El mes de octubre ha sido decisivo en cuanto a lo que a «cookies» web se refiere. Después de las innumerables quejas de los usuarios por la obligación de aceptar las condiciones de las páginas (con almacenamiento de información y posteriores rastreos publicitarios), el Tribunal de Justicia de la Unión Europea («TJUE») ha sido claro en este asunto. El TJUE ha dictaminado que no es válido que una web muestre una casilla marcada por defecto, sino que el usuario debe expresar su consentimiento expreso a las diferentes «cookies», con posibilidad de configuración. Una sentencia que se ha visto acompañada por la resolución de la Agencia Española de Protección de Datos («AEPD»), en la que se sanciona a Vueling con 30.000€, dada la imposibilidad de que los usuarios rechazaran las «cookies» del sitio web de la compañía.
Pero, antes de nada, recordemos…
¿QUÉ SON LAS «COOKIES«?
Las cookies son archivos digitales que individualizan un dispositivo cuando navegamos por internet, concretamente, en el navegador, de tal forma que, según el tipo de cookie, se pueden recoger diferentes tipos de datos del usuario para ofrecerle una experiencia más personalizada.
SENTENCIA TJUE, ASUNTO C‑673/17
El TJUE ha resuelto una cuestión prejudicial (Asunto C‑673/17) planteado por el Tribunal Supremo de lo Civil y Penal de Alemania, en relación con la protección de la intimidad en el sector de las comunicaciones electrónicas.
En este caso, se planteaba si la sociedad alemana de juegos – Planet49 – podía utilizar una casilla de «cookies» marcada por defecto para el consentimiento de los usuarios del portal web. El TJUE, en este sentido, considera imprescindible facilitar al usuario el derecho de oponerse a las «cookies» (tanto si inciden, como si no, en datos personales). Para ello, debe existir un panel de configuración con las opciones de – aceptar – o – rechazar -, además de indicarse la finalidad de cada «cookie», así como su tiempo de actividad, y la posibilidad de que terceros tengan acceso a las mismas.
- La información de «cookies» debe ser mediante un aviso visible, claro y permanente.
- El usuario debe marcar expresamente la aceptación de uso de las diferentes «cookies» en su dispositivo (voluntad libre, específica, informada e inequívoca).
¿HAY «COOKIES» EXENTAS?
Quedarían exceptuadas de estos requisitos una serie de «cookies» con finalidad específica, atendiendo al artículo 22.2 de la Ley de Servicios de la Sociedad de Información y el Comercio Electrónico («LSSI»), y del Dictamen 4/20123 del Grupo de Trabajo del Artículo 29:
– Permitir únicamente la comunicación entre el equipo del usuario y la red.
– Estrictamente prestar un servicio expresamente solicitado por el usuario.
– Cookies de entrada del usuario.
– Cookies de autenticación o identificación de usuario (únicamente de sesión).
– Cookies de seguridad del usuario.
– Cookies de sesión de reproductor multimedia.
– Cookies de sesión para equilibrar la carga.
– Cookies de personalización de la interfaz de usuario.
SI MIS «COOKIES» NO ESTÁN EXENTAS, ¿CÓMO DEBO PROCEDER?
1. Banner informativo (primera capa, como banner o pop-up, con información sobre el responsable y la finalidad, la aceptación y posibilidad de configuración…).
2. Panel de configuración (segunda capa, organizada en un papel que permita aceptar o rechazar cada una de las «cookies», así como indicación de la Política legal de «cookies»).
3. Política de «cookies» (tercera y última capa, que identifique cada «cookie», su finalidad, caducidad, los proveedores, contacto, derechos…).
Un especialista en Protección de Datos y Comercio Electrónico es más necesario que nunca. La consultorías jurídicas, combinadas con equipos informáticos, nos ayudarán a cumplir una normativa que, con estas últimas modificaciones, prácticamente nadie cumple.
******************************************
A continuación, les mostramos la configuración de «cookies» de la página web de Atresmedia. En ella, es posible el consentimiento individualizado de cada «cookie», por lo que cumpliría con la normativa vigente:
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00300/2019
La página web de la compañía aérea Vueling habría incumplido el artículo 22.2 de la LSSI. Eso es lo que se desprende de la resolución de la AEPD (PS/00300/2019), que ha emitido una sanción de 30.000 euros a esta compañía por obligar a la aceptación forzada de las «cookies» de su página.
Al parecer, al entrar en la página para consultar o reservar un servicio, la página de Vueling mostraba un banner con el aviso de las «cookies», pero no daba opción a rechazar ninguna, de tal modo que si nos salíamos de este aviso, la página consideraba que aceptábamos dichas condiciones. De este modo, Vueling no habría habilitado un panel de configuración de este sistema, por lo que habría vulnerado los derechos de los destinatarios del servicio. En concreto, se mostraba el siguiente aviso:
Utilizamos cookies para recordar tus preferencias, elaborar estadísticas de uso y ofrecerte publicidad basada en tus hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información al respecto consultando nuestra Política de Cookies. |
******************************************
Artículo 22.2 LSSI (Derechos de los destinatarios de servicios): «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.«
******************************************
SENTENCIA TJUE, ASUNTO C‑673/17
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00300/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
– LSSI (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico).