¿En cuantas ocasiones abrimos una página web y no tiene política de privacidad, aviso legal y política de cookies? Esta pregunta tiene una respuesta sencilla: en muchas más de las que nos gustaría. Sin embargo, esta práctica, que no es más que un incumplimiento de la normativa a la que luego haremos referencia, cada vez tiene mayores consecuencias negativas para los propietarios de las webs que carecen de esta información básica y obligatoria.
A lo largo del presente artículo, vamos a analizar una reciente resolución de la Agencia Española de Protección de Datos, EXP202201704 (PS/00393/2022), a través de la cual se sanciona a la entidad propietaria de un dominio web por la falta de información necesaria en la política de privacidad y por irregularidades respecto de la política de cookies de la web.
En primer lugar, debemos explicar cuáles son los textos legales que debe contener una página web y cuando su inclusión es obligatoria. El Aviso Legal, la Política de Privacidad y la Política de Cookies: comenzamos.
à Respecto de la “Política de privacidad” y “Aviso Legal”:
En el artículo 13 Reglamento General de Protección de Datos (en adelante, RGPD), se detalla y estipula el tipo de información que deberá facilitarse cuando los datos personales se obtengan del interesado:
“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
(…)”
El articulo referenciado deja clara la necesidad de inclusión dentro de la página web de un apartado donde se encuentren los extremos a los que se hace alusión: identidad y los datos de contacto del responsable, fines del tratamiento, plazos de conservación de los datos personales, posibles transferencias internacionales de datos, ejercicios de derechos, legitimación… etc.
En la web de la empresa reclamada se comprueban, por parte de la AEPD, los siguientes incumplimientos:
- No se informa sobre la identificación del responsable del tratamiento de los datos personales de la web, ya que, en dicho apartado, se hace mención a otros elementos.
- En la página de “contacto”, la web redirige al usuario a una nueva página, sin hacer mención nuevamente a la información exigida sobre los datos de contacto del responsable.
- No se informa convenientemente de los derechos que asisten a los usuarios de la web respecto del tratamiento de sus datos.
à Respecto a la “Política de Cookies”:
El artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (en adelante LSSI), dispone los derechos de los destinatarios de servicios:
“(…)
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
En palabras de la AEPD, el artículo establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. Así, cuando la utilización de una cookie conlleve un tratamiento que posibilite la identificación del usuario, los responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias establecidas por la normativa sobre protección de datos.
No obstante, se señala que quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI aquellas cookies necesarias para la intercomunicación de los terminales y la red y aquellas que prestan un servicio expresamente solicitado por el usuario. En la resolución, la Agencia hace mención al Dictamen 4/2012 del Grupo de Trabajo 29, donde se determinó que entre las cookies exceptuadas estarían las siguientes:
- Cookies de entrada del usuario: utilizadas para rellenar formularios.
- Cookies de autenticación o identificación de usuario (de sesión)
- Cookies de seguridad del usuario: aquellas utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.
- Cookies de sesión: bien de reproductor multimedia, o bien para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario y algunas de complemento (plug-in): para intercambiar contenidos sociales.
En caso contrario, será necesario informar y obtener el consentimiento previo del usuario antes de la utilización de cualquier otro tipo de cookies.
Respecto al caso que nos ocupa, nuestra Autoridad de Control, analiza las cookies que realmente se almacenan en la pagina web de la entidad reclamada y comprueba que no sólo hay cookies técnicas o de sesión, sino que también existen cookies utilizadas para rastrear y analizar a los usuarios que acceden a la web. Ello conlleva la necesidad de obtención del consentimiento del usuario de forma expresa, el cual, nos dice la AEPD, que se puede obtener a través del banner haciendo click en “Aceptar” o infiriéndolo de una inequívoca acción realizada por el usuario que denote que el consentimiento se ha producido inequívocamente.
Por otra parte, la Agencia explica que la retirada del consentimiento prestado previamente por el usuario deberá poder ser realizado en cualquier momento con un mecanismo que posibilite retirar el mismo de forma sencilla cuando el usuario desee. De esta forma, si el sistema de gestión o configuración de las cookies del editor de la web no permite evitar la utilización de las cookies de terceros una vez aceptadas por el usuario, se facilitará información sobre las herramientas proporcionadas por el navegador y los terceros, debiendo advertir que, si el usuario acepta cookies de terceros y posteriormente desea eliminarlas, deberá hacerlo desde su propio navegador o el sistema habilitado por los terceros para ello.
Teniendo en cuenta todas las aclaraciones que la AEPD manifiesta en la resolución, llegamos a la conclusión de que la empresa reclamada no ofrece la posibilidad al usuario de rechazar todas las cookies que no sean técnicas o necesarias en ninguna de las capas, y tampoco dan la posibilidad de hacerlo de forma granular o por grupos a través de un panel de control.
Así las cosas, en relación con banner de información (o primera capa) sobre cookies existente en la primera capa de la web (“Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia en nuestro sitio web”), no se identifican las finalidades para las que se utilizarán las cookies y si éstas son propias o también de terceros, elementos esenciales que se marcan en la Guía sobre el uso de las cookies publicada por la Agencia. Si queréis más información acerca de las cookies, el consentimiento y su correcta configuración, pincha aquí.
Como ultima aclaración que realiza nuestra Autoridad de Control respecto de las cookies, hace referencia a que la empresa reclamada no dispone de una pestaña en la web que contenga una “Política de cookies” (o segunda capa) propiamente dicha, siendo la única información al respecto la que encontramos en su “Política de privacidad”. La política de cookies debería incluir, al menos, la siguiente información:
- Definición y función genérica de las cookies.
- Tipo de cookies que se utilizan y su finalidad.
- Identificación de quién utiliza las cookies.
- Periodo de conservación de las cookies en el equipo terminal.
- Información sobre las transferencias de datos a terceros países.
- Elaboración de perfiles que implique la toma de decisiones automatizadas, si se realizara.
Por tanto, una vez analizados los incumplimientos en los que ha incurrido la entidad reclamada respecto de la información obligatoria de inclusión en su página web, se desprende lo siguiente:
- Política de privacidad: infracción del articulo 13 RGPD. de acuerdo con el artículo 83.5.b) del RGPD. En este sentido, el artículo 72.1.h) de la LOPDGDD, considera muy grave, a efectos de prescripción, “la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD”. Así, de acuerdo con los criterios que establece el artículo 83.2 del RGPD, la sanción que se impone a la entidad reclamada respecto a la presente infracción es de 5.000 euros.
- Política de cookies: infracción del articulo 22.2 LSSI. Infracción tipificada como leve según el articulo 38.4.g) de la misma Ley. No obstante, la AEPD entiende que existe una circunstancia agravante de conformidad con el articulo 40 LSSI, por lo que, finalmente, se impone una sanción de 5.000 euros por la mencionada infracción.
- Asimismo, se requiere al responsable de la página web para que, en el plazo de un mes, tome las medidas necesarias para adecuar la página web de su titularidad a la normativa vigente.
Mencionar por último que la empresa reclamada recurrió dicha sanción en reposición, el cual ha sido desestimado ya que la Agencia considera que la parte recurrente no aporta nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada. De este modo, se confirma la sanción impuesta en la resolución del procedimiento sancionador.
Con esta resolución, ya se alcanza un número significativo de las mismas a través de las cuales se imponen sanciones pecuniarias similares a las que acabamos de referenciar como consecuencia del incumplimiento que, tanto el RGPD como la LSSI, imponen a los responsables de tratamiento que se sean prestadores de servicios de la sociedad de la información. Por tanto, debemos ser proactivos a la hora de cumplir con las exigencias que estas normativas nos imponen y ser conscientes de las implicaciones negativas que su omisión puede crear en nuestro negocio.
