Ley de Cookies: Primeiras Sancións

Aínda que a entrada en vigor da coñecida como Lei de Cookies remóntase xa ao mes de Abril de 2012, a súa aplicación práctica por parte dos responsables de páxinas web viuse demorada no tempo debido ás dificultades que estes se atoparon á hora de interpretar esta lei, dada a súa gran ambigüidade. Con todo, o pasado mes de Agosto, a AEPD (Axencia Española de Protección de Datos) iniciou o primeiro procedemento sancionador por incumprimento da Lei de Cookies.

Que é a Lei de Cookies?

Coñécese co nome de Lei de Cookies ao punto terceiro do artigo 4 do Real Decreto Lei 13/2012 de 30 de Marzo, que foi publicado no B.O.E. do 31 de Marzo de 2012 e que entrou en vigor o 1 de Abril de 2012. Este artigo modifica o punto segundo do artigo 22 da LSSI  (Lei de Servizos da Sociedade da Información) e é á súa vez unha transposición da Directiva Europea 2009/136/CE de 25 de Novembro de 2009.

A Lei de Cookies afecta á páxina web da miña empresa?

En xeral, a Lei de Cookies afecta á páxina web de calquera empresa ou profesional que teña o seu domicilio social en España ou que ofreza os seus servizos dentro do territorio español, independentemente de se o seu domicilio social atópase fóra ou dentro de España.

A Lei de Cookies, ao estar integrada na LSSI,  afecta exactamente a aquelas empresas e profesionais que ven afectados por esta Lei, é dicir, a aqueles recolleitos no Artigo 2 da LSSI.

Que é unha cookie?

Coñécese co nome de cookie a un fragmento de información que unha páxina web almacena no computador do usuario que a visita a través da súa navegador web. Os usos máis habituais das cookies son os seguintes:

  1. Gardar un identificador de sesión do usuario: deste xeito, cando o usuario se autentica nunha páxina web mediante o seu nome de usuario e contrasinal, non é necesario que volva introducir eses datos cada vez que visita outra páxina diferente do mesmo sitio web.
  2. Gardar o carro da compra dun usuario nunha tenda online: para que aínda que abandone a tenda online, cando regrese a ela, o seu carro da compra non estea baleiro, senón que conteña os artigos que engadiu na súa última visita.
  3. Gardar preferencias de navegación do usuario: en páxinas web nas que o usuario pode personalizar algúns aspectos da mesma durante a súa visita, estas preferencias adoitan gardarse en forma de cookies no navegador do propio usuario. Por exemplo: o idioma preferido para a navegación polo sitio web, o tamaño de letra, a cor de fondo preferida, etc.
  4. Gardar información que permita facer un seguimento das actividades do usuario dentro do sitio web: co obxectivo de que o propietario do sitio web poida coñecer cales son as páxinas máis visitadas do seu sitio web, cales son as que os usuarios len durante máis tempo, etc.

Cabe resaltar que a lei non se refire tan só ás cookies HTTP (que é o tipo de cookies máis utilizadas), senón tamén a outros mecanismos similares utilizados para almacenar información no equipo utilizado polo usuario para acceder á páxina web, como poden ser: pixel tags, flash cookies, almacenamento local de HTML5, etc.

De que forma afecta a Lei de Cookies á páxina web da miña empresa?

Os responsables de páxinas web afectadas pola Lei de Cookies están obrigados pola devandita lei a informar aos usuarios sobre a utilización das cookies que se realiza nas súas páxinas web. Ademais, a lei define unha serie de cookies que non poden ser instaladas no computador do usuario que visita a páxina web sen solicitar previamente o consentimento informado do devandito usuario (estas cookies coñécense habitualmente como "cookies non exentas").

En qué casos non é necesario solicitar o consentimento informado do usuario para cumprir a Lei de Cookies?

Naqueles casos nos que as cookies sexan estritamente necesarias para permitir a navegación do usuario pola nosa páxina web ou para proporcionarlle un servizo que o usuario solicitou expresamente, por exemplo: cookies que permiten o acceso ás áreas privadas dun sitio web, cookies que resultan necesarias para efectuar o pago nunha tenda online, etc.

Segundo a Guía sobre o uso das Cookies publicada pola AEPD (Axencia Española de Protección de Datos), estes tipos de cookies quedarían excluídos do ámbito de aplicación do artigo 22.2 da LSSI e, por tanto, estes tipos de cookies poderían ser utilizados sen a necesidade de informar ao usuario sobre o seu uso e sen a necesidade de obter o seu consentimento informado antes de proceder á súa instalación. Este tipo de cookies coñécense habitualmente como "cookies exentas".

