Si antes de la pandemia provocada por la Covid-19, los hábitos de consumo estaban cambiando hacia el uso de entornos digitales, ahora ya es un hecho consumado. De este modo, las páginas web se han convertido en un elemento básico, a partir del cual, los negocios pueden informar sobre sus productos y servicios, y proceder a la venta de los mismos de forma global.
Una página web, pues, constituye un centro de operaciones en el que el titular puede publicar nuevos contenidos y facturar, así como dirigir a sus usuarios hacia noticias, ofertas, o redes sociales, entre otros. Pero eso no implica un uso incontrolado de estas herramientas informáticas, ya que los entornos web están sujetos a las obligaciones legales de privacidad y a las garantías de seguridad establecidas para el comercio electrónico.
HECHOS
Con fecha de 16 de mayo de 2019, se presenta en la Agencia Española de Protección de Datos («AEPD») una reclamación por un usuario web, alegando que la página en la que pretende comprar no cuenta con una Política de Privacidad completa, ni se hace uso de una pasarela de pago segura.
Una vez notificada dicha denuncia, la propietaria de la página web (GROW BEATS, S.L.), justifica la situación alegando el uso de una plataforma de venta electrónica (SHOPIFY), en la que se les había asegurado el cumplimiento efectivo de la legislación de protección de datos y comercio electrónico vigente.
No obstante, la AEPD constata, a 23 de marzo del año de 2020, que la Política de Privacidad de la entidad reclamada hace mención a la legislación y derechos anteriores a la normativa actual.
Además, en la primera capa de la Política de Cookies(página inicial), el banner existente expone: “Utilizamos cookies propias y de terceros, tanto persistentes como de sesión. Si sigue navegando acepta su uso”, sin proporcionar información de las finalidades de las cookies que se van a utilizar, ni la posibilidad de configurarlas.
En la segunda capa (Política de Cookies -texto-), se proporciona información sobre: «qué son las cookies«; «tipos de cookies» y sus «finalidades», pero NO sobre la identidad y las características de las cookies propias y de terceros, así como del tiempo que permanecen activas en el equipo del usuario.
INFRACCIÓN COMETIDA
En el presente caso, se denuncian dos aspectos legales de la página web de GROW BEATS, S.L: la Política de Privacidad y la Política de Cookies.
En lo que respecta a la Política de Privacidad, no cumple con lo dispuesto en los artículos 13 y siguientes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”); puesto que, además de no estar adaptada a la nueva normativa vigente desde el 25 de mayo del año 2018, tampoco muestra la información que debe proporcionárseles a los interesados a la hora de recabar sus datos personales. Se trata de una infracción muy grave tipificada por el artículo 72.1. letra h) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales («LOPDGDD»).
Por su parte, en la Política de Cookies NO se proporciona información de la identidad; ni de la finalidad, ni de las características, ni del tiempo de actividad de las cookies propias y de terceros que se instalan. Para su gestión sólo se remite al navegador que esté instalado en el equipo, sin posibilidad de configuración ni enlace a los diferentes navegadores. En este sentido, el artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico («LSSI»), señala que el prestador de servicio debe recabar el consentimiento del titular de los datos para acceder a su terminal, así como proporcionarle los medios técnicos necesarios para ejercitar sus derechos, en este sentido. Una infracción que puede ser sancionada con multa de hasta 30.000 €.
SANCIÓN
Por todo lo expuesto, la AEPD decide apercibir a GROW BEATS, S.L. por la infracción del artículo 13) del RGPD, e imponerle una sanción de 3000 euros por la infracción del artículo 22.2) de la LSSI (tras graduar la sanción al constatar existencia de intencionalidad, y valorar el plazo de tiempo durante el que ha venido cometiendo la infracción).
Asimismo, se le requiere a la empresa sancionada que, en el plazo de un mes desde la notificación de la sanción, adecúe las Políticas de Privacidad y de Cookies a los requerimientos de la normativa vigente.
********************************************
GUÍA SOBRE EL USO DE COOKIES – AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00092/2020
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
– LSSI (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico).