segunda, 28 outubro 2019

¿Se cumple el deber de información y consentimiento en las cookies?

VolverEl artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI en adelante) entiende por “cookies” los “dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización (…)”.

Dentro de los diversos tipos de cookies que existen, las que pueden plantear más controversia son aquellas cuya finalidad es el almacenamiento y recopilación de datos para realizar estadísticas, estudios, envío de publicidad, etc. La LSSI obliga al prestador de servicios a informar de forma clara y concisa al usuario de las cookies que se van a instalar. Pero no hay que olvidar que estos ficheros vienen regulados por dos cuerpos normativos: la LSSI (hasta que se apruebe el futuro Reglamento de ePrivacy) en cuanto al régimen de instalación de las cookies, y el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPD-GDD), en cuanto al tratamiento de datos personales obtenidos tras la instalación de las mismas.

El RGPD indica que el consentimiento para que sea válido debe de ser libre, específico, informado e inequívoco, eliminando la posibilidad del consentimiento tácito. No cumpliéndose estos requisitos el consentimiento no es válido. Muchas de las cookies no reflejan la opción de rechazar el consentimiento a la instalación de las mismas, o de configurar las preferencias de forma granular o específica, o en algunas ocasiones incluso se marca por defecto el consentimiento a su instalación, tal y como se refleja en las siguientes resoluciones que analizamos brevemente, y que nos han parecido de las más significativas.

La sentencia del Tribunal de Justicia de la Unión Europea, de 1 de octubre de 2019, resolvió la cuestión prejudicial planteada por el Tribunal Supremo de lo Civil y Penal de Alemania sobre la forma de recabar el consentimiento para el uso de cookies y la protección de la intimidad en el sector de las comunicaciones electrónicas. En el proceso se juzgaba la impugnación por parte de una federación de consumidores sobre la forma en la que una entidad, cuyo objeto era la realización de juegos con fines promocionales organizados en línea, recopilaba el consentimiento de las cookies. Aparecía marcada por defecto una casilla con la que los internautas que participaban en el juego expresaban su consentimiento para la “colocación de cookies”. Estos ficheros recababan información con fines publicitarios.

El Tribunal declaró que la forma de recopilar el consentimiento marcando con carácter previo una casilla para la instalación de cookies en el terminal del internauta no era válida, ya que el usuario tiene que retirar la marca si no desea dar el consentimiento. El Tribunal hace hincapié en que el consentimiento de la instalación de cookies debe de ser específico. En ningún momento debe de entender la empresa de juegos promocionales que por el hecho de que un usuario desee participar en el juego, lleva consigo el consentimiento de la colocación de las cookies en su dispositivo. El Tribunal añadía que el proveedor de servicios debe facilitar al usuario el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.

Por otro lado, la Agencia Española de Protección de Datos publicaba ese mismo 1 de octubre de 2019 otra resolución, no menos llamativa que la anterior, en la que sancionaba a una compañía aérea al pago de 30.000 euros en virtud del artículo 38.4, g) LSSI, que considera como infracción leve “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”.

La compañía aérea cumplía con el deber de información de las cookies que se instalaban en la primera capa, “Aviso de Cookies” informando del contenido de las mismas, finalidad con el que iban a ser utilizadas, aviso de aceptación de las mismas si se continuaba navegando y un enlace con la consulta de la Política de Cookies. En la segunda capa se encontraba la “Política de Cookies”, definición de las mismas, cuáles se usaban e informaban que la aerolínea podía utilizarlas de análisis de terceros. El consentimiento a estas cookies era implícito, sin poder oponerse a las mismas, sino que remitía al navegador para eliminarlas o bloquearlas sin ofrecer la posibilidad de denegar este tipo de cookies, solamente a través de las opciones del navegador.

Por otro lado, no se facilitaba ningún sistema de gestión o eliminación granular de las cookies que no se deseaban instalar en el dispositivo. Considerando la AEPD, en su Fundamento de Derecho II que para facilitar la selección, el panel podría habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular y poder administrar preferencias.

Estas dos resoluciones nos hacen reflexionar sobre la falta de información, claridad y transparencia en los paneles informativos de uso de cookies para su posterior consentimiento. Muchos de los actuales proveedores de servicios no cumplen con este deber de información y transparencia de la LSSI, ni con el deber de que el consentimiento sea libre, específico, informado e inequívoco que establece el RGPD y la LOPD-GDD. En un reciente estudio se informaba que el 85% de los prestadores de servicio realizaban de forma incorrecta la gestión de instalación de cookies y la obtención del consentimiento del usuario, siendo estas dos recientes resoluciones prueba de ello.

Finalmente, desde el Departamento de Derecho Digital de Belzuz Abogados, S.L.P., dada nuestra amplia experiencia como abogados en Derecho Digital y como abogados en la adaptación de empresas al RGPD, estamos muy concienciados del cumplimiento de la LSSI y el RGPD-LOGDD en cuanto al deber de informar de forma clara y completa sobre la instalación de cookies y la recopilación del consentimiento expreso de los usuarios. Por ello, consideramos no menos importante la revisión periódica de las políticas y textos sobre cookies para su adaptación a las directrices que contemplan los dos cuerpos normativos.

Departamento Direito Digital (TIC) | Madrid (Espanha)

 

Belzuz Abogados SLP

A presente Nota Informativa destina-se a ser distribuída entre Clientes e Colegas e a informaçăo nela contida é prestada de forma geral e abstracta, năo devendo servir de base para qualquer tomada de decisăo sem assistęncia profissional qualificada e dirigida ao caso concreto. O conteúdo desta Nota Informativa năo pode ser utilizada, ainda que parcialmente, para outros fins, nem difundida a terceiros sem a autorizaçăo prévia desta Sociedade. O objectivo desta advertęncia é evitar a incorrecta ou desleal utilizaçăo deste documento e da informaçăo, questőes e conclusőes nele contidas.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Lisboa

Belzuz Advogados - Escritório de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Porto

Belzuz Advogados - Escritório do Porto

Rua Julio Dinis 204, Off 314

  4050-318 Porto

+351 22 938 94 52

+351 22 938 94 54

Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

Associações

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa