Hace unos días se hacía pública la Resolución nº 2990/2013, de la Agencia Española de Protección de Datos, dictada en el Procedimiento Sancionador nº 321/2013, por la que dos empresas son sancionadas por no dar cumplimiento a la normativa que regula el uso de las cookies en las páginas webs.
Los importes de las sanciones han sido de 3.000 euros en el caso de la mercantil NAVAS JOYEROS IMPORTADORES, SL, y de 500 en el caso de PRIVILEGIA LUXURY EXPERIENCE, SL.
En ambos supuestos se habría vulnerado el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Se trata de empresarios que tienen páginas webs que instalan cookies en los equipos de los usuarios, y son cookies tan habituales como las de Google Analytics, Double Click, las del módulo Jetpack del WordPress, las de Youtube…
Casi con toda seguridad tú también las tengas en tu web. O al menos alguna.
Recordemos lo que dice el artículo 22.2 LSSICE:
2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
La resolución entiende que las sancionadas no habrían dado información clara ni completa sobre las cookies, y se manifiesta en los siguientes términos:
Se observa que la información contenida en los citados apartados no sólo no define las cookies, sino que no detalla mínimamente el tipo de cookies utilizadas en las citadas páginas web ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación.
Tampoco advierte sobre los mecanismos de desactivación de cookies ni sobre el modo de revocar el consentimiento.
Os recomiendo que leáis con atención la página 27 y siguientes de la Resolución indicada, que puedes ver en www.agpd.es y concretamente pinchando aquí:
Como bien dicen algunos compañeros, la AEPD ha dictado una nueva GUÍA DE COOKIES, donde detallan cómo debes informar sobre su existencia.
Lo que te debe quedar claro es que ni mucho menos el legal, tener un aviso inicial genérico ni un parrafito en tu aviso legal indicando que existen cookies.
La información tiene que ser mucho más detallada.
Eso sí, de momento –y salvo que la AEPD se invente una nueva GUÍA DE COOKIES posteriormente- para recabar el consentimiento del usuario bastaría con que siguiera navegando por la web. Algo sobre lo que a mí quedan serias dudas, la verdad…
¿Qué te recomiendo en la práctica? Pues fráncamente, como están las cosas: que dediques al menos media hora a consultar el tema con tu informático, con tu abogado, con tu asesor de LOPD, o ya puestos, incluso conmigo.