Sanciones por no Actualizar la Información sobre las “Cookies”

Cada vez son más las sanciones que la Agencia Española de Protección de Datos impone por no actualizar la información sobre las Cookies en la página Web, conforme a las directrices que establece en su última guía de cookies publicada del pasado 20 de julio de 2020.

Unas de sus últimas resoluciones – procedimiento sancionador PS/00141/2020 – sanciona a una entidad por un importe de 3.000 euros (tres mil euros), por la infracción del artículo 22.2) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSICE), respecto de su Política de Cookies. ¿A qué se refiere esta sanción?

Al entrar en la web del denunciado, se visualiza el siguiente aviso de primera capa sobre la existencia de cookies:

“Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las cookies y la aceptación de nuestra política de cookies, pinche el enlace para

<<más información>> – << aceptar>>”

Además, en dicha página web antes de la aceptación del aviso anterior y de la realización de acción alguna en la misma, se cargan en el navegador las siguientes cookies: _ga, _gat y la _git,-;  con la finalidad de controlar el rendimiento del usuario.

Motivos de la sanción

Veamos a continuación el motivo por el cual la Agencia Española de Protección de Datos interpuso esta sanción:

¿Qué son las cookies?

Una cookie es un archivo que se descarga en el dispositivo del usuario al acceder a un determinado sitio web para almacenar y recuperar información sobre la navegación que se realiza.

A través de las cookies, las entidades pueden extraer información de carácter personal – correo electrónico, nombre, localización -, así como realizar análisis de perfil.

En este sentido, y en este artículo no entraremos en detalle, las cookies se pueden clasificar según la entidad que las gestione: propias o de terceros -; por su finalidad – técnicas, análisis o medición; preferencias o personalización y cookies de publicidad comportamental – y por el tiempo que permanecen activas – sesión o permanentes -.

¿Existe una Ley de cookies?

La Ley de cookies no existe como tal, sino que su regulación se encuentra en la disposición V del Real Decreto-ley 13/2012, en la cual se modifican varios artículos de la LSSICE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, así como en la modificación del artículo 22.2 de la misma LSSICE, el cual exige el consentimiento del usuario sobre los archivos o programas informáticos, las llamadas «cookies». Concretamente, establece:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

Ya en el 2002, se requería el consentimiento expreso para la instalación de las cookies; no obstante, como se consideraba que técnicamente no era posible este consentimiento, se le ofrecía al Usuario la posibilidad de poder configurarlas.

Reglamento General de Protección de Datos

Cuando entró en vigor el conocido REGLAMENTO (UE) 2016/679 (Reglamento General de Protección de Datos), unos de los cambios más significativos fue en el deber de información que pasó de ser siempre un consentimiento tácito, al deber de la entidad en demostrar que el interesado ha manifestado de forma clara e inequívoca su consentimiento expreso.

Es por ello que:

• Ya no es válido la frase de “Si continúa navegando está dando su consentimiento para la aceptación de las cookies”; puesto que estaríamos hablando de un consentimiento tácito.
• Las cookies no pueden instalarse hasta que el usuario no preste el consentimiento expreso.
• Solo de aquellas cookies que el Usuario haya prestado su consentimiento expreso, se podrán instalar en su dispositivo; y en este sentido, estaríamos hablando de un consentimiento expreso.

Como toda norma tiene su excepción: No será necesario el consentimiento expreso para aquellas cookies que sean necesarias para el funcionamiento de la Web; esto es, las cookies técnicas.

Conclusión

Si las cookies que se pretenden utilizar no son necesarias para el funcionamiento del servicio de la Web, se debe permitir a los Usuarios dar su consentimiento antes de la descarga de las cookies en el dispositivo; si no prestan su consentimiento, no se podrán instalar.

Será necesario habilitar en el banner informativo de las cookies o primera capa, un sistema o panel de configuración en el que el Usuario pueda optar entre aceptar o no las cookies de forma granular; o un enlace que conduzca a dicho sistema o panel.