SANCIÓ DE L’AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES EN MATÈRIA DE “COOKIES”

En els últims temps s’ha parlat molt de les cookies, existeix diversitats d’interpretacions en el tema dels requeriments exigits pel compliment normatiu de la seva implantació. Hi havia tanta inseguretat jurídica dels subjectes que les utilitzaven, com els tècnics que les implementaven, els juristes que assessoraven sobre la matèria i els usuaris que les instal·laven, que hi ha molta gent que s’ha mostrat a favor de sol·licitar respostes concretes a aquesta qüestió. Fins al moment, la regulació vigent en matèria de cookies recollia, únicament, a l’article 22.2 de la Llei 34/2002 modificat pel Reial Decret-llei 13/2012, de 30 de març, que va suposar la transposició al dret nacional espanyol de la Directiva 2009/136/CE, pel qual es modifica la regulació del ús de les cookies per part dels prestadors de serveis de la societat de la informació. Aquest precepte estableix “els prestadors de serveis podran utilitzar dispositius d’emmagatzematge i recuperació de dades en equips terminals dels destinataris, a condició de que aquests hagin donat el seu consentiment després d’haver-los-hi facilitat informació clara i completa sobre la seva utilització, en particular, sobre la finalitat del tractament de les dades, similar al exposat a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal”.

Per entendre, exactament, la dimensió del problema, es necessari fer-se una idea clara de a què ens estem referint, exactament, per tan hem de definir una cookieun arxiu o dispositiu que es descarregar a l’equip terminal d’un usuari que està navegant per una web, amb la finalitat d’emmagatzemar dades a aquesta persona que podran ser actualitzades i recuperades pel responsable de la seva instal·lació per diferents usos. Les finalitats més habituals d’aquests arxius són les d’obtenir informació de l’usuari de la web per establir un perfil tècnic, o per extreure un perfil personal de preferències i gustos que serveixen a les diferents webs per personalitzar la publicitat que visualitzem al navegar, per realitzar estudis estadístics, un servei de correus que recordi el compte de l’últim usuari que hi va accedir, en altres. És a dir, sense saber-ho, l’usuari va deixant un rastre per aquelles pàgines que visita que va informant als diferents prestadors de serveis per Internet per posteriors usos.

Aquesta captació d’informació, quasi inadvertida per la majoria d’usuaris, ha suposat una greu vulneració a la privacitat, a la normativa de protecció de dades i en conseqüència a l’article 22 de la LSSI, perquè no avisar de l’ús de la instal·lació de cookies i no oferir a l’usuari l’oportunitat de consentir o no a la captació de les seves dades contrarià de manera directa tot el dispost a les normatives vigents en aquesta matèria.

Per aquests motius la transcendència de conèixer, el mes de gener passat, la primera resolució sancionadora de l’Agència Espanyola de Protecció de Dades (R/02990/2012 del procediments PS/00321/2013) per l’ús de cookies en dues webs, d’una mateixa empresa, on no es facilitava informació sobre els dispositius d’emmagatzematge i recuperació de dades (cookies) ni sol·licitaven el consentiment per la seva utilització, on tampoc al formulari del apartat de contacte de les webs no s’informava, adequadament, a l’usuari de la finalitat i tractament de les seves dades.

Encara que és cert que aquesta primera sanció estableix tres sancions de 500€, 1.500€ i 3.000€, sancions atenuades per entendre l’AEPD que no va existir intencionalitat per part de l’empresa, ens ho hem de prendre com un primer avís, el primer toc d’atenció a totes aquelles empreses que mantenen una pàgina web, normalment sense els coneixements tècnics suficients per ni tan sols conèixer l’ús en matèria de cookies que estan realitzant, perquè s’adaptin a dues normatives fonamentals a l’època de les noves tecnologies que vivim, la LOPD i la LSSI. Tot hi ser sancions molt suaus, envers les quantioses sumes que la LOPD preveu al seu articulat, no deixa de ser una suma substancial molt fàcilment evitable si som conscients de la importància de complir amb tots els imperatius legals que comportar el tractament de dades de caràcter personal per part de les empreses.

