Por María Bardají Cruz, Abogada en Rödl & Partner Abogados y Asesores Tributarios S.L.P
Algún día tenía que pasar. La Agencia Española de Protección de Datos (en adelante, Agencia o AEPD) ya ha comenzado a leer la cartilla por la infracción de la regulación relativa a las cookies. Sí, esos archivos que se descargan en nuestros ordenadores para almacenar datos que luego se utilizan para saber todo lo que nos gusta, por dónde navegamos, qué buscamos, qué leemos, etc. ¿Para qué? Pues para, entre otras cosas, diseñar la publicidad que nos van a mostrar, perfectamente ajustada a lo que estamos buscando, leyendo, comprando, etc. Como si nos estuvieran leyendo la mente. Y nosotros sin enterarnos.
Una vez más y como en tantas otras ocasiones en temas de privacidad, han sido las grandes empresas, las que tienen más medios, las que han abusado de la posibilidad de recopilar información y multitud de datos, las que han llevado al legislador a tener que tomar cartas en el asunto.
Las pymes, las que no se han planteado nunca el uso y explotación de este tipo de dispositivos ni sabrían cómo hacerlo, son las que de nuevo, deben asumir las mismas cargas que las grandes y dedicar un tiempo precioso a intentar descifrar si lo que les ha dicho su informático es una cookie o no y recurrir a su abogado para que le redacte la política de cookies y le aconseje la mejor forma de cumplir con la ley, no vaya a ser que encima venga la Agencia y sancione.
Y sí, sí que sanciona. En este primer caso, los importes no son desorbitados (500.-€ y 3.000.-€), pero hay que saber que la ley establece un máximo de 150.000.-€ si la infracción se califica de grave y eso ya son palabras mayores.
Además, como es la primera vez y todos nos estamos acostumbrando aún a esta terminología y a esta nueva forma de intromisión en la intimidad de las personas, la AEPD aprovecha para resumir y concretar qué es lo que es una cookie, qué tipos hay y cómo debe interpretarse. En definitiva, a través de esta resolución se facilita una mini guía sobre cookies que viene a completar la que ya se publicara en abril del pasado año.
De esta forma, la Agencia vuelve a insistir en que las cookies son archivos de texto que se instalan en el equipo del usuario para almacenar ciertos datos, que luego serán utilizados por el instalador de la misma para, por ejemplo y entre otras muchas cosas, enviar publicidad personalizada.
Actualmente se establecen diferentes categorías de cookies, a saber, (I) propias o de terceros, dependiendo de quién sea el editor y el que finalmente utilice los datos que se recaben a través de las mismas, (II) de sesión o persistentes, según se elimine la información recabada tan pronto el salga de la web o se almacenen durante un tiempo determinado; (III) técnicas, que permiten el acceso a determinados servicios, (IV) de personalización, según recuerden las preferencias del usuario para la segunda y sucesivas veces que éste acceda a la web, (V) de análisis, que permiten el seguimiento y el análisis del comportamiento del usuario, (VI) publicitarias, que permiten la gestión de los espacios publicitarios o (VII) de publicidad comportamental, que permiten almacenar información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación;
Entendido. Pero, ¿entonces puedo o no utilizar cookies? En caso de que sí, ¿cuáles? Y si las utilizo, ¿bajo qué condiciones?
Si, si se pueden utilizar. Y se pueden utilizar todas. Para ello, eso sí, el prestador de servicios, salvo en los casos en que las cookies sirvan para transmitir datos a través de la red de comunicaciones o sirvan para prestar un servicio que el usuario haya solicitado expresamente, habrá tenido que informar al usuario de forma clara y completa sobre su procedencia, finalidad, uso y forma de cancelación y el éste habrá tenido que autorizar su utilización de forma expresa.
Y aquí está el lío.
La AEPD considera que la información ofrecida por las empresas a las que sanciona no es suficiente porque (I) no detalla, ni mínimamente, el tipo de cookies que se utilizan. De hecho, las empresas mencionan unas cookies y en realidad utilizan muchas más. (II) No especifica si son suyas o de terceros, lo que resulta de importancia a efectos de responsabilidad. (III) No explican cómo revocar el consentimiento o cómo desactivarlas. (IV) La información se presenta de forma poco accesible y sin suficiente visibilidad, ya que se ofrece la información en diferentes sitios de la página web y (V) no se permite saber cuál será el destino que se le dará a los datos que se recojan a través de las mismas, con lo que además se incumple la normativa de protección de datos.
Se dice mucho en las políticas de cookies de ambas empresas, pero nada suficientemente concreto y claro, a los ojos de la Agencia, como para poder entender que se está ofreciendo al usuario la posibilidad de otorgar un consentimiento informado.
Como ya adelantamos con anterioridad, las multas no son muy altas, pues las infracciones son finalmente consideradas leves, dado que se aprecia, por parte de la Agencia que no ha existido intencionalidad ni beneficio económico por parte de las empresas como consecuencia de la utilización de los datos recogidos por las cookies instaladas, pero resulta conveniente tomar nota y revisar si nuestras webs utilizan cookies, cuáles, quién las instala y cómo tenemos configurada la petición de consentimiento informado.