Ley de Cookies: Primeras Sanciones

Si bien la entrada en vigor de la conocida como Ley de Cookies se remonta ya al mes de Abril de 2012, su aplicación práctica por parte de los responsables de páginas web se ha visto demorada en el tiempo debido a las dificultades que éstos se han encontrado a la hora de interpretar dicha ley, dada su gran ambigüedad. Sin embargo, el pasado mes de Agosto, la AEPD (Agencia Española de Protección de Datos) inició el primer procedimiento sancionador por incumplimiento de la Ley de Cookies.

¿Qué es la Ley de Cookies?

Se conoce con el nombre de Ley de Cookies al punto tercero del artículo 4 del Real Decreto Ley 13/2012 de 30 de Marzo, que fue publicado en el B.O.E. del 31 de Marzo de 2012 y que entró en vigor el 1 de Abril de 2012. Este artículo modifica el punto segundo del artículo 22 de la LSSI  (Ley de Servicios de la Sociedad de la Información) y es a su vez una transposición de la Directiva Europea 2009/136/CE de 25 de Noviembre de 2009.

¿La Ley de Cookies afecta a la página web de mi empresa?

En general, la Ley de Cookies afecta a la página web de cualquier empresa o profesional que tenga su domicilio social en España o que ofrezca sus servicios dentro del territorio español, independientemente de si su domicilio social se encuentra fuera o dentro de España.

La Ley de Cookies, al estar integrada en la LSSI,  afecta exactamente a aquellas empresas y profesionales que se ven afectados por esta Ley, es decir, a aquellos recogidos en el Artículo 2 de la LSSI.

¿Qué es una cookie?

Se conoce con el nombre de cookie a un fragmento de información que una página web almacena en el ordenador del usuario que la visita a través de su navegador web. Los usos más habituales de las cookies son los siguientes:

  1. Guardar un identificador de sesión del usuario: de este modo, cuando el usuario se autentica en una página web mediante su nombre de usuario y contraseña, no es necesario que vuelva a introducir esos datos cada vez que visita otra página diferente del mismo sitio web.
  2. Guardar el carro de la compra de un usuario en una tienda online: para que aunque abandone la tienda online, cuando regrese a ella, su carro de la compra no esté vacío, sino que contenga los artículos que añadió en su última visita.
  3. Guardar preferencias de navegación del usuario: en páginas web en las que el usuario puede personalizar algunos aspectos de la misma durante su visita, estas preferencias suelen guardarse en forma de cookies en el navegador del propio usuario. Por ejemplo: el idioma preferido para la navegación por el sitio web, el tamaño de letra, el color de fondo preferido, etc.
  4. Guardar información que permita hacer un seguimiento de las actividades del usuario dentro del sitio web: con el objetivo de que el propietario del sitio web pueda conocer cuáles son las páginas más visitadas de su sitio web, cuáles son las que los usuarios leen durante más tiempo, etc.

Cabe resaltar que la ley no se refiere tan solo a las cookies HTTP (que es el tipo de cookies más utilizadas), sino también a otros mecanismos similares utilizados para almacenar información en el equipo utilizado por el usuario para acceder a la página web, como pueden ser: pixel tags, flash cookies, almacenamiento local de HTML5, etc.

¿De qué forma afecta la Ley de Cookies a la página web de mi empresa?

Los responsables de páginas web afectadas por la “Ley de Cookies” están obligados por dicha ley a informar a los usuarios sobre la utilización de las cookies que se realiza en sus páginas web. Además, la ley define una serie de cookies que no pueden ser instaladas en el ordenador del usuario que visita la página web sin haber recabado previamente el consentimiento informado de dicho usuario (a estas cookies se las conoce habitualmente como “cookies no exentas”).

¿En qué casos no es necesario haber recabado el consentimiento informado del usuario para cumplir la Ley de Cookies?

En aquellos casos en los que las cookies sean estrictamente necesarias para permitir la navegación del usuario por nuestra página web o para proporcionarle un servicio que el usuario ha solicitado expresamente, como por ejemplo: cookies que permiten el acceso a las áreas privadas de un sitio web, cookies que resultan necesarias para efectuar el pago en una tienda online, etc.

