Poco después de la publicación de las nuevas guías sobre cookies de la Agencia Francesa de Protección de Datos (CNIL) y de la Agencia Inglesa de Protección de Datos (ICO), que inciden en la exigencia del consentimiento previo a su instalación, la Agencia Española de Protección de Datos ha impuesto una sanción de 30.000 euros por el incumplimiento de los requisitos de consentimiento exigido para la instalación de cookies de terceros a los usuarios que navegan por su página web.
El artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) establece que “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”.
En este caso, la Política de Cookies de la empresa sancionada, informaba sobre la utilización cookies de análisis de terceros. Asimismo, la Política de Cookies en cuestión, indicaba que el usuario podía configurar el navegador para aceptar o rechazar por defecto todas las cookies o para recibir un aviso en pantalla de la recepción de cada cookie y decidir en ese momento su implantación o no en su disco duro. No obstante, las cookies de terceros eran instaladas con la mera navegación, aunque existiera la posibilidad de desinstalarlas con posterioridad.
Bajo esta premisa, la AEPD considera que el consentimiento a que se cedan los datos a terceros a través de cookies es implícito, al no permitir que el usuario se oponga a su instalación, sino que remite a la configuración de los navegadores para eliminarlas. En consecuencia, al no facilitar un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular o selectiva, no está permitiendo que el consentimiento a la instalación de cookies de terceros, y la consecuente comunicación de datos a esos terceros, sea explícito.
En este sentido, la información sobre las herramientas proporcionadas por navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.
Asimismo, la AEPD aplica en todo momento la LSSI, como ley especial reguladora de las comunicaciones electrónicas y con un régimen propio para las infracciones de su articulado.
En conclusión, aquellas empresas que instalen cookies de terceros con la mera navegación de los usuarios por sus páginas web, tienen ahora un precedente más y otra razón, además de la proliferación de guías sobre cookies y su inminente nueva regulación a través de la propuesta de reglamento de privacidad electrónica (e-Privacy Regulation), para revisar sus políticas de cookies.
Pedro Méndez de Vigo Asociado
