índice
El 31 de abril de 2012 entró en vigor la llamada «Ley de Cookies» la cual coloca en situación de ilegalidad sancionable el uso en las páginas web de cookies propias o de terceros que se instalan en los equipos de los navegantes. Hasta hace bien poco la Agencia Española de Protección de Datos no había movido pieza, a día de hoy ha hecho su interpretación de la norma y la está aplicando.
Realmente la normativa que puede estar incumpliendo una página web por el uso indebido de cookies no es expresamente la Ley 15/1999 de Protección de Datos, sino el art. 22.2.de la Ley 34/2002 de Servicios de Sociedad de la Información y Comercio Electrónico (LSSI-CE) que establece lo siguiente:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
(…)
Esta es la nueva redacción que da el Real Decreto Ley 13/2012 (publicado el día 31 de marzo de 2012) al mencionado artículo de la LSSI-CE y que obliga a todos aquellos profesionales, empresas, instituciones y demás entes con personalidad jurídica propia a obtener autorización del navegante ANTES de instalar las famosas cookies.
Realmente esta modificación es lo que se ha venido a llamar «Ley de Cookies». Un Real Decreto Ley que modifica la Ley de Servicios de Sociedad de la Información en un artículo muy concreto.
El papel de la Agencia Española de Protección de Datos
Probablemente si usted o su negocio es titular de una página web desconocerá si ésta incumple la LOPD. Esto es lo que trataremos de aclarar, a la par que informaremos de las posibles consecuencias o riesgos a los que estamos expuestos quienes tenemos una página en el universo web.
Ha llovido ya desde el 31 de marzo del año pasado, y desde entonces poco nos hemos preocupado por este artículo del la LSSI-CE. No se tenía claro qué tipos de cookies iban a ser considerados como sancionables en caso de no obtener consetimiento previo del usuario de la página web: las puramente comerciales, las que captan datos personales de la navegación, las puramente estadísticas, las que permiten al navegante interactuar con la web registrándose y/o pagando servicios, las meramente técnicas. Hasta hace bien poco esto no quedaba claro.
No obstante, la Agencia Española de Protección de Datos, ente que supervisa el cumplimiento de esta normativa, ha publicado en su última Guía unas pautas para el cumplimiento de esta «Ley de Cookies». Esta publicación supone una interpretación de este precepto legal ofrecido por el ente encargado de sancionar por su incumplimiento, y ello supone un importante movimiento al respecto.
Otro hecho importante es una noticia publicada en el Blog de Derecho – Pablo Fdez. Burgueño y que informa de la apertura de un procedimiento sancionador por la AEPD a una empresa por el uso de cookies de Google Analytics en su página web. Aquí empieza lo importante, puesto que se está empezando a inspeccionar el cumplimiento de la «Ley de Cookies«.
¿Cumple una web la «Ley de Cookies» y consecuentemente la LOPD?
Lo recomendable es que un experto en LOPD analice técnicamente la web y el empleo de cookies por el sitio. De todos modos, ahí van unas pinceladas básicas que ayudan a una valoración inicial.
Si la página web no instala cookies, como por ejemplo la propia página de la Agencia Española de Protección de Datos, se cumple la Ley.
Si únicamente se instalan cookies para que el usuario navegue por la web, o se instalan necesariamente para permitir que se cubra un servicio demandado por el navegante a la web (para registrarse o pagar en una tienda online) se cumple la Ley simplemente informando de su instalación.
En el supuesto de instalación del resto de cookies se requiere autorización previa del usuario, o bien la autorización automática por su navegador previamente configurado al efecto por el propio usuario para aceptar o rechazar los diversos tipos de cookies y de finalidades de uso.
Una puntualización: las páginas webs de empresas y negocios en Facebook están en situación de incumplimiento, de acuerdo con la interpretación estricta de la norma. Facebook instala cookies, y esas cookies responsabilizan al titular del sitio web.
Y en la práctica, ¿Qué va a ocurrir?
Lo más normal es que la «Ley de Cookies» se ahogue en el incumplimiento generalizado por los miles y miles de sitios web habidos en internet. Parece difícil que la AEPD persiga de oficio a pequeñas empresas o profesionales que incluso desconocen si su web cumple o no esta normativa. Pero sin embargo la AEPD tiene la obligación de inspeccionar a instancia de denuncia de cualquier usuario de internet que considere mermados sus derechos al ver cómo una web instala cookies sin su autorización.
Esto nos hace concluir que estamos en situación de riesgo frente a las multas por este incumplimiento que pueden estar entre los 30.000 y los 150.000 euros (desde luego desmedido el importe).
Así que lo más recomendable es analizar nuestras webs y ponerlas al día respecto de esta normativa.