Hace unos meses publicábamos una entrada en el blog sobre la Ley de Cookies y su cumplimiento bajo el título ¿Cumple tu web con la llamada Ley de Cookies? y en ella quedábamos a la espera de la resolución del primer expediente sancionador por este tema, iniciado en España, para conocer cuál iba a ser la línea de actuación por parte de la Administración en lo referente a la interpretación sobre el cumplimiento de la ley y las sanciones aplicables, en caso contrario.
Ya hay resolución y del examen de la misma cabe resaltar lo siguiente:
PRIMERO.- Las empresas sancionadas no son grandes empresas con un alto volumen de tráfico en su web o con unos grandes ingresos, sino pequeñas empresas del ramo de la joyería, por lo que parece que la Agencia Española de Protección de Datos lanza un aviso a navegantes de que el cumplimiento exacto se espera y se requiere de todos.
SEGUNDO.- La Agencia es estricta en lo referente al cumplimiento del deber de información en los términos recogidos en la ley.
Si, como es habitual, optamos por facilitar la información por capas (una primera capa más básica y una segunda con datos más completos), estaríamos obligados a:
* Advertir del uso de cookies
* Indicar la finalidad de las mismas y si éstas son propias y/o de terceros
* Advertir de que cualquier acción por parte del usuario implica (si es el caso) la aceptación de su uso
* Insertar un enlace a una segunda capa que recoja la siguiente información:
- Definición y función de las cookies (general)
- Cuadro o listado de todas las cookies que utiliza la página web y la finalidad de cada una de ellas
- Forma de desactivar o eliminar las cookies enunciadas, bien mediante las herramientas del propio editor de la página, bien mediante las de cada uno de los navegadores más utilizados, o las de los terminales o plataformas comunes que pudieran existir, así como el modo de revocar el consentimiento previamente prestado
- Identificación de quién o quiénes utilizan las cookies que se van a instalar
Por tanto, cualquier información suministrada, que no sea suficientemente clara, que no use un lenguaje sencillo comprensible para los destinatarios y que no esté situada en un lugar preeminente y fácilmente visible, o que no incluya toda la información requerida, puede ser objeto de sanción por parte de la Administración.
TERCERO.- Las sanciones de 3.000 euros y 500 euros finalmente impuestas no son demasiado altas, teniendo en cuenta que las sanciones mínimas según la ley podían alcanzar los 30.000 euros. La Agencia lo explica por el hecho de que, a su juicio, no existiera intencionalidad y que dichos actos no generasen un beneficio probado o un aumento de la facturación de las empresas infractoras. Otros aspectos significativos a la hora de valorar la cuantía de las sanciones son el plazo de duración de la infracción, los perjuicios causados o la reincidencia.
CUARTO.- Quizás lo más chocante sea, como indica Pablo F. Burgueño, abogado de las empresas sancionadas y especialista en este campo, la renuncia que hace la Administración a sancionar la instalación de las cookies con anterioridad al consentimiento del usuario y que a todas luces era lo que más problemas causaba para el cumplimiento de esta ley. La resolución en este punto reza:
«Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g). Hay que tener en cuenta que en ámbito administrativo sancionador rigen los principios de legalidad y tipicidad recogidos en los artículos 127 y 129 de la Ley 30/1999, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que obligan a circunscribirse al sentido literal del precepto y a la tipificación contemplada respecto del mismo, sin que en ningún caso quepa efectuar una interpretación en sentido amplio. Por lo tanto, no puede sancionarse una conducta que no está contemplada en el tipo sancionador fijado por el artículo 38.4.g) de la LSSI, ya que este precepto hace referencia al establecimiento de un procedimiento de rechazo del tratamiento de datos»
Lo anterior resulta algo incomprensible, dado que el artículo 38.4.g) especifica que se considerará infracción leve: «El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave».
Y el citado artículo 22.2 reza: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización…»
Es decir, no recabar con carácter previo el consentimiento para instalar las cookies supone también un incumplimiento del artículo 22.2 y no únicamente que no se facilite información clara y completa, por lo que la interpretación de la Agencia es un tanto extraña, toda vez que decide olvidarse de una parte del artículo 38.4.g).
Conclusiones:
– Todas las empresas, independientemente de su tamaño y del volumen de visitas de sus webs, están obligadas a informar de manera completa, sencilla y clara sobre las cookies no exentas que instalan.
– Una página web puede optar por no habilitar ninguna cookie propia o ajena y de esta manera no tener que cumplir con esa obligación de información.
– No parece ser que la Agencia tenga, de momento, intención de sancionar con extrema dureza las infracciones.
– La interpretación de la Agencia de que vulnerar la obligación de informar con carácter previo sobre el uso de cookies no es sancionable facilita mucho las cosas a aquellos que deseen utilizarlas en sus páginas, ya que las dificultades técnicas, las razones estéticas y de propio funcionamiento que existen para bloquearlas antes de recibir el consentimiento dejan de ser un problema dada la falta de sanción, aunque la Agencia lo siga considerando una vulneración de la ley.
Es decir, a partir de ahora, parece que será suficiente con preocuparse de que la información requerida llegue al usuario, no de recibir el consentimiento de éste antes de que las cookies se instalen.
Luis M. Vicente Burgos
VICENTE & OTAOLAURRUCHI ABOGADOS