En que casos para cumprir coa Lei de Cookies hai que informar ao usuario e solicitar o seu consentimento antes de instalar as cookies?

Existen unha serie de tipos de cookies para os que non basta con informar o usuario que visita a nosa páxina web sobre a súa existencia, senón que, se queremos cumprir coa Lei de Cookies, non podemos instalar ditas cookies no computador do usuario mentres non obteñamos o seu consentimento informado. É dicir, non poderemos instalar cookies deses tipos mentres non informemos ao usuario de que imos instalar no seu computador ditas cookies e este acepte que o fagamos.

Nestes momentos existe unha certa controversia sobre este punto, xa que a Guía sobre o uso das Cookies da AEPD explica que hai que obter o consentimento informado do usuario antes de "instalar" este tipo de cookies , mentres que a LSSI fala de que é necesario obter ese consentimento informado antes de "utilizar" esas cookies, polo que os expertos apuntan a que este tema terá que ser aclarado polos tribunais de xustiza.

Un dos exemplos máis claros nos que para cumprir coa Lei de Cookies é necesario obter o consentimento informado do usuario antes de poder instalar cookies no computador do devandito usuario son as cookies de analítica web de terceiros, é dicir as cookies que se utilizan para solicitar datos estatísticos sobre o uso dunha páxina web e onde eses datos se comparten cun terceiro. Un exemplo deste tipo de cookies son as introducidas por Google Analytics, que é un servizo gratuíto de analítica web, proporcionado por Google, que utilizan a inmensa maioría de páxinas web para obter estatísticas sobre o uso que delas fan os usuarios.

En canto ás cookies de analítica web de primeira parte, é dicir, aquelas cookies utilizadas para a analítica dunha páxina web nas que a información recompilada non se comparte con outros usuarios ou servizos cuxo titular sexa diferente do da páxina web, aínda non está moi claro se están ou non exentas da obrigación de informar o usuario que visita a páxina web e obter o consentimento previo por parte do mesmo antes de proceder á súa instalación. Algúns expertos consideran que as cookies de analítica web de primeira parte poderían estar excluídas da Lei de Cookies e que, por tanto, non sería necesario solicitar o consentimento informado do usuario antes de poder proceder á instalación de esas cookies no equipo do usuario. No entanto, terán que ser os tribunais os que definan como se aplicará a Lei de Cookies nestes casos.

Como proceder nos casos nos que para cumprir coa Lei de Cookies é necesario informar ao usuario e solicitar o seu consentimento informado antes de instalar as cookies?

Nestes casos, nos que para cumprir coa Lei de Cookies necesitamos informar ao usuario e solicitar o seu consentimento informado antes de poder instalarlle as cookies, o que debemos facer é o seguinte:

  1. Informar aos usuarios de que a nosa páxina web utiliza este tipo de cookies (tamén coñecidas como "cookies non exentas").
  2. Non instalar este tipo de cookies ata que o usuario sexa informado e dea o seu consentimento para a instalación de esas cookies.

As formas máis habituais de informar ao usuario e obter o seu consentimento para a instalación destas cookies son:

  1. Mostrar unha páxina de inicio que informe ao usuario sobre as cookies utilizadas na páxina web e que só lle permita seguir visitándoa se acepta a instalación de tales cookies.
  2. En lugar dunha páxina de inicio, mostrar unha xanela emerxente (tamén chamada xanela "pop-up") para informar o usuario sobre o uso das cookies que se realiza no sitio web e solicitar o consentimento para a súa instalación.
  3. Mostrar unha pequena franxa na parte superior ou inferior da páxina, que informe o usuario e solicite o consentimento para a instalación das cookies. Esta franxa debe ser ben visible sen necesidade de realizar scroll.

