En el ecosistema jurídico actual, el Reglamento General de Protección de Datos (en adelante, RGPD) es claro con la exigencia del cumplimiento del principio de responsabilidad proactiva y la presente Resolución PS/00524/2023 de la Agencia Española de Protección de Datos (en adelante, AEPD) es otro ejemplo de ello. Aunque es cierto que la AEPD, en este Procedimiento Sancionador, aplica criterios de intencionalidad y reincidencia (por resoluciones anteriores) apoyándose en el régimen sancionador propio de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI) y no del RGPD.
Siendo cada vez más frecuentes las sanciones por vulneración de una política de cookies establecida en las páginas web de las entidades. Una vez más, este procedimiento no es más que otro ejemplo de cómo un mal uso de las cookies, falta de información y transparencia o ausencia del consentimiento, terminan sacando los colores a muchas entidades.
Esta resolución PS/00524/2023 se dirige contra TECHPUMP SOLUTIONS S.L. (en adelante, TECHPUM) titular de varias webs de contenido para adultos, no siendo este el primer cruce entre la Agencia y TECHPUM:
- En el PS/00555/2021, la Autoridad de Control sancionó a TECHPUMP por deficiencias en la instalación e información de cookies (principalmente cookies de Google Analytics y otras de terceros), entre otras cuestiones.
- Posteriormente, por el presunto incumplimiento de medidas correctivas vinculadas a la resolución anterior (en el ámbito RGPD) se abrió el expediente PS/00523/2023.
Es importante tener en cuenta estos procedimientos porque en el actual procedimiento sancionador, en donde la AEPD pone el foco en la LSSI y su artículo 22.2, fue determinante criterio de reincidencia a efectos de graduar la sanción.
Pues bien, de forma simplificada, la AEPD tras la realización de diversas pruebas técnicas limpiando caché y cookies y usando la herramienta de inspección del navegador, detectó las siguientes deficiencias:
- Instalación de cookies propias previo acceso o cualquier interacción del usuario.
- Cookies de terceros publicitarias sin consentimiento válido.
- Falta de transparencia en la información sobre cookies.
- La retirada del consentimiento al seleccionar “rechazar todas” o configuración de preferencias, no funcionaba.
En primer lugar, respecto a la instalación de cookies propias previo acceso o cualquier interacción del usuario, se detectó que, al acceder por primera vez, sin hacer clic en el banner, se instalaban varias cookies propias y la AEPD no cuestionó directamente la existencia de estas cookies técnicas, sino que su instalación acaecía antes de cualquier acción del usuario, lo cual sería relevante para el análisis global del consentimiento.
El núcleo del problema de este expediente fue las cookies de terceros sin consentimiento válido. En diferentes webs de TECHPUM, aunque el usuario seleccionase “rechazar todas” en el panel de cookies para bloquear cualquiera que no fuese técnica, en cuanto comenzaba la navegación, la web utilizaba dos cookies de terceros: “__uvt” y “__upt”. Pues bien, estas cookies correspondían a un dominio de tercero (magsrv.com / proveedor publicitario), utilizado para publicidad personalizada y estadísticas sobre preferencias de los usuarios.
Es más, en la propia Política de Cookies de las webs de TECHPUM la función de “__uvt” se identificaba como cookie usada para analítica y publicidad comportamental, mientras que la función de “__upt” directamente no estaba ni determinada en la propia Política de Cookies. En definitiva, como indicó la AEPD, esto significaba que aunque el usuario creyese haber rechazado todas las cookies no técnicas, realmente continuaba monitorizado por cookies publicitarias sin su consentimiento ni conocimiento al respecto.
La tercera problemática que detectó la AEPD fue la falta de transparencia en la información sobre cookies, puesto que, aunque el banner como primera capa indicaba que se usaban cookies propias y de terceros, “para fines analíticos y mostrar contenido personalizado…”, la política de cookies no contenía información sobre las cookies “__uvt” y “__upt”: no identificaban proveedor, finalidad ni duración.
Esto directamente significa una vulneración del art. 22.2 LSSI ante la falta de “información clara y completa” sobre la utilización de los dispositivos de almacenamiento y recuperación de datos.
Finalmente, la AEPD comprobó que, aunque el usuario otorgase su consentimiento previo para las cookies no técnicas y posteriormente accediese al panel de configuración en el que pulsase “rechazar todas” o confirmase sus preferencias, las cookies de terceros de “__uvt” y “__upt” seguían activas. Ante esto, para AEPD, en relación con el principio de responsabilidad proactiva, no basta con ofrecer un botón de rechazo si técnicamente sigue recabando cookies de terceros y, por ende, calificó el mecanismo de retirada de consentimiento como no operativo.
