Cookies: segunda capa de informacion

Me gustaría hacer una breve reseña sobre el informe de la Agencia Española de Protección de Datos nº 196/2014, que detalla y aclara cuál debe ser el contenido de la segunda capa de información del aviso sobre cookies en las webs.

Como sabemos, la Ley 9/2014, de 9 de mayo, de Telecomunicaciones, ha introducido una serie de modificaciones en el artículo 22.2 de la LSSICE, que ha supuesto –a su vez- la necesidad de adaptar una serie de páginas web que usaban determinado tipo de cookies.

En resumidas cuentas, los usuarios de la web debían ser informados y dar su consentimiento para la instalación de las mencionadas cookies.

La Agencia Española de Protección de Datos ya publicó en su día una Guía sobre el uso de las cookies, con la finalidad de orientar a los titulares de páginas web sobre la forma de llevar a cabo la adaptación y cumplimiento del artículo 22.2 LSSICE.

Como sistema válido de cumplimiento, la Agencia proponía el sistema de información por capas, indicando que:

1º. “… en una primera capa se mostraría la información esencial sobre la existencia de cookies, si son propias o de terceros y las finalidades de las cookies empleadas, así como los modos de prestar el consentimiento y la información sobre un procedimiento de rechazo de cookies […], el aviso de cookies contenido en la primera capa ha de ser suficientemente visible, es decir aparecer a primera vista y de forma destacada, y no puede entenderse cumplida dicha primera capa con la existencia de una política de privacidad, o incluso política de cookies en el sitio web en cuestión.”

2º. “Y en una segunda capa a la que se accede mediante enlace o hipervínculo de la primera se ofrecería información adicional sobre las cookies. En particular, dicha información adicional debería versar sobre qué son y para qué se utilizan las cookies, los tipos de cookies utilizadas y su finalidad, así como la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, y la forma de revocación del consentimiento ya prestado. Finalmente, debe en esta segunda capa ofrecerse información sobre la identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros contratados o cuyos servicios ha decidido utilizar el editor, con identificación de estos terceros.”

En el informe jurídico que hemos citado al inicio, se le planteó a la Agencia Española de Protección de datos, la cuestión de si es o no necesario incluir –en la segunda capa de información- el “nombre, cometido y funciones de cada una de las cookies” o si cabe una descripción más general.

La conclusión de la AEPD es muy clara:

“…no es necesario mostrar la segunda capa de información en una tabla o de otro modo en que se especifiquen los nombres de todas y cada una de las cookies.”

Cuestión distinta es que el titular de la web quiera facilitar esa información: nada impide que lo haga.

Sencillamente se dejaría más informado al usuario.

Multa por cookies


Hace unos días se hacía pública la Resolución nº 2990/2013, de la Agencia Española de Protección de Datos, dictada en el Procedimiento Sancionador nº 321/2013, por la que dos empresas son sancionadas por no dar cumplimiento a la normativa que regula el uso de las cookies en las páginas webs.

Los importes de las sanciones han sido de 3.000 euros en el caso de la mercantil NAVAS JOYEROS IMPORTADORES, SL, y de 500 en el caso de PRIVILEGIA LUXURY EXPERIENCE, SL.

En ambos supuestos se habría vulnerado el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).

Se trata de empresarios que tienen páginas webs que instalan cookies en los equipos de los usuarios, y son cookies tan habituales como las de Google Analytics, Double Click, las del módulo Jetpack del WordPress, las de Youtube…

Casi con toda seguridad tú también las tengas en tu web. O al menos alguna.

Recordemos lo que dice el artículo 22.2 LSSICE:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

 

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

 

La resolución entiende que las sancionadas no habrían dado información clara ni completa sobre las cookies, y se manifiesta en los siguientes términos:

 

Se observa que la información contenida en los citados apartados no sólo no define las cookies, sino que no detalla mínimamente el tipo de cookies utilizadas en las citadas páginas web ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación.

 

Tampoco advierte sobre los mecanismos de desactivación de cookies ni sobre el modo de revocar el consentimiento.

 

Os recomiendo que leáis con atención la página 27 y siguientes de la Resolución indicada, que puedes ver en www.agpd.es y concretamente pinchando aquí:

 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00321-2013_Resolucion-de-fecha-14-01-2014_Art-ii-culo-5.1-LOPD-22.2-LSSI.pdf

 

Como bien dicen algunos compañeros, la AEPD ha dictado una nueva GUÍA DE COOKIES, donde detallan cómo debes informar sobre su existencia.

 

Lo que te debe quedar claro es que ni mucho menos el legal, tener un aviso inicial genérico ni un parrafito en tu aviso legal indicando que existen cookies.

 

La información tiene que ser mucho más detallada.

 

Eso sí, de momento –y salvo que la AEPD se invente una nueva GUÍA DE COOKIES posteriormente- para recabar el consentimiento del usuario bastaría con que siguiera navegando por la web. Algo sobre lo que a mí quedan serias dudas, la verdad…

¿Qué te recomiendo en la práctica? Pues fráncamente, como están las cosas: que dediques al menos media hora a consultar el tema con tu informático, con tu abogado, con tu asesor de LOPD, o ya puestos, incluso conmigo.

Multas a Google Inc


Es noticia en estos días la Resolución de la Agencia Española de Protección de Datos que sanciona a GOOGLE por incumplir la normativa sobre protección de datos de carácter personal.

En concreto, es la Resolución 2892/2013, dictada en el Procedimiento Sancionador nº  345/2013.

¿Y qué habría vulnerado exactamente Google con su política de privacidad según la AEPD? Pues ni más ni menos que:

1º. El artículo 4.1 LOPD, que establece que: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean  adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas,  explícitas y legítimas para las que se hayan obtenido. Esta vulneración constituye infracción grave según la LOPD.

2º. El artículo 4.2 LOPD (también infracción grave), según el cual: Los datos de carácter personal objeto de tratamiento no  podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido  recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3º. El artículo 5.1 LOPD (infracción leve, en este caso), que recoge el conocido principio de información, según el cual se ha de informar al titular de los datos, sobre todos los puntos indicados por dicho precepto.

4º. El artículo 6.1 LOPD (infracción grave), o principio del consentimiento. Establece con claridad este artículo que: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del  afectado, salvo que la Ley disponga otra cosa.

5º. El artículo 4.5 LOPD (infracción grave) que determina lo siguiente:

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o  pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el  mantenimiento íntegro de determinados datos.

6º. El artículo 15 y el 16 LOPD, en relación con los artículos 27 a 36 del Reglamento de desarrollo de la LOPD (infracción igualmente grave), al considerar la AEPD que Google estaría impidiendo u obstaculizando el ejercicio de los derechos de acceso, rectificación, cancelación y oposición).

Y estas son las multas que finalmente se imponen a GOOGLE INC (ojo, que no a Google Spain, SL):

1. Sanción de 300.000 euros por infracción del artículo 6.1 LOPD.

2. Sanción de 300.000 euros por infracción del artículo 4.5 en relación con el 16 LOPD.

3. Sanción de 300.000 euros por infracción de los artículos 15 y 16 LOPD en relación con los arts. 27 a 36 del Reglamento de la LOPD.

Además, se requiere a la empresa para que subsane, sin dilación, las infracciones cometidas.

Si quieres leer más, puedes hacerlo en la página de la Agencia Española de Protección de Datos, en este enlace:

https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/news/2013_12_19-ides-idphp.php