We use cookies to deliver our online services. Details of the cookies we use and instructions on how to disable them are set out in our Cookies Policy. By using this website you agree to our use of cookies. To close this message click close.

Las cookies en el punto de mira de la Agencia Española de Protección de Datos

27 Febrero 2014

La Agencia Española de Protección de Datos ("AEPD") publicó recientemente su primera resolución en materia de cookies, sancionando a dos entidades del sector de la joyería por la infracción del artículo 22.2 de Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico ("LSSI"). Según la AEPD, la vulneración del referido precepto se produce tras acreditar la instalación de cookies no exentas en los equipos terminales de los usuarios que visitan las páginas web, sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales.



La resolución se centra en el examen de los distintos avisos y políticas de privacidad contenidas en las páginas web inspeccionadas. Las diligencias de investigación ponen de manifiesto que la información mostrada a los usuarios en dichas páginas era además de insuficiente, poco clara. Entre las carencias identificadas por la AEPD destacan: (i) falta de definición de las cookies; (ii) ausencia de una descripción mínima relativa a los tipos de cookies utilizadas; (iii) falta de identificación del titular de las cookies; (iv) referencia insuficiente a las finalidades del uso e instalación de cookies; (v) falta de información relativa a la posibilidad de configurar el navegador para rechazar las cookies, como también a la revocación del consentimiento prestado; y, por último, (vii) accesibilidad y visibilidad reducidas de la información sobre el uso e instalación de las cookies.

A grandes rasgos, la Agencia entiende que el titular de un sitio web tiene la obligación de proporcionar información relativa al uso de cookies, incluidas las de terceros. En este sentido, cualquier prestador de servicios de la sociedad de la información deberá proveer a sus usuarios de una información completa, detallada y adecuada con respecto al uso e instalación de cookies. Dicho deber se deberá cumplir sea cual sea el sistema a través del cual el prestador decida suministrar la información: por ejemplo, optando por tener distintos documentos o un sistema "por capas".

Alcanzado este punto, la AEPD se limita a inferir que las entidades inspeccionadas, instalaron y utilizaron las cookies en los terminales de los usuarios, sin haberles proveído de la información necesaria con respecto al uso y finalidad de estos dispositivos, lo cual conlleva la invalidación del consentimiento prestado. Por lo tanto, y dado que la Agencia no puede imponer sanciones basadas en la infracción del consentimiento – de conformidad con la legislación vigente – la resolución se abstiene de ahondar su análisis con respecto a las distintas formas mediante las cuales los proveedores pueden recabar el consentimiento (implícito o explícito) prestado por los usuarios.

El procedimiento sancionador concluye con la imposición de sanciones por importes de €3.000 y €500, respectivamente, en base a la infracción del artículo 22.2 LSSI. Además de tipificar dicha infracción como leve – sancionable por un máximo de €30.000 – la Agencia toma en consideración una serie de atenuantes que justifican la reducción aplicada a la sanción final: (i) ausencia de intencionalidad, (ii) falta de beneficios obtenidos a raíz de la infracción y (iii) falta de vínculo entre el volumen de facturación generada por la venta on-line y la comisión de la infracción.

Casi 16 meses después de haber recibido el escrito de denuncia que originó la apertura del procedimiento sancionador – y transcurridos 9 meses desde la publicación de su Guía sobre el uso de las cookies – la AEPD impone la primera sanción derivada de la infracción del artículo 22.2 LSSI desde su última reforma del 30 de marzo 2012, por el Real Decreto-ley 13/2012. No obstante, el nuevo Proyecto de Ley General de Telecomunicaciones – cuya remisión a las Cortes Generales ha sido aprobada el pasado 13 de septiembre – anticipa una nueva serie de modificaciones de la LSSI que ampliarán las prerrogativas sancionadoras de la Agencia: (i) en aquellos casos en los cuales los proveedores no cuentan con el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2 LSSI (multa de hasta €30.000), o (ii) por seguir tratando los datos recabados después de que el destinatario haya revocado su consentimiento (multa de hasta €150.000).

El equipo

Loading data