Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Primeras sanciones por el incumplimiento de la normativa del uso de cookies en las ‘web’

 | CEHAT
Pablo Carballo Estébanez

Recientemente ha tenido lugar la imposición de las dos primeras sanciones por la Agencia Española de Protección de Datos, en relación con la aplicación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (“LSSI”) en cuanto a la utilización de dispositivos de almacenamiento y recuperación de datos (“cookies”) en equipos terminales de los usuarios en el marco de la navegación del usuario por internet. En un sector como el hotelero, en el que cada vez hay una mayor utilización del canal web por los diferentes actores, cobra especial relevancia el adecuado cumplimiento de esta normativa al objeto de evitar sanciones.

 

El pasado 14 de enero, el Director de la Agencia Española de Protección de Datos (“AEPD”) resolvió sancionar a dos empresas españolas por infracción de la normativa sobre cookies, en lo que constituye el primer expediente sancionador que se incoa en nuestro país por infracción de dicha normativa y una de las primeras sanciones que se imponen a nivel internacional en esta materia.

Así, la Resolución R/02990/2013 (“Resolución”), en virtud de la cual se impone a cada compañía una sanción de 3.000 € y de 500 €, respectivamente, concluye que “ha quedado acreditada la instalación de cookies no exentas en los equipos terminales de los usuarios que visitaban las páginas web titularidad de ambas entidades sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales”.

Por ello consideramos de interés, realizar una revisión somera del tránsito que ha sufrido la regulación legal aplicable a las cookies sobre la base de la que se han impuesto las referidas sanciones, así como los criterios del organismo fiscalizador de su cumplimiento, emanados de la Resolución.

1. EVOLUCIÓN NORMATIVA Y TIPIFICACIÓN ACTUAL DE LA OBLIGACIÓN DE INFORMACIÓN SOBRE COOKIES

La obligación de información previa para el empleo de cookies en equipos terminales de los usuarios ha estado presente en nuestro ordenamiento jurídico ya desde 2003. Así, en su redacción original, el artículo 22.2 de la LSSI establecía que “cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito”.

El incumplimiento de la indicada obligación resultó, a partir de marzo de 2004, sancionable en virtud de lo dispuesto en el artículo 38.4.g) de la LSSI, que tipificaba “el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22”, cuando no constituyera una infracción grave.

Más tarde, el Real Decreto-ley 13/2012, de 30 de marzo, vino a modificar el tenor literal del artículo 22.2 de la LSSI reforzando las obligaciones información y, en particular, añadiendo como requisito para la legitimidad de la instalación de cookies la obtención del consentimiento previo de los destinatarios. No obstante lo anterior, la mencionada modificación no se ha visto hasta la fecha reflejada en el régimen sancionador previsto en la LSSI.

Así las cosas, la redacción actual de la LSSI recoge como conducta exigible la información previa a los usuarios, junto con la correspondiente solicitud de su consentimiento para el empleo de cookies (“opt-in”), mientras que el régimen sancionador tipifica únicamente el incumplimiento de la obligación de información y el establecimiento de un procedimiento de rechazo (“opt-out”), esto es, no aparece expresamente tipificada la falta de obtención del consentimiento previo.

Es por ello que, a pesar de que en la Resolución la AEPD analiza el cumplimiento tanto de las obligaciones de información como de obtención del consentimiento previo de los usuarios, las sanciones impuestas se refieren únicamente a la primera de dichas obligaciones, esto es, garantizar una información suficiente y clara a los usuarios, con anterioridad a la instalación de cookies. Conforme manifiesta la misma, el principio de tipicidad hace que, con la redacción actual del artículo 38.4.g) de la LSSI, resulte imposible sancionar la falta de obtención del consentimiento previo de los usuarios.

Sin embargo, esta discordancia se encuentra actualmente en vías de subsanación a través de las modificaciones a la LSSI que está previsto se introduzcan con la aprobación del Proyecto de Ley General de Telecomunicaciones, actualmente en tramitación en el Congreso.

2. NUEVOS CRITERIOS APLICABLES AL CUMPLIMIENTO DE LA OBLIGACIÓN DE INFORMACIÓN SOBRE COOKIES

Ya desde la entrada en vigor de la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, esto es, más de dos años antes de la trasposición a nuestro ordenamiento jurídico interno del cambio de sistema opt-out a un modelo opt-in de consentimiento previo en relación al uso de cookies, las autoridades europeas competentes en materia de protección de datos han venido analizando los requisitos para el correcto cumplimiento de las obligaciones de información y obtención del consentimiento. En este sentido, puede citarse el Dictamen 2/2010, sobre publicidad comportamental en línea, emitido por el Grupo de Trabajo de Protección de Datos del Artículo 29 (“GT-29”) en junio de 2010, actualizado en su Dictamen 16/2011.

Más aún, coincidiendo con la entrada en vigor de la última modificación de la LSSI en España, el GT-29 emitió un nuevo dictamen (Dictamen 4/2012), centrado en la exención del requisito de consentimiento a la instalación de cookies en determinados supuestos tasados, fundamentalmente cookies de entrada del usuario , de autenticación , seguridad, personalización de interfaz, etc. Los criterios contenidos en el citado Dictamen 4/2012 del GT-29 fueron a su vez ratificados, en España, con la publicación la Guía sobre el uso de las cookies por la AEPD (“Guía de la AEPD”).

Ahora bien, hasta la fecha, todas las opiniones, dictámenes, etc. tenían únicamente el valor de recomendación. Es de destacar que incluso la Guía de la AEPD establecía que la misma recogía únicamente “orientaciones”, sin pretender “ofrecer una solución general y uniforme para el cumplimiento de la ley sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio”.

Pues bien, con la Resolución, la AEPD ha procedido a elevar al rango de precedente, al menos en la vía administrativa, lo que hasta la fecha no eran sino recomendaciones de actuación.

En particular, la Resolución analiza un concepto novedoso que introdujo la Guía de la AEPD, como es el sistema de información por capas, y lista el contenido indispensable que se ha de incorporar a las distintas capas de información contenidas en la web para entender cumplido dicho deber.

Así, la primera capa de información habrá de contener, necesariamente, una indicación sobre los siguientes aspectos: i) Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado. ii) Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros. iii) Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies. iv) Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Y la segunda capa, por su parte, deberá incluir la siguiente información: i) Definición y función de las cookies. ii) Tipo de cookies que utiliza la página web y su finalidad. iii) Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado. iv) Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

Destacar que, en cuanto al contenido de esta segunda capa de información, la AEPD otorga un gran valor al requisito de claridad. Por tanto, será necesario que del contenido de la información facilitada pueda precisarse suficientemente la tipología de cookies realmente utilizadas, la finalidad, y su asociación clara con el editor o con terceros, que habrán de ser identificados en todo caso.

Por último, en cuanto a la imposición de las sanciones, cabe hacer una especial referencia al hecho de que en la Resolución la AEPD entiende de aplicación a la conducta sancionada diversos criterios de graduación, para reducir el importe económico de la sanción. En concreto: a) La ausencia de intencionalidad, que entiende acreditada por la diligencia mostrada para subsanar la situación irregular; o b) la falta de obtención de beneficios a raíz de la infracción producida, es decir, que la facturación generada por la web no se encontrase vinculada con la comisión de la infracción.

Por aplicación de dichos criterios de graduación, recogidos en el artículo 40 de la LSSI, posibles sanciones aplicables de hasta 30.000 € se fijaron finalmente (i) en 3.000 €, para una sociedad que no cumplía los criterios fijados en ninguna de las capas de información, y (ii) en 500 € para una sociedad que sí presentaba el contenido mínimo exigido en la primera capa de información, pero no presentaba suficiente claridad en el contenido de la segunda capa informativa.

3. RELEVANCIA DE LA RESOLUCIÓN 

Como es de suponer, el interés que despierta esta Resolución no reside en el importe de las sanciones impuestas que, al tratarse de una infracción tipificada como leve en el artículo 38.4.g) de la LSSI y haberse apreciado diversas circunstancias atenuantes, son de baja cuantía. Tampoco por responder a una novedad legislativa stricto sensu, ya que la obligación de informar a los destinatarios de manera clara y completa sobre la utilización y finalidades de las cookies esta ya vigente en la LSSI desde 2003.

Más bien al contrario, lo relevante de la Resolución es, precisamente, que representa el último hito de un largo proceso de evolución normativa, valoración técnica y adaptación, tanto a nivel europeo como nacional, así como un colofón por parte de la AEPD al proceso de control regulatorio de la utilización de cookies.

A modo de conclusión, cabe señalar que, a la vista del contenido de la Resolución y, en especial, de las exigencias de claridad y concreción en la información facilitada, cobra especial relevancia la necesidad de realizar un análisis previo y exhaustivo de cookies, por parte de cada titular de una página web, identificando a aquellos terceros que puedan estar usando las mismas en aquella. Una vez concluida dicha labor, habrá de analizarse, completar o actualizar en lo que proceda, la política de cookies implantada en la web, teniendo en cuenta los criterios anteriormente expuestos en la presente carta, así como valorar, desde el punto de vista tanto técnico como jurídico, los sistemas de información y obtención del consentimiento que pretendan implantarse.

En definitiva, en la medida en que el empresario hotelero desee aprovechar las ventajas que le pueden ofrecer estos sistemas técnico-informáticos, deberá asegurarse de que su implantación va acompañada de los instrumentos jurídicos necesarios para dar cumplimiento adecuadamente con los requisitos establecidos por la normativa aplicable al efecto.