Introducción
¿Me pueden inspeccionar o sancionar por no cumplir con la ley de cookies?
Muchos habremos visto que en la gran mayoría de páginas web que visitamos nos aparece el mensaje de cookies que la gran mayoría aceptamos o, simplemente, no le hacemos mucho caso.
No obstante, la regulación exige que aquellas páginas web que utilicen cookies deben cumplir determinadas exigencias legales de ese mensaje y alguna que otra obligación adicional al respecto.
Para entender las implicaciones que puede tener ese mensaje, lo mejor es analizar un par de inspecciones que realizó la Agencia Española de Protección de Datos, entidad competente, principalmente, para el cumplimiento de la normativa de protección de datos (LOPD y RGPD) y de la Ley de Servicios de la Sociedad de la Información (LSSI).
En concreto, se analizará la resolución A/00012/2019.
Análisis
La infracción cometida que se investigó en la resolución A/00012/2019 hacía referencia a que el mensaje de cookies no se podían aceptar las cookies (no existía el típico botón de “aceptar”) y el botón para obtener mas información sobre las cookies no dirigía a ningún apartado de la web.
Información que no proporcionaba en el aviso de cookies:
Si eran cookies de terceros y/o propias;
Qué tipo de cookies utilizaba (si eran analíticas, publicitarias, etc).
La finalidad para la que se utilizan las cookies, ya que se utilizaba una fórmula genérica.
Tampoco se informaba la manera en que el usuario podía configurar las preferencias o rechazar la utilización de cookies.
La AEPD concluye, por tanto, que estos requisitos no se cumplían en el aviso. Hay que indicar que no son los únicos requisitos que se exigen, pero ello daría entrada a muchos artículos del blog.
Además, su “Política de Cookies” tampoco era conforme a lo que exige la normativa relativa a la Ley de Servicios de la Sociedad de la Información (LSSI).
Información que no se indicaba en su Política de Cookies:
Si se utilizaban cookies propias o de terceros.
No se identifica a los titulares de esas cookies de terceros.
No se informa de cómo eliminar las cookies utilizadas.
No se indica el periodo de conservación.
No se informa sobre cómo revocar el consentimiento prestado.
Respecto del botón de aceptación, indica que el mismo no tiene ningún efecto, ya que las cookies se instalan sin haber aceptado.
Conclusión
Como se puede comprobar, la AEPD identifica bastantes deficiencias únicamente en lo que respecta a cookies. Por ello, debemos contar con profesionales que tengan experiencia en adaptar páginas web a la normativa legal, ya que los modelos que podemos encontrar, ya sea de manera gratuita o low cost, puede que no cubran todas las exigencias que la ley exige al respecto.
En este caso, la AEPD apercibe (no sanciona) y le ordena que cumpla con lo que la ley exige y corrija la deficiencias que indica en la propia resolución. Una vez corregidas, debe informar a la AEPD justificando cada extremo que no era correcto.
En ningún caso, ninguna empresa desea que la administración pública le exija que cumpla con la normativa, ya que puede que otras ocasiones no se trate de un apercibimiento, sino de una propuesta de sanción.