uso de cookies no técnicas sin el previo consentimiento del usuario e imposibilidad de retirar el consentimiento prestado, se impone por parte de la AEPD a la empresa automovilística una sanción de 16.000 euros reducida a 12.000 euros por reconocimiento de la infracción y pago voluntario.
De esta resolución se desprende que una acción tan sencilla como tener bien configuradas las cookies en nuestra página web, puede entrañar para las entidades muchos menos quebraderos de cabeza que incumplir la normativa. Para profundizar más sobre esta cuestión puedes acudir a este y este artículo del blog.
