Nota informativa 3/2014. Sanción de la Agencia Española de Protección de Datos
SANCIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS POR USO INCORRECTO DE “COOKIES”
La Agencia Española de Protección de Datos (en adelante, AEPD) ha dictado la primera resolución sobre la instalación y uso de “cookies” sin cumplir con los requisitos establecidos en la ley.
1.- ANTECEDENTES
En 2012 un particular puso en conocimiento de la AEPD que varios sitios web estaban incumpliendo lo previsto tanto en el art. 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSI) como en el art. 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en adelante, LOPD).
Según el denunciante, en los sitios webs indicados no se facilita información sobre los dispositivos de almacenamiento y recuperación de datos (“cookies”) ni se solicita el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos.
En la Resolución de la AEPD de 2013 se recogen varios incumplimientos constatados por la propia Agencia y que conllevaron una sanción que asciende en su totalidad a 5.000 euros:
- Respecto a los presuntos incumplimientos del art. 5 de la LOPD: En los sitios webs denunciados se recaban datos personales a través de formularios de contacto alojados en los mismos y, por otro lado, comprobaron que éstos no incluyen la información y advertencias recogidas en el art. 5.1 de la LOPD.
- Respecto a los presuntos incumplimientos del art. 22.2 de la LSSI: Los sitios webs mencionados no disponían de información alguna en relación con el almacenamiento y uso de las cookies instaladas en los equipos terminales de los destinatarios, ni sobre las finalidades del tratamiento de las cookies por parte de dichos sitios o de terceros.
2.- FUNCIONAMIENTO DE COOKIES
Las “cookies” son pequeños ficheros de texto que se descargan en el terminal del usuario para almacenar datos que los sitios web utilizan para consultar la actividad previa y habitual del usuario así como conocer sus preferencias. Destacan dos funciones principalmente: conseguir información del usuario sobre sus hábitos de navegación en internet y llevar un control, es decir, que cuando un usuario introduce por primera vez su usuario y contraseña, no tenga que introducirla para cada página del servidor.
Existen diferentes tipos de cookies, dependiendo de varios factores. Así, podemos distinguir entre cookies propias o de terceros en función de la entidad que las gestione y dependiendo del plazo de tiempo que permanecen activadas en el ordenador, existen cookies de sesión y cookies persistentes. Si atendemos a su finalidad, tenemos cookies técnicas, que son aquellas que permiten al usuario navegar a través de una página web y utilizar sus diferentes servicios, cookies de personalización que permiten acceder a la página web con características generales predefinidas en base a nuestros preferencias, cookies de análisis que facilitan hacer un seguimiento de los gustos y hábitos de los usuarios (estas cookies son a menudo utilizadas por las agencias de publicidad y marketing) y cookies de publicidad comportamental que permiten crear un perfil específico que muestran publicidad personalizada al usuario en base a sus gustos y preferencias.
3.- USO LEGÍTIMO DE LAS COOKIES
Debido a la gran cantidad de información y datos personales que pueden llegar a almacenar, la legislación comunitaria quiere proteger su empleo para que se utilicen con fines legítimos. Para ello, la regulación comunitaria y nacional establece la necesidad de obtener el consentimiento previo del usuario para asegurar que conocen la finalidad y el uso que se le va a dar a los datos personales facilitados. Así, el art. 5 de la LOPD exige que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco, entre otros, de la existencia de la finalidad de la recogida de éstos y de los destinatarios de la información”. Por otro lado, el art. 22.2 de la LSSI recoge que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.”
En la mencionada Resolución de la AEPD, se hace un breve resumen del modo de empleo de las cookies diferenciando varias capas:
- Primera capa, que debe incluir como mínimo una advertencia sobre el uso de cookies que se instalan al navegar por la página web en cuestión e identificar las finalidades que se persiguen al instalarse las cookies, informando si son propias o de terceros. Asimismo, se deberá incluir en la advertencia que si se realiza cualquier acción en la página web, se entenderá que el usuario autoriza el empleo de cookies.
- Segunda capa, donde se deberá definir las cookies así como sus funciones, la forma de desactivarlas o eliminarlas, así como revocar el consentimiento prestado e identificar quienes las utilizan.
4.- CONCLUSIÓN
A modo de resumen hay que destacar que debido a la novedad en el uso de cookies por los sitios web, la información facilitada por dichos sitios puede ser escasa, debido también a su desconocimiento, lo que genera cierta desconfianza por parte de los usuarios. Por ello, y meses después de la primera resolución de la Agencia Española de Protección de Datos a este respecto, la propia agencia presentó junto con las asociaciones ADIGITAL, AUTOCONTROL y IAB SPAIN la primera guía en Europa sobre el uso y funcionamiento de cookies. Dicho documento explica detalladamente las funciones del empleo de cookies y recoge las dos obligaciones principales impuestas por nuestra normativa: el deber de información al usuario y la obtención previa del consentimiento por parte de éste.
Marina Balduz Bernal
