El tratamiento de las «cookies» por las empresas y profesionales en sus páginas web.
- La AEPD sanciona por instalar cookies sin consentimiento de los usuarios, por no permitir denegar su instalación si no es mediante las opciones del navegador y por no autorizar la revocación del consentimiento prestado.
- El TJUE declara necesario que el consentimiento del usuario se otorgue de forma libre, específica, inequívoca y fundada, y señala que no podrá deducirse de una manifestación de voluntad general.
Con el avance de las nuevas tecnologías son mayores las medidas de seguridad que se deben aplicar para hacer un uso correcto de los datos personales. Precisamente, una de las ultimas noticias en materia de protección de datos se refiere a una sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a Vueling por el mal uso de los cookies. La compañía aérea ha sido multada con 30.000 euros por instalar cookies en los equipos de los usuarios de su página web sin su consentimiento. Además, dicha web no permitía denegar la instalación de las mismas si no se hacía a través de las opciones del navegador y tampoco permitía revocar el consentimiento prestado. Sin embargo, la multa ha sido reducida a 18.000 euros por su reconocimeinto y pago voluntario.
La web de Vueling contenía dos capas de información sobre las cookies. En la primera, se informaba de su uso y se disponía que si continuabas navegando se consideraba que aceptabas su uso y, en la segunda, se informaba sobre qué son las cookies, cuáles se usaban y cómo la empresa podía hacer uso de métodos similares. Es por ello que el consentimiento a que se cediesen datos a terceros a través de cookies era implícito, ya que no existía opción de poder oponerse. Además, la única forma de eliminar las cookies o bloquearlas era desde la configuración de las opciones del navegador.
La falta de opciones para configurar la política de cookies es uno de los defectos más comunes en las webs y se trata de una infraccion leve regulada en el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) que dice que «los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos«.
Por todo ello, la AEPD ha resuelto que la ausencia de un sistema de gestión de configuración de cookies no es lícito y considera que, para facilitar una selección de las mismas, se debería habilitar un botón para rechazarlas y otro para habilitarlas, bien sea de forma general o granular, pudiendo administrar preferencias. A este respecto se considera que las herramientas de configuración de los navegadores para administrar las cookies son sistemas complementarios a la anterior, y en todo caso insuficiente si nos referimos a ellos como la única opción de organizar las cookies.
Respecto a este asunto, también se ha querido manifestar el Tribunal de Justicia de la Unión Europea y ha recalcado que es necesario que el consentimiento del usuario se otorgue mediante una manifestación de voluntad libre, inequívoca y fundada, es decir, mediante un comportamiento activo. Además, ha recordado que ya la Directiva 2002/58 requería que el usuario pudiera rechazar y modificar las cookies y que la posterior Directiva 2009/136 exige que el consentimiento sea activo. Por lo tanto, la manifestación de voluntad debe ser específica y estar referida a un tratamiento de datos concreto y no deducirse de una manifestación de voluntad general.