Según la Guía sobre el uso de las Cookies publicada por la AEPD (Agencia Española de Protección de Datos), estos tipos de cookies quedarían excluidos del ámbito de aplicación del artículo 22.2 de la LSSI y, por tanto, estos tipos de cookies podrían ser utilizados sin la necesidad de informar al usuario sobre su uso y sin la necesidad de obtener su consentimiento informado antes de proceder a su instalación. A este tipo de cookies se las conoce habitualmente como “cookies exentas”.

¿En qué casos para cumplir con la Ley de Cookies hay que informar al usuario y recabar su consentimiento antes de instalar las cookies?

Existen una serie de tipos de cookies para los que no basta con informar al usuario que visita nuestra página web sobre su existencia, sino que, si queremos cumplir con la Ley de Cookies, no podemos instalar dichas cookies en el ordenador del usuario mientras no hayamos obtenido su consentimiento informado. Es decir, no podremos instalar cookies de esos tipos mientras no hayamos informado al usuario de que vamos a instalar en su ordenador dichas cookies y éste haya aceptado que lo hagamos.

No obstante, en estos momentos existe una cierta controversia sobre este punto, ya que la Guía sobre el uso de las Cookies de la AEPD explica que hay que obtener el consentimiento informado del usuario antes de “instalar” este tipo de cookies , mientras que la LSSI habla de que es necesario obtener dicho consentimiento informado antes de “utilizar” dichas cookies, por lo que los expertos apuntan a que este tema tendrá que ser aclarado por los tribunales de justicia.

Uno de los ejemplos más claros en los que para cumplir con la Ley de Cookies es necesario obtener el consentimiento informado del usuario antes de poder instalar cookies en el ordenador de dicho usuario son las cookies de analítica web de terceros, es decir las cookies que se utilizan para recabar datos estadísticos sobre el uso de una página web y en donde esos datos se comparten con un tercero. Un ejemplo de este tipo de cookies son las introducidas por Google Analytics, que es un servicio gratuito de analítica web, proporcionado por Google, que utilizan la inmensa mayoría de páginas web para obtener estadísticas sobre el uso que de ellas hacen los usuarios.

En cuanto a las cookies de analítica web de primera parte, es decir, aquellas cookies utilizadas para la analítica de una página web en las que la información recopilada no se comparte con otros usuarios o servicios cuyo titular sea diferente del de la página web, todavía no está muy claro si están o no exentas de la obligación de informar al usuario que visita la página web y obtener el consentimiento previo por parte del mismo antes de proceder a su instalación. Algunos expertos consideran que las cookies de analítica web de primera parte podrían estar excluidas de la Ley de Cookies y que, por tanto, no sería necesario recabar el consentimiento informado del usuario antes de poder proceder a la instalación de dichas cookies en el equipo del usuario. No obstante, tendrán que ser los tribunales los que definan cómo se aplicará la Ley de Cookies en estos casos.

¿Cómo proceder en los casos en los que  para cumplir con la Ley de Cookies es necesario informar al usuario y recabar su consentimiento informado antes de instalar las cookies?

En estos casos, en los que para cumplir con la Ley de Cookies necesitamos informar al usuario y recabar su consentimiento informado antes de poder instalarle las cookies, lo que debemos hacer es lo siguiente:

  1. Informar a los usuarios de que nuestra página web utiliza este tipo de cookies (también conocidas como “cookies no exentas”).
  2. No instalar este tipo de cookies hasta que el usuario haya sido informado y dado su consentimiento para la instalación de dichas cookies.

Las formas más habituales de informar al usuario y obtener su consentimiento para la instalación de estas cookies son:

  1. Mostrar una página de inicio que informe al usuario sobre las cookies utilizadas en la página web y que solo le permita seguir visitándola si acepta la instalación de dichas cookies.
  2. En lugar de una página de inicio, mostrar una ventana emergente (también llamada ventana “pop-up”) para informar al usuario sobre el uso de las cookies que se realiza en el sitio web y solicitar el consentimiento para su instalación.
  3. Mostrar una pequeña franja en la parte superior o inferior de la página, que informe al usuario y solicite el consentimiento para la instalación de las cookies. Esta franja debe ser bien visible sin necesidad de realizar scroll.

La tercera opción suele ser la más empleada, por ser la menos intrusiva para el usuario.  En los casos 2 (ventana “pop-up”) y 3 (pequeña franja en la parte superior o inferior de la página), la Guía sobre el uso de las Cookies de la AEPD recomienda que el sistema de información al usuario debe ser un sistema por capas y que, en esta primera capa, debe mostrarse la siguiente información:

  1. Una advertencia de que la página web utiliza cookies no exentas.
  2. Indicar cuál es la finalidad de dichas cookies y si se trata de cookies de primera o de tercera parte, es decir, si únicamente van a ser instaladas y usadas por el titular responsable de la página web o si esta información será compartida con terceros.
  3. Mostrar un enlace a una página dentro del sitio web en la que se incluirá información más detallada sobre dichas cookies.
  4. Si se muestra la información de los puntos anteriores, también puede mostrarse una advertencia indicando al usuario que si sigue navegando por el sitio web, se considerará que ha dado su consentimiento para la instalación y uso de cookies. En este caso, podremos suponer que el usuario ha dado su consentimiento para la instalación y uso de cookies si éste utiliza la barra de desplazamiento del navegador, si pulsa sobre cualquier enlace de la página,  etc.

¿Qué puede ocurrir si mi página web no cumple la Ley de Cookies?

Si eres el titular de una de las páginas web afectadas por la Ley de Cookies y no cumples con dicha ley, te arriesgas a recibir una multa por parte de la AEPD. La cuantía a la que ascienden estas multas oscila entre los 30.000 euros para el caso de las infracciones leves y los 150.000 euros para el caso de las infracciones graves.

¿Ha habido ya alguna sanción por incumplimiento de la Ley de Cookies?

No, a día de hoy todavía no ha habido ninguna sanción, pero el pasado mes de Agosto de 2013, la AEPD puso en marcha el primer procedimiento sancionador contra el titular de la página web de una empresa que no cumple con la citada Ley de Cookies.

El motivo que ha dado inicio al procedimiento sancionador de la AEPD en este caso consiste en que la página web corporativa de esta empresa instala cookies de Google Analytics sin obtener previamente el consentimiento informado del usuario que visita la página web.

¿Cómo puedo saber si la página web de mi empresa cumple la Ley de Cookies?

Si tras leer este artículo, todavía no estás seguro de si la página web de tu empresa cumple con la Ley de Cookies, lo mejor es contratar a un experto para que realice una auditoría de cookies de esa página web y te diga si estás cumpliendo o no con la Ley de Cookies y te proponga las acciones a realizar en caso de que la página web no esté cumpliendo la ley.

Si lo deseas, puedes contactar con Karakana Factoría TIC y nosotros realizaremos una auditoría de cookies de la página web de tu empresa, proporcionándote toda la información necesaria para que la página web de tu empresa cumpla con la Ley de Cookies y aconsejándote sobre los pasos a seguir para adaptar dicha página web al marco legal actual.

Últimas Modificaciones introducidas en la Ley de Cookies

En el Consejo de Ministros celebrado el pasado 13 de Septiembre de 2013 se aprobó un anteproyecto de ley que introduce una serie de modificaciones a la Ley General de Telecomunicaciones. Estas modificaciones afectan también a la LSSI-CE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico) en lo relativo a la Ley de Cookies. Entre estas modificaciones cabe destacar las siguientes:

  1. Con la redacción anterior de la ley, era posible delegar la obtención del consentimiento informado para la instalación y uso de cookies en las opciones de configuración del navegador del usuario, pero únicamente en el caso en el que el navegador recabase el consentimiento informado del usuario para la instalación y uso de cookies durante la instalación o actualización del navegador. Con la nueva redacción de la ley, no sería necesario que el navegador recabe dicho consentimiento informado del usuario durante la instalación o la actualización del navegador, sino que se considera suficiente con que el navegador disponga de opciones de configuración para impedir la instalación de cookies. Si el navegador dispone de dichas opciones y el usuario no configura su navegador para impedir la instalación de cookies, se considerará que está otorgando su consentimiento para la instalación y uso de cookies.
  2. Se permitirá que los órganos con capacidad sancionadora puedan no abrir un procedimiento sancionador y, en su lugar, puedan realizar un apercibimiento al infractor, asignándole un plazo durante el cuál el infractor podrá subsanar las deficiencias causantes de la infracción. Si transcurrido dicho plazo, la infracción persistiese, se abrirá un procedimiento sancionador contra el infractor.
  3. Además, en el caso de la apertura de un procedimiento sancionador, se permitirá a los órganos con capacidad sancionadora rebajar la sanción prevista para la infracción cometida, siempre y cuando que se den una serie de circunstancias atenuadoras y el infractor no haya sido sancionado o apercibido anteriormente.

 


Entradas Relacionadas: 

Categorías: Noticias