La Agencia Española de Protección de Datos ha impuesto la primera sanción en materia de cookies. En realidad son dos sanciones a sendas empresas, una de 3000 y otra de 500 euros. Las páginas web no informaban correctamente de las cookies utilizadas en su web.
Lo cierto es que esta resolución ha de servir de guía, a partir de ahora, para saber a qué atenerse en esta materia, puesto que explica qué información hay que facilitar y cómo ha de hacerse. Más información en mi blog Descargas Legales.
Comienzo una colaboración con Anfix.tv, con quienes, a través de una serie de vídeos, intentaremos aclarar algunas cuestiones jurídicas básicas para profesionales y empresas, sobre distintos temas: protección de datos, propiedad intelectual, propiedad industrial, redes sociales, etc.
El primero de los vídeos versa sobre la llamada «Ley de Cookies«, que está causando mucho revuelo por la gran confusión que existe a la hora de cumplir con ello.
La Agencia Española de Protección de Datos ha presentado hoy por fin la esperada publicación «Guía sobre el uso de las Cookies«, elaborada en colaboración con la Industria (Adigital, Autocontrol e IAB Spain).
La guía propone soluciones y orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), tras su modificación por el Real Decreto-Ley 13/2012, de 30 de marzo.
El documento es necesario para conocer cómo interpreta la AEPD la necesidad de consentimiento previo e informado para usar cookies (salvo excepciones) y si la configuración de los parámetros en el navegador, como aceptó el Grupo de Trabajo del Artículo 29, puede ser suficiente.
La Guía puede descargarse desde la web de Adigital.
Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”.
¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22“.
El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.
El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley […]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley […]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.
En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.
El pasado viernes el Gobierno aprobó el Real Decreto-ley 13/2012, de 30 de marzo, por el que se realiza la transposición de varias a Directivas, entre otras, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación en las comunicaciones electrónicas).
En materia de comunicaciones electrónicas, se realizan dos modificaciones en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico:
En cuanto al régimen de las “cookies“, el texto es el mismo que proyectó aprobar el anterior gobierno, con lo que lo que comentábamos en este mismo blog el año pasado sigue siendo plenamente válido. En resumen:
Para conocer el resto de novedades que trae esta norma, Gontzal Gallo nos las resume en su blog.
El pasado 24 de mayo se aprobó el Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (BOCG 27 de mayo 2011). Además de modificar la LGT, se realizan modificaciones en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
En cuanto a las que afectan a esta última, nos vamos a centrar en las que se derivan de la trasposición de lo contenido en la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“), por la que se modifica, entre otras normas, la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (la llamada Directiva de privacidad).
Efectivamente, la Disposición Final Segunda del proyecto, en su apartado Tres, viene a trasponer lo recogido en la Directiva sobre la utilización de “cookies”, modificando el apartado 2 del artículo 22 de la LSSI, que queda de esta forma:
“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.
Lo que llama la atención de este texto es la posibilidad de entender obtenido el consentimiento “mediante el uso de parámetros adecuados del navegador o de otras aplicaciones”, lo cual, a primera vista, parece ir en contra de la intención de la Directiva 2002/58/CE, que en su nueva redacción dice lo siguiente:
“Los Estados miembros velarán por que únicamente sepermita el almacenamiento de información, o la obtenciónde acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después deque se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.”
Sin embargo, si acudimos al Considerando 66 de la Directiva de cookies, vemos que esta redacción no es tan original:
“Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación“.
En consecuencia, podemos afirmar que la trasposición es correcta y conforme a la Directiva, pero el quid de la cuestión está, a mi entender, en cómo interpretemos esto, puesto que una interpretación favorable puede facilitar enormemente el cumplimiento de esta obligación, con lo que ya no estaríamos ante la necesidad de que el usuario consienta, de alguna manera, la utilización de cookies, que en principio es la finalidad de la modificación.
Si la Agencia Española de Protección de Datos (AEPD), que es la competente en la materia, sigue los criterios del Grupo de Trabajo de Protección de Datos del artículo 29, la interpretación será bastante restrictiva. Así lo establece este órgano consultivo euroopeo en su Dictamen 2/2010 sobre publicidad comportamental en línea, en el que dice que “para que los buscadores u otras aplicaciones puedan «ser indicativos» de consentimiento válido” se deben dar las siguientes condiciones:
a) Deben rechazar por defecto cookies de terceros y requerir que el usuario realice una acción expresa para aceptar cookies.
b) Los buscadores deben transmitir, en nombre del proveedor de la red de publicidad, la información pertinente sobre el objeto de los cookies y el tratamiento de datos ulterior. Si no se cumplen los requisitos citados, el hecho de proporcionar información y, hasta cierto punto, facilitar la capacidad del usuario para rechazar cookies (explicando cómo hacerlo) no puede en principio considerarse consentimiento. En consecuencia, “parece de capital importancia que los buscadores dispongan de la configuración de «no aceptación y no transmisión de cookies de terceros». Para complementar esto y hacerlo más eficaz, los buscadores deben pedir a los usuarios que entren en un asistente de privacidad la primera vez que instalen o actualicen el buscador y proporcionarles un método fácil de ejercer su opción durante la utilización del producto”.
