Empresa impide al usuario rechazar cookies no necesarias -

En este artículo vamos a tratar...

Sanción a una empresa por impedir al usuario rechazar cookies no necesarias

El pasado 23 de febrero de 2022, un particular interpuso reclamación ante la Agencia Española de Protección de Datos contra una empresa que no permitía rechazar las cookies no necesarias en su página web.

Más concretamente, indicó que la web presentaba una Política de Cookies en la que aparentemente estaba todo deshabilitado. Sin embargo, se presentaba la pestaña “Proveedores“, la cual contenía otra pestaña llamada “Interés legítimo“.

Ésta última aparentemente contenía varios proveedores que había que ir deshabilitando uno a uno, careciendo de la opción “Deshabilitar todo“.

En su contestación, la empresa reclamada respondió indicando lo siguiente:

No se ha proporcionado información suficiente por parte del reclamado acerca de los detalles específicos esenciales para identificar con mayor exactitud la incidencia.
La empresa no recibió ninguna alerta de incidencia por parte del reclamante.
En su página web, ofrecen la pestaña “Panel de Control“, con el objetivo de que el usuario pueda o no establecer el uso que se hace de las cookies y obtener la información previa para poder hacerlo en las condiciones adecuadas.
En este Panel de Control se presenta la información por capas (esto es, mostrar la información esencial en la primera capa).

Esta información sería Configurar las cookies e información básica sobre las mismas. Se complementaría con una segunda capa (que contiene información más detallada y específica sobre la política de cookies).

Pronunciamiento de la AEPD

Sobre la política de cookies de la página web del reclamado:

Ha de facilitarse al usuario información completa y clara acerca de la utilización de dispositivos de almacenamiento y recuperación de datos, y más concretamente, sobre el fin del tratamiento de los datos. Así lo regula el art. 22 LSSI.

Por ello, si la utilización de una cookie conlleva un tratamiento que posibilite la identificación del usuario, los responsables del tratamiento tendrán que asegurar el cumplimiento de las exigencias establecidas por la normativa sobre protección de datos.

Sin embargo, aquellas cookies necesarias para la intercomunicación de los terminales y la red, al igual que las que prestan un servicio expresamente solicitado por el usuario, quedarán eximidas del cumplimiento del artículo 22 LSSI.

El GT29, en su Dictamen 4/2012, señaló que entre las cookies exceptuadas estarán:

Cookies de entrada del usuario (utilizadas para rellenar formularios).
Cookies de autenticación o identificación de usuario (de sesión).
Cookies de seguridad del usuario (utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web).
Cookies de sesión de reproductor multimedia.
Cookies de sesión para equilibrar la carga.
Cookies de personalización de la interfaz de usuario y algunas de complemento (plug-in) para intercambiar contenidos sociales.

Al utilizar estas cookies excluidas del ámbito de aplicación del art. 22 LSSI, no se neceistará informar al usuario ni obtener su consentimiento sobre el uso de las mismas.

Consentimiento a la instalación de cookies en el equipo terminal:

Cualquier otro tipo de cookies no incluido en la excepción del ámbito de aplicación del art. 22 LSSI, ya sea de primera o tercera parte, de sesión o persistentes, requerirá informar y obtener el consentimiento previo del usuario antes de la utilización de las mismas.

Dicho consentimiento se podrá obtener de las siguientes maneras:

Haciendo click en “Aceptar”.
Obtener el mismo de una inequívoca acción realizada por el usuario que denote que el consentimiento se ha producido inequívocamente.

Por tanto, NO se considerará consentimiento:

La mera inactividad del usuario en la web.
Cuando el usuario haga simple scroll en la web.
Cuando el usuario se limite a navegar por la web.

Tampoco supondrá la aceptación de cookies:

El acceso a la segunda capa si la información se presenta por capas.
La navegación necesaria para que el usuario gestione sus preferencias respecto a las cookies desde el panel de control.

Por otro lado, no estará permitido el denominado “Muro de cookies“, es decir, ventanas emergentes que bloquean el contenido y el acceso a la web y obligan al usuario a aceptar el uso de las cookies para poder acceder a la página y seguir navegando.

Todo ello, sin ofrecer al usuario alternativa alguna que le permita gestionar libremente sus preferencias sobre la utilización de las cookies.

Respecto a la retirada del consentimiento prestado por el usuario, ésta deberá llevarse a cabo en cualquier momento. Para ello, el editor deberá añadir una opción que, de manera clara y sencilla, permita al usuario a retirar su consentimiento cuando lo crea oportuno.

En el presente caso, el banner de la primera capa ofrece la posibilidad de aceptar todas las cookies.

En caso de que se quiera gestionar la utilización de cookies, se deberá acceder al panel de control a través del enlace “Configuración“, en el cual aparecen los grupos de cookies premarcados en la opción “OFF”.

No obstante, si se desea no utilizar ninguna cookie que no sea técnica o necesaria haciendo click en “Guardar y salir“, sin haber modificado ningún grupo de cookies a la opción “ON” se comprobará que la web continúa utilizando las mismas cookies detectadas al principio.

Infracción administrativa

La Política de cookies de la web de la empresa reclamada presenta una serie de deficiencias detectadas por la AEPD:

Utilización de cookies no técnicas ni necesarias sin consentimiento del usuario.
Imposibilidad de rechazar dichas cookies mencionadas.

Esto supone una infracción del art. 22.2 LSSI. Más concretamente, se califica como infracción leve según el art. 38.4.g) de la misma ley:

“Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”

Por todo ello, se impuso una sanción pecuniaria que ascendió a los 5.000€.

Desde Auratech Legal Solutions estaremos a su disposición.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Empresa impide al usuario rechazar cookies no necesarias

Sanción a una empresa por impedir al usuario rechazar cookies no necesarias

Pronunciamiento de la AEPD

Sobre la política de cookies de la página web del reclamado:

Consentimiento a la instalación de cookies en el equipo terminal:

Infracción administrativa

Dejar un comentario

Deja una respuesta Cancelar la respuesta