- 27 de noviembre de 2021
La Agencia de Protección de Datos ya sanciona a empresas por incumplir la política de 'cookies'
La nueva normativa, aplicable desde el 31 de octubre, obliga a que el consentimiento del usuario sea libre, específico e inequívoco
Reforzar la transparencia frente al usuario y garantizar un mayor control sobre sus datos personales son los principales objetivos de la nueva normativa de la Agencia Española de Protección de Datos (AEPD) que desde el 31 de octubre de 2020 obliga a las páginas web a adaptar su política de cookies a los requisitos de consentimiento requeridos por el Reglamento General de Protección de Datos (RGPD).
Con las nuevas directrices de la AEPD el mensaje “seguir navegando” deja de ser una opción válida para obtener el consentimiento del usuario de una web para la instalación de cookies (pequeña información enviada por un sitio web y almacenada en el navegador del usuario para ver la actividad previa). Se prohíbe el uso de los muros de cookies que impiden el acceso al contenido o funcionalidades de la web si el usuario no las acepta y el internauta podrá denegar o revocar el consentimiento prestado para el uso de cookies en la propia web.
Para poder cumplir con estas obligaciones, la AEPD ha puesto a disposición de los titulares de páginas web su “Guía sobre el uso de Cookies” para que faciliten al usuario la información sobre el tipo de cookies que se utilizan y sus finalidades, indicando si son propias o de terceros. También deben obtener el consentimiento libre, específico e inequívoco del usuario antes de la instalación de cookies no técnicas y permitir rechazarlas o retirar el consentimiento previamente prestado.
En este sentido, Ingrid González Hernández, mánager del área de tecnología y economía digital de un despacho de Abogados, asegura que “la colaboración entre el equipo técnico que se encargue de la administración o mantenimiento web y el equipo legal es imprescindible”.
Posibles multas
Desde 2019, la autoridad de control ha abierto más de 165 actuaciones relacionadas con las políticas de cookies en las páginas webs de empresas, la mayoría por los servicios prestados a través de internet. La AEPD ha resuelto 159 de los expedientes tramitados y ha elaborado un informe solicitado por la Asociación para la Autorregulación de la Comunicación Comercial sobre el Código de conducta de tratamiento de datos en la actividad publicitaria.
Las empresas titulares de páginas web que no se hayan adaptado a las nuevas exigencias corren el riesgo de ser sancionadas con multas de hasta 30.000 euros al considerar que incumplen de forma leve la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Si la instalación de cookies afecta al tratamiento de datos personales de los usuarios, el actual Reglamento de Protección de Datos establece sanciones muy duras, que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual de la empresa para el caso de las infracciones más graves.
La AEPD ya avisó en 2019 sancionando a una aerolínea con 30.000 euros por no tener debidamente configurado el banner de cookies de su página web. Una usuaria que se vio obligada a aceptarlas para seguir navegando y contratar un vuelo, lo denunció al supervisor de la privacidad de los ciudadanos.
Recientemente, las empresas de apuestas deportivas online han sido objeto de posible sanción por la AEPD, que tiene abierto un expediente sancionador de 5.000 euros a una conocida entidad de apuestas digitales por carecer de enlace directo a la “política de cookies” en su página inicial y obligar para acceder a este consentimiento a entrar primero al “área de prensa”.
Las sanciones más habituales a las plataformas de comercio electrónico son por la inexistencia de política de cookies, la ausencia de un banner con información sobre la utilización de estas “galletas” informáticas y la utilización de cookies no necesarias en la página web.
Una asociación de víctimas de arbitrariedades judiciales ha sido sancionada por la AEPD con 8.000 euros por cargar en el navegador cookies no necesarias y no existir en la segunda capa de la política de cookies ningún mecanismo que permita el rechazo de todas ellas.
DIRECTRICES EUROPEAS
- Consentimiento inequívoco. El Comité Europeo de Protección de Datos aclara en sus guías que para que el consentimiento sea inequívoco, éste debe resultar de una clara acción afirmativa por parte del usuario.
- Hacer scroll. Ya no es legal emplear un banner de cookies en el que se establezca que “Al seguir navegando en esta página web estás consintiendo el uso de cookies”, ya que no se considera haya una clara acción afirmativa por parte del usuario.
- Casillas premarcadas. El uso de este mecanismo ya no cumple con el Reglamento General de Protección de Datos (RGPD), al no ser una clara acción afirmativa. El Tribunal de Justicia de la UE ya sentenció en octubre de 2019 que este consentimiento no es válido cuando el almacenamiento de información o el acceso a la información ya almacenada se autoriza mediante una casilla marcada por defecto.
- Permanecer en la web. Si una página web activa el uso de cookies no necesarias antes de que el usuario haya dado su consentimiento explícito -sólo por el hecho de que el usuario ha permanecido en su web- ya deja de cumplir con la ley española y la empresa se arriesga a que el organismo de control, la AEPD, tramite una sanción por ello.
FUENTE: CINCODÍAS