2020-06-11T09:25:00
España

La Agencia Española de Protección de Datos (“AEPD”) parece tener actualmente en la diana el cumplimiento con la normativa sobre cookies. Tanto es así que el pasado 9 de junio de 2020 se publicó otra resolución por la que imponía una sanción de 30.000 EUR por infracción del artículo 22.2) de la Ley 34/2002, de

Cuidado con las Cookies
11 de junio de 2020

La Agencia Española de Protección de Datos (“AEPD”) parece tener actualmente en la diana el cumplimiento con la normativa sobre cookies. Tanto es así que el pasado 9 de junio de 2020 se publicó otra resolución por la que imponía una sanción de 30.000 EUR por infracción del artículo 22.2) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (“LSSI”). Esta no es la primera vez que informamos sobre la actividad sancionadora de la AEPD en esta materia.

La AEPD determina en su resolución que la empresa en cuestión no facilita correctamente la información sobre las cookies que utiliza, ni identifica con claridad las finalidades de cada cookie, ni a los terceros con los que colabora. Adicionalmente, la AEPD determina que algunas de las cookies se instalan directamente, sin solicitar ninguna acción al usuario que accede a la página web.

En este caso, fue la denuncia de un particular la que inició las diligencias de investigación de la AEPD en las que se pudo verificar:

  • Que el sitio web denunciado almacena automáticamente en el navegador una serie de cookies, sin que el usuario haya realizado ningún tipo de acción;
  • Que el banner que aparece al acceder al sitio web carece de un enlace que permita rechazar la instalación de las cookies o que redirija a una segunda capa para su configuración;
  • Que, en la parte inferior del sitio web, existe un enlace que redirige al usuario a la política de cookies, donde aparece información sobre el uso de las cookies y cómo gestionarlas a través del panel de configuración del navegador web o las opciones internas de configuración, pero no ofrece la posibilidad de rechazarlas o gestionarlas de forma granular.

Con base en los anteriores hechos, la AEPD resuelve imponer una sanción por infracción del artículo 22.2 de la LSSI, calificada como leve, que asciende a 30.000 EUR. Debe señalarse que esta es la mayor cuantía prevista para este tipo de infracciones y que, entre otros factores, la AEPD considera como agravantes que inciden en la imposición de la máxima sanción posible la existencia de intencionalidad, el plazo de tiempo durante el que se ha cometido la infracción (desde mayo 2018), naturaleza y cuantía de los perjuicios causados en relación con el volumen de usuarios a los que afecta la infracción y el volumen de facturación afectado. Igualmente, requiere a la entidad para adecuar su página web en el plazo máximo de un mes.

Cabe recordar que en este último año la AEPD ha actualizado su Guía sobre cookies y otras tecnologías similares. Tras ello, el Comité Europeo de Protección de Datos actualizó su Guía sobre el consentimiento el pasado 6 de mayo de 2020 para incidir, entre otros, en los requisitos para otorgar un consentimiento válido a la hora de instalar cookies. 

Autores: Pedro Mendez de Vigo and Adaya Esteban

11 de junio de 2020