A terceira opción adoita ser a máis empregada, por ser a menos intrusiva para o usuario. Nos casos 2 (xanela "pop-up") e 3 (pequena franxa na parte superior ou inferior da páxina), a Guía sobre o uso das Cookies da AEPD recomenda que o sistema de información ao usuario debe ser un sistema por capas e que, nesta primeira capa, debe mostrarse a seguinte información:

  1. Unha advertencia de que a páxina web utiliza cookies non exentas.
  2. Indicar cal é a finalidade de tales cookies e se se trata de cookies de primeira ou de terceira parte, é dicir, se unicamente van ser instaladas e usadas polo titular responsable da páxina web ou se esta información será compartida con terceiros.
  3. Mostrar unha ligazón a unha páxina dentro do sitio web na que se incluirá información máis detallada sobre tales cookies.
  4. Se se mostra a información dos puntos anteriores, tamén pode mostrarse unha advertencia indicando ao usuario que se segue navegando polo sitio web, considerarase que deu o seu consentimento para a instalación e uso de cookies. Neste caso, poderemos supor que o usuario deu o seu consentimento para a instalación e uso de cookies se este utiliza a barra de desprazamento do navegador, se pulsa sobre calquera ligazón da páxina,  etc.

Que pode ocorrer se a miña páxina web non cumpre a Lei de Cookies?

Se es o titular dunha das páxinas web afectadas pola Lei de Cookies e non cumpres coa devandita lei, arríscaste a recibir unha multa por parte da AEPD. A contía á que ascenden estas multas oscila entre os 30.000 euros para o caso das infraccións leves e os 150.000 euros para o caso das infraccións graves.

Houbo xa algunha sanción por incumprimento da Lei de Cookies?

Non, a día de hoxe aínda non houbo ningunha sanción, pero o pasado mes de Agosto de 2013, a AEPD puxo en marcha o primeiro procedemento sancionador contra o titular da páxina web dunha empresa que non cumpre coa citada Lei de Cookies.

O motivo que deu inicio ao procedemento sancionador da AEPD neste caso consiste en que a páxina web corporativa desta empresa instala cookies de Google Analytics sen obter previamente o consentimento informado do usuario que visita a páxina web.

Como podo saber se a páxina web da miña empresa cumpre a Lei de Cookies?

Se tras ler este artigo, aínda non estás seguro de se a páxina web da túa empresa cumpre coa Lei de Cookies, o mellor é contratar a un experto para que realice unha auditoría de cookies desa páxina web e che diga se estás a cumprir ou non coa Lei de Cookies e che propoña as accións a realizar no caso de que a páxina web non estea a cumprir a lei.

Se o desexas, podes contactar con Karakana Factoría TIC  e nós realizaremos unha auditoría de cookies da páxina web da túa empresa, proporcionándoche toda a información necesaria para que a páxina web da túa empresa cumpra coa Lei de Cookies e aconsellándote sobre os pasos a seguir para adaptar esa páxina web ao marco legal actual.

Últimas Modificacións introducidas na Lei de Cookies

No Consello de Ministros celebrado o pasado 13 de Setembro de 2013 aprobouse un anteproxecto de lei que introduce unha serie de modificacións á Lei Xeral de Telecomunicacións. Estas modificacións afectan tamén á LSSI-CE (Lei 34/2002, de 11 de xullo, de Servizos da Sociedade da Información e de Comercio Electrónico) no relativo á Lei de Cookies. Entre estas modificacións cabe destacar as seguintes:

  1. Coa redacción anterior da lei, era posible delegar a obtención do consentimento informado para a instalación e uso de cookies nas opcións de configuración do navegador do usuario, pero unicamente no caso no que o navegador solicitase o consentimento informado do usuario para a instalación e uso de cookies durante a instalación ou actualización do navegador. Coa nova redacción da lei, non sería necesario que o navegador solicite ese consentimento informado do usuario durante a instalación ou a actualización do navegador, senón que se considera suficiente con que o navegador dispoña de opcións de configuración para impedir a instalación de cookies. Se o navegador dispón de tales opcións e o usuario non configura o seu navegador para impedir a instalación de cookies, considerarase que está a outorgar o seu consentimento para a instalación e uso de cookies.
  2. Permitirase que os órganos con capacidade sancionadora poidan non abrir un procedemento sancionador e, no seu lugar, poidan realizar un apercibimento ao infractor, asignándolle un prazo durante o cal o infractor poderá enmendar as deficiencias causantes da infracción. Se transcorrido ese prazo, a infracción persistise, abrirase un procedemento sancionador contra o infractor.
  3. Ademais, no caso da apertura dun procedemento sancionador, permitirase aos órganos con capacidade sancionadora rebaixar a sanción prevista para a infracción cometida, a condición de que que se dean unha serie de circunstancias atenuadoras e o infractor non fose sancionado ou apercibido anteriormente.

 


Entradas Relacionadas: 

Categorías: Noticias