Resolución de AEPD sobre la LSSI referente a las cookies

El objeto de esta nota es hacer un breve comentario sobre la primera resolución de la AEPD (Resolución R/02990/2013) por incumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSI relativas a las cookies.

Dicho incumplimiento se concreta en la falta de información previa clara y completa sobre el uso y finalidades de las cookies y sin haberse recabado el consentimiento informado de los usuarios, en contravención a las obligaciones dispuestas en el artículo 22.2 de la LSSI.

A este respecto, a entender de la Agencia, la información incluida por las empresas sancionadas no sería suficiente, y por tanto, se infringiría el artículo 22.2 de la LSSI. También considera probado que el uso de cookies se llevaba a cabo sin mediar el necesario consentimiento informado de los afectados. La cuestión es que la vulneración de este requisito no resulta sancionable en virtud de lo establecido en el artículo 38.4.g) relativo a infracciones, dado que no puede sancionarse una conducta no contemplada en el régimen sancionador fijado por el citado artículo.

Son dos las empresas sancionadas por la comisión de una infracciones leves del artículo 38.4 g) de la LSSI imponiendo respectivamente sanciones por un importe de 3000 € y 500 €.

Al margen de las consideraciones jurídicas, a mi entender, resulta interesante destacar de la Resolución una serie de cuestiones de índole pragmático. La aprobación en su día del artículo 22.2 de la LSSI tuvo un impacto inmediato, reflejado en la proliferación en Internet de banners relativos a la utilización de cookies. A este respecto hay que tener en cuenta que el cumplimiento de obligaciones de este tipo tiene un impacto económico evidente sobre cualquier empresa que actualmente dispone de una página web en Internet. Aunque la Agencia publicó relativamente rápido la “Guía sobre el uso de las cookies”, los criterios para la toma de decisiones en el diseño de páginas web y portales y utilización de cookies seguían estando en un plano relativamente teórico.

Por estas razones creo que esta resolución puede tener la virtud de “dar pistas” sobre la concreción de las obligaciones exigidas y sobre la política que en materia de cookies ha de regir el diseño de las páginas y portales en Internet.

A este respecto merece la pena una lectura detenida de la resolución analizando las siguientes cuestiones.

  • En primer lugar la resolución contiene una descripción detallada de la labor inspectora que lleva a cabo la Agencia en la tramitación del expediente, y el tiempo en el que se realizan dichas labores a los efectos de constituir la prueba. Hay que tener en cuenta que la denuncia se presentó ante la Agencia hace más de un año, en septiembre de 2012.

  • Se realiza un inventario pormenorizado de las cookies utilizadas y en algunas de ellas de las condiciones de uso que establece el proveedor de las mismas. En la realización de este análisis se pone de manifiesto que en algún caso y aunque la cookie se encuentra instalada, esta no recaba datos y por tanto no resulta de utilidad.

  • Se analiza la forma en que las empresas sancionadas gestionan la información en dos capas y la (falta) de obtención de consentimiento. Sobre esta cuestión es interesante analizar como la empresa durante el expediente realiza determinadas actuaciones tendentes a cumplir con las obligaciones, pero que a la luz de la resolución final son claramente insuficientes.

Espero que con esta nota haya suscitado vuestro interés.

Podéis encontrar la resolución en el siguiente enlace http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00321-2013_Resolucion-de-fecha-14-01-2014_Art-ii-culo-5.1-LOPD-22.2-LSSI.pdf

CS

Cristina Sustacha Duñabeitia
Gerente Asesoría Jurídica en Euskaltel

Comments

  1. Buen resumen, gracias Cristina.
    Sería de desear que por parte del legislador y por una mayor seguridad jurídica, se clarificara de una vez esta cuestión.
    Ahora mismo tenemos pendiente de aprobación, una reforma de la Ley General de Telecomunicaciones que se aprovecha para reformar también algunos artículos de la LSSI, entre ellos el referente a esta materia, pero como al parecer no les resulta un tema de especial trascendencia seguimos esperando.

  2. Kaixo Cristina,

    Buen post :) ¿Crees que sería interesante incluir la figura del apercibimiento tal y como se hace en materia de Protección de Datos de Carácter Personal para la aplicación de las cookies en la LSSICE 34/2002?

    Agurrak!

Deja un comentario

Email
Print