Entre las diferentes alegaciones aportadas por TECHPUM merecen especial atención dos de ellas:
1.- Principio “non bis in idem” argumentando que fue sancionada en el expediente PS/00555/2021 por deficiencias en la política de cookies. Y, por ende, el actual procedimiento tendría identidad subjetiva, fáctica y causal: misma empresa, misma normativa —art. 22.2 LSSI—, mismo ámbito: webs de contenido adulto).
Tras un riguroso análisis, la Autoridad de Control rechazó la idea de que hubiese identidad fáctica sosteniendo que en el expediente anterior (PS/00555/2021) se sancionaban otras cookies (principalmente de Google Analytics y otros terceros) y otras deficiencias (ausencia de banner, texto en inglés, falta de mecanismos de rechazo, etc.). Y, sin embargo, el análisis del actual procedimiento se centraba en:
- Nuevas cookies de terceros (“__uvt”, “__upt”) de otro proveedor.
- Falta de información específica sobre esas cookies.
- No retirada real del consentimiento en el panel de cookies.
Es decir, para la AEPD determina que está ante incumplimientos distintos y posteriores, aunque afecten al mismo marco normativo.
2.- Subraya las medidas implantadas: auditorías externas de cookies, mejora de procesos de onboarding y verificación de edad, políticas internas de protección de la infancia, campañas de concienciación (como la web educativa para padres), contactos con operadores de telecomunicaciones, alineamiento con estándares RTA/ASACP, etc.
Ante esto, la AEPD fue clara y acotó el objeto del expediente indicando que no se estaba analizando el control de acceso de menores, la idoneidad del onboarding ni la comparación con otros operadores, sino las deficiencias concretas en la política de cookies y en el consentimiento bajo el art. 22.2 LSSI.
Trayendo a colación el contenido del art. 22.2 LSSI “2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”, la AEPD recuerda lo siguiente:
- Obtener el consentimiento informado del usuario antes de instalar cookies que no sean técnicas o necesarias.
- Facilitarle una información clara y completa sobre su uso, en particular sobre los fines del tratamiento.
- Permitir mecanismos como los parámetros del navegador siempre que sean “técnicamente posibles y eficaces”.
En base a esto, la AEPD determina que TECHPUM ha vulnerado el art. 22.2 LSSI al confirmar que:
- Ha usado cookies de terceros sin consentimiento válido, al instalarse, pese a utilizar la opción “Rechazar todas”.
- Falta de información específica y transparente sobre dichas cookies en la política de cookies.
- Imposibilidad real de retirar el consentimiento una vez prestado, porque el panel no elimina las cookies ya instaladas ni evita que sigan operando.
En definitiva, la Autoridad de Control no aplica el artículo 83 del RGPD como solicitó TECHPUM, sino el régimen sancionador de la LSSI, concretamente, determina que todo lo anterior ha supuesto una infracción del art. 22.2 LSSI, tipificada como infracción leve (art.38.4 g) LSSI) que, aplicando el criterio de intencionalidad y reincidencia, impone finalmente el máximo de la sanción: 30.000€ por cada una de las tres páginas web en las que había deficiencias. En total, impuso una sanción de 90.000€.
Este caso no debe leerse simplemente como una sanción administrativa más dentro del régimen de la LSSI, sino como una advertencia sobre la relación directa entre configuración técnica y cumplimiento jurídico. El caso evidencia que, negligencia en la configuración de sistemas —aparentemente menor— puede derivar importantes consecuencias cuando el sistema no garantiza de forma efectiva el consentimiento, la información o la retirada.
El mensaje de este procedimiento sancionador es claro, si el diseño o funcionamiento del sitio permite que se instalen cookies no autorizadas, se oculten finalidades o no se respete la revocación del consentimiento, el incumplimiento no es accidental: es una vulneración del art. 22.2 LSSI y, por ende, responsabilidad directa del prestador. Una vez más, la prevención y adoptación de medidas garantistas no son un añadido, sino el núcleo del cumplimiento.
Puedes consultar más artículos sobre procedimientos sancionadores por una deficiente configuración de las cookies en nuestro Blog o sobre las pautas que debes adoptar para mantener tu página web actualizada.