La citada resolució suposo una fita important en el criteri i interpretació a seguir pels prestadors de serveis de la societat de la informació quan instal·len i utilitzen cookies, respectant i protegint el dret a la privacitat dels usuaris de conformitat amb l’establert per la normativa nacional i comunitària. De fet, la mateixa resolució argumenta que la sanció s’imposa perquè la informació que es facilitava a l’usuari era insuficient, per conseqüència el consentiment no es podia produir després de ser degudament informat, inclús admetia la possibilitat de que s’hagués produït un consentiment tàcit si la informació hagués sigut la adequada.

Anteriorment, a l’abril de 2013, l’Agència Espanyola de Protecció de Dades va presentar la denominada “Guia sobre l’ús de Cookies” on ja s’especificava la necessitat d’informar clarament als usuaris de l’ús de cookies, la tipologia de les mateixes, l’ús previst, la identificació dels responsables i, evidentment, l’obtenció del consentiment dels usuaris. L’obligació principal es aconseguir que el destinatari o usuari sigui totalment conscient del tipus i finalitat de les cookies que es van instal·lar al seu dispositiu i pugui emetre el seu consentiment de manera totalment informada.

La Resolució de l’AEPD i la Guia de la que ens referim estan en consonància a l’afirmar que per la instal·lació i utilització de cookies s’exigeix, ineludiblement, comptar amb el consentiment de l’usuari, que podrà obtenir-se mitjançant formules expresses (“consenteixo”,”accepto”, etc.), o bé a través d’una determinada acció realitzada per l’usuari (configuració del navegador). En qualsevol cas, perquè el consentiment obtingut sigui considerat vàlid es necessari que sigui informat, és a dir, que el responsable del lloc hagi facilitat tota la informació requerida per l’usuari.

Són diverses les maneres que pot obtindre’s de forma vàlida el consentiment, com per exemple a través de l’acceptació dels “Termes i condicions d’ús de la pàgina web” o de la seva “Política de privacitat” al sol·licitar l’alta a un servei; durant el procés de configuració del funcionament de la pàgina web o de l’aplicació; abans del moment en que es vulgui descarregar un servei o aplicació ofert a la pàgina web o a través del format d’informació per capes.

L’Agència durant el seu anàlisis en aquesta primera resolució sancionadora ens facilita una dada molt important ja que estableix el contingut mínim que em d’aportar a la informació realitzada per capes. Aquest contingut queda dividit entre una primera capa que es configurar a través de la clàssica finestra emergent que multitud de webs incorporen i una segona capa a la que s’accedirà a través d’un enllaç facilitat per aquesta finestra emergent.

La primera capa segons l’Agència ha de comptar, necessariament, amb la informació següent: 1) Advertència sobre l’ús de cookies no exceptuades per l’article 22.2 que s’instal·len al navegar pels llocs web o a l’utilitzar el servei sol·licitat. 2) Identificació de les finalitats de les cookies que s’instal·len, amb informació sobre si es tracta de cookies pròpies o de tercers. 3) Advertència, en el seu cas, que si es realitzar una determinada acció s’entendrà que l’usuari accepta l’ús de les cookies. 4) Un enllaç a la segona capa informativa on s’indica una informació més detallada.

La segona capa haurà de profunditzar més en el tema, i haurà d’incloure: 1) Tipus de cookies que utilitza la pàgina web i la seva finalitat. 2) Com desactivar o eliminar les cookies descrites i forma de revocació del consentiment ja ofert. 3) Identificació de qui utilitzen les cookies, inclosos els tercers amb els que l’editor ha contractat la prestació d’un servei que suposi l’ús de cookies.

En definitiva, la conclusió a la que arribem amb aquesta primera Resolució és que no n’hi ha prou en facilitar simplement un avís que informi que en aquella web s’estan utilitzant cookies, com s’està fent fins ara, sinó que, a més a més, s’han de complir uns requisits mínims en el contingut de la informació que es faciliten als navegadors dels llocs, podent ser sancionades les webs que ometin algun requisit, com ha passat en el cas de la inspecció que ha acabat en aquesta primera resolució en matèria de cookies.

Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS

PROFESSIONALS EN PROTECCIÓ DE DADES