MATIZACIONES DE LA AEPD EN MATERIA DE COOKIES

/en

Después de la publicación de la Guía sobre el uso de las cookies por la AEPD con la colaboración de todos los agentes que participan en el mercado, la mayor parte de los Sites han optado por el sistema de la información por capas para dar cumplimiento al artículo 22.2 de la LSSI. Este artículo exige la obtención del consentimiento previo e informado para la colocación de determinadas cookies, como son, las cookies de análisis, publicitarias y de publicidad comportamental. La información por capas se traduce en una primera capa de información genérica y una segunda capa de información mucho más detallada.

 La Agencia Española de Protección de Datos (AEPD) ha permitido en uno de sus recientes informes[1] que se unifique la información en materia de cookies junto con la Política de Privacidad, de forma que la información de la segunda capa pueda recibir como título Política de Privacidad y Cookies, lo que no significa en palabras de la AEPD que nos olvidemos de cumplir con los avisos legales de la primera capa.

 1. ¿Cómo han de ser los avisos sobre la colocación de cookies?

 Los avisos sobre la colocación de cookies han de ser fácilmente accesibles y visibles, esto es, que aparezcan de forma destacada en el Site. De acuerdo con el citado informe no basta para cumplir con la primera capa de información en materia de cookies, tener una Política de Cookies colgada en el Site a pie de página junto con el resto de los textos legales. Por el contrario, será necesario la colocación de un banner, DIV o mecanismo equivalente donde se advierta de la colocación de cookies, especificando si son propias o de terceros, las finalidades de las cookies, las acciones del usuario que suponen la obtención del consentimiento junto con un hiperenlace a la segunda capa con información detallada sobre las cookies (tipos, finalidad, forma de desactivarlas, identificación del tercero que usa cookies por razón de la prestación de un servicio al editor del Site).

 2. ¿Cómo ha de ser el título de la segunda capa: Política de Privacidad, Política de Cookies y/o Política de Privacidad y Cookies?

Lo único que exige la AEPD es que la segunda capa sea identificable en el sentido de que conste la información necesaria requerida por la Agencia en materia de cookies y que sea accesible, esto es, que pueda consultarse con facilidad. El título tiene que ser indicativo de que va a ofrecer  información detallada sobre las cookies. La  rúbrica Política de Privacidad no será suficiente aunque ofrezca información relativa a las cookies, por cuanto el destinatario no tiene porqué conocer que las cookies forman parte de la Política de Privacidad.

Aquí, nos preguntamos si sería válido en aplicación de estos informes y por analogía que cuando se coloca el aviso inicial de la primera capa sobre la colocación de cookies podemos adicionar una leyenda donde se informa sobre el tratamiento de datos personales básicos (nombre, apellidos, email) por el titular de la web con la finalidad de gestión de la relación extracontractual y para atender a sus peticiones, con la posibilidad del ejercicio de los derechos arco para más adelante ofrecer información detallada sobre los tratamientos particulares en la Política de Privacidad y Cookies.

3. ¿Qué información ha de tener la segunda capa?

De acuerdo con un reciente informe[2] de la AEPD en esta segunda capa, se puede ofrecer información por grupos de cookies siempre que presenten alguna afinidad con indicación, de si son de primera o tercera parte, e identificación del tercero contratado y su finalidad. En la medida que se identifica al tercero y se describe la finalidad no es necesario la colocación de enlaces a sus páginas web. Si ello no es posible, es obligatorio incluir el enlace a la página del tercero.

4. ¿Cúal es la sanción por incumplimiento?

De acuerdo con el nuevo régimen sancionador previsto en la nueva Ley de Telecomunicaciones[3] constituye infracción leve:

 Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.

Las infracciones leves serán castigadas  con una multa de hasta 30.000 euros.

Constituye infracción grave: “La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador.

Las infracciones graves serán castigadas con una multa de 30.001 hasta 150.000 euros.

 

[1] Informe 0093/2014.

[2] Informe jurídico 0196/2014.

[3] Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, artículo 38.4 apartado g) y artículo 38.3 i)