Blog

Nueva hornada de cookies

lunes, 16 de noviembre de 2020

O el por qué desde el 31 de octubre nos inundan de información al entrar en una página web.

La Agencia Española de Protección de Datos (AEPD) tiene atribuidas competencias respecto al control del cumplimiento del Reglamento General de Protección de Datos - RGPD- y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales - LOPDGDD- pero también de la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico -LSSICE-.

Pues bien, el uso de cookies, esos pequeños dispositivos utilizados por casi todas las organizaciones con presencia online, que se instalan en los terminales de los usuarios para recuperar información sobre ellos de manera que pueda ser, en el mejor de los casos, analizada o, en el peor de los casos, mercantilizada, incide de lleno en ambas normativas, con la particularidad de que el art.22 de la LSSICE remite a la Ley Orgánica de Protección de Datos de Carácter Personal de 1999 con respecto a la información que debe facilitase y la obtención del consentimiento necesario para su uso.

La posterior aprobación y aplicación del RGPD y de la LOPDGDD (en 2018) y derogación de la ley de 1999, supuso un cambio de paradigma en la obtención del consentimiento de los usuarios lo que obligó a reinterpretar el antedicho artículo 22 de la LSSICE.

Pues bien, la AEPD, como garante del cumplimiento de estas normas, con carácter previo a ejercitar su función sancionadora, cumple también con una misión didáctica, divulgando y facilitando diferentes instrumentos para facilitar el cumplimiento normativo por parte de las entidades a las que le sea de aplicación dicha normativa.

Fruto de esta función, la AEPD publicó en noviembre de 2019 la Guía para el uso de Cookies en la que se ofrecían sugerencias y soluciones a las entidades que utilizan estos dispositivos para ofrecer al usuario la información obligatoria, así como las diversas formas en las que podía considerarse que se recababa su consentimiento de forma válida y por tanto cumpliendo con la normativa en vigor.

Uno de los aspectos más polémicos de aquella guía fue que la AEPD consideró válido como forma de obtener el consentimiento del usuario para la instalación de cookies el hecho de que el usuario siguiera navegando por la página web, siempre y cuando así se le informara.

Sin embargo, el Comité Europeo de Protección de Datos, que es el órgano europeo que vela por homogeneizar la interpretación y aplicación del RGPD en los estados miembros y del que forman parte las autoridades de control de todos ellos, en mayo de 2020 emitió las Directrices 05/2020 sobre el consentimiento que obligaron a la AEPD a replantearse este criterio, lo que provocó la modificación de la Guía del uso de Cookies cuya nueva versión fue publicada en julio de 2020 ofreciéndose un periodo de adaptación para implementar los nuevos criterios hasta el 31 de octubre de 2020.

Además de explicar quienes son los actores de la publicidad programática, incluir sugerencias sobre como facilitar la información a los usuarios, y de dejar claro que no se pueden utilizar muros de cookies (es decir, la obligatoriedad de aceptar las cookies para acceder a un determinado servicio ofrecido en la página web), en esta versión de la Guía, la AEPD modula de nuevo cómo ha de obtenerse el consentimiento de los usuarios para poder instalar cookies en su dispositivo, de manera que deja de ser válida la opción de “seguir navegando” y (i) o bien se “aceptan”, (ii) o bien se “rechazan”, (ii) o bien se “configuran”, lo que obliga al usuario a realizar una clara e inequívoca acción para aceptarlas o no, y poder continuar navegando por la web.

Esta nueva “traba” en la navegación puede ser considerada como un inconveniente para los usuarios, si bien debería servir como una forma de control de la información que comparten con terceros. De lo que no cabe duda es de que, con independencia de que los usuarios estén adquiriendo conciencia de esta oportunidad, para las organizaciones sí está siendo útil.

En primer lugar, porque deben plantearse la necesidad de utilizar cookies o no. En ocasiones se instalaban cookies cuando en realidad no se estaban haciendo uso de la información recopilada.
En segundo lugar, deben hacer inventario de todos los partners para ofrecer la información de forma correcta a los usuarios.

En tercer lugar, deben revisar las transferencias internaciones de datos, en concreto a los Estados Unidos, para buscar soluciones después de la sentencia del TJUE que declaraba la invalidez del Privacy Shield.

En definitiva, a pesar de que desde el año 2002 la LSSICE regulaba el uso de estos dispositivos, no ha sido hasta ahora que las organizaciones están adquiriendo conciencia de la necesidad de diseñar una buena política de cookies. Esta falta de diligencia durante años ha sido objeto de sanciones por parte de la AEPD. La más reciente, la impuesta a IBERIA LINEAS AÉREAS DE ESPAÑA -Iberia- el pasado mes de octubre, precisamente por incumplir el artículo 22 de la LSSICE. El procedimiento sancionador se inició a partir de la denuncia de un usuario que alertó sobre la imposibilidad de rechazar las cookies al entrar en la página web, debiendo aceptarlas para seguir navegando.

La AEPD en su potestad de realizar actuaciones de esclarecimiento, traslada la reclamación a Iberia para recabar información en base a la cual decidir si continuaba con el procedimiento, obteniendo por respuesta la afirmación de que Iberia llevaba desde junio de 2019 elaborando una política de cookies adecuada a los criterios de la normativa de protección de datos (no olvidemos que esta normativa se aprobó en 2016 siendo de plena aplicación en mayo de 2018) y que a partir de enero de 2020 ya se había implementado un nuevo banner subsanando los errores denunciados, ofreciendo información sobre las cookies y permitiendo su configuración.

Sin embargo, cuando el instructor del procedimiento entró en la web para comprobar las afirmaciones de Iberia, comprobó que no se habían llevado a cabo tales implementaciones y, que en todo caso, la solución propuesta por Iberia no cumplía con lo establecido en la Guía de Cookies de la AEPD de noviembre de 2019 (que era la que aplicaba en aquel momento) por lo que se de abrió procedimiento sancionador proponiendo una sanción inicial de 30.000€, que es la máxima prevista para ese tipo de infracción. En concreto la AEPD entendía que la información facilitad era poco concisa, además existía la posibilidad de que se instalaran cookies sin aceptación expresa de las mismas, no se ofrecía la información de si eran cookies propias o de terceros y tampoco sobre el tiempo de conservación de las cookies en el navegador.

Después del cruce de varios escritos de alegaciones acerca de la improcedencia de la apertura de un procedimiento sancionador y los criterios utilizados por la AEPD para la imposición de dicha sanción, la Directora de la AEPD concluye la existencia de infracción del art.22.2 de la LSSICE y la imposición de la sanción propuesta.

Recordemos que es una sanción por infracción de la LSSICE que es bastante más benévola que el RGPD. Si la AEPD, sustanciara este tipo de procedimientos por infracción de la normativa de protección de datos, nos encontraríamos con multas mucho más elevadas.