AEPD, multas y cookies


Ha vuelto a saltar en estos días la alarma por el tema de las cookies, del que ya he hablado en ocasiones anteriores en este blog.

Se publicaba en fecha reciente la noticia del inicio de un expediente sancionador de la Agencia Española de Protección de Datos contra una empresa que no cumple la Ley de Cookies, ya que se limitaría a mostrar en su web un pop-up informativo en relación con dichas cookies, pero que las instala ante de haber obtenido el consentimiento del usuario.

Esta es una situación muy extendida en este momento, y son muchas las webs que han optado por este tratamiento de las cookies, que podría ser contrario a la LSSICE.

Las cookies que se van a tratar en el caso presentado ante la AEPD son de las más habituales , contenidas en la mayor parte de páginas webs y blogs: google analytics, google maps; google youtube, google Adsense, Doubleclick, etc…

No obstante, por esa tendencia natural que existe a deformar las noticias, creo que no estaría de más aclarar algunos puntos:

1º. Se trata del inicio de un expediente sancionador. Aún no hay resolución administrativa.

2º. La AEPD, nos pongamos como nos pongamos, es un órgano administrativo, cuyas resoluciones son –afortunadamente-revisables ante los tribunales. Probablemente pasen años (que pueden ser muchos si  el tema sube a las altas instancias judiciales) antes de que tengamos una resolución firme sobre la materia.

3º. Como  muy bien decía esta mañana en twitter el compañero Samuel Parra: «Aunque hablen de la Ley de cookies, ni es una Ley ni es de cookies».


4º. El marco jurídico de esta cuestión lo tenemos en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacion y del comercio electrónico (LSSICE), según redacción dada por -ojo-  el R.D.-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista.

 

Y esta es la redacción exacta del precepto:


2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
 

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
 

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
5º. Además de esto, hemos de tener en cuenta la Guía sobre el uso de las cookies que ha presentado la AEPD, y que se puede leer aquí:
Atención, que se trata de una GUÍA. Y como dice en la propia GUÍA: 
Las soluciones propuestas en la presente guía pretenden ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, tras su modificación por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (en adelante, LSSI).

Sin perjuicio de posibles desarrollos ulteriores para actualizarlas o dar respuestas concretas a modelos de negocio más complejos que los aquí contemplados.

Dadas las múltiples complejidades que plantea el uso de las cookies, estas orientaciones no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que deben servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio.
6º. En definitiva, que ni tenemos Ley de Cookies, ni resoluciones firmes ni nada similar que nos dé una mínina seguridad jurídica. El artículo 22.2 LSSICE sirve más para confundir que para aclarar el tema, y la famosa GUÍA no es Ley, sino guía orientativa, de modo que poco podemos esperar.
7º. Mi criterio -que probablemente le parezca demasiado radical a muchos- es eliminar todas las cookies de tu web. Hay formas de hacerlo. O eso, o nos arriesgamos a ser conejillos de indias de los señores de la AEPD y tribunales que finalmente puedan interpretar la norma. Es la única solución segura que me plantea la total inseguridad jurídica en que nos vemos sumidos. 
Estas son las situaciones ridículas a que nos empuja el legislador y nuestros «distinguidos» gobernantes.
Hay normativas que una tiene la sensación de que se han engendrado en medio de un botellón en el Congreso.
Si bebes, no legisles. 

 

 

Un comentario sobre “AEPD, multas y cookies”

Deja un comentario