info@ecija.com

Sala de Prensa

27 septiembre, 2023
España
twitter linkedIn

Nota informativa: resolución sobre la utilización de cookies incumpliendo el RGPD y la LSSI

Fecha: 27 de septiembre de 2023

El objeto de esta nota es analizar la resolución del Procedimiento Sancionador de la Agencia Española de Protección de Datos (en adelante “AEPD”), PS/00080/2023. Dicho Procedimiento Sancionador versa sobre una reclamación de un usuario interpuesta ante la AEPD contra la entidad CHATWITH.IO WORLDWIDE, S.L., por el incumplimiento de la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos de la Unión Europea (en adelante “RGPD”) y la Ley 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), así como de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) por el uso de cookies y transparencia web.

  • Tratamiento de datos realizados

Se constató que en el sitio web de la entidad reclamada se obtenían datos personales directamente de los usuarios (nombre, teléfono, correo electrónico, dirección) a través de los enlaces de «contacto» y «área privada» mediante el cumplimiento de un formulario, así como mediante la utilización de cookies que se instalan en el equipo informativo del usuario al consultar la página web.

  • Infracciones detectadas

Concretamente las infracciones que se le atribuyen a la entidad con respecto a su sitio web y como responsable del tratamiento fueron las siguientes:

  • Infracción del artículo 13 RGPD. La política de privacidad presentaba una redacción ambigua y no cumple con la claridad exigida por el RGPD; no aparecen de forma clara los intereses legítimos de terceros a los que el responsable del tratamiento hace referencia en el banner de información existente en la página principal, siendo necesario acceder de forma individual a las diferentes políticas de privacidad de cada una de las 1.000 empresas que aparecen en la lista de proveedores, además es ambigua y poco clara la información que aparece en la ventana emergente de cada proveedor; no se señalan las transferencias de datos personales fuera del Espacio Económico Europeo (EEE) encontrándose muchos de los proveedores fuera del EEE.
  • Infracción del artículo 5.1.a) RGPD. En el apartado de la lista de proveedores relacionados con las cookies se utilizan patrones oscuros (dark partners), de sobrecarga (overloading) y de ocultación (skipping), ya que el usuario se encontraba con una lista de más de 130 proveedores, de las cuales más de la mitad tienen marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo, lo que obliga a los usuarios a tener que marcar una a una la casilla de oposición al tratamiento, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga al usuario.
  • Infracción del artículo 22.2 de la LSSI. Las deficiencias que detectaron con respecto a la política de cookies son las siguientes: al entrar en el sitio web por primera vez, se instalan tres cookies de rendimiento y una de orientación (sin ser estas técnicas o necesarias) procedentes de Google Analytics; las cookies categorizadas por interés legítimo aparecen premarcadas en la opción de “aceptadas”, sin embargo, aunque el usuario desmarcara una a una las aceptadas, se comprobó que el sitio web seguía utilizando las mismas cookies detectadas al entrar en la web; no existe ninguna información sobre la Política de cookies, apareciendo la información relativa a este apartado de manera dispersa en cada una de las opciones del panel de control.
  • Sanción interpuesta.

En el caso analizado, la AEPD interpuso las siguientes sanciones:

  • Infracción del artículo 13 del RGPD (infracción leve): La AEPD estimó adecuado interponer una multa con importe de 2.000 euros por las deficiencias del sitio web con respecto a la política de privacidad.
  • Infracción del artículo 5.1.a) RGPD (infracción muy grave): La AEPD estimó adecuado interponer una multa con importe de 5.000 euros por la utilización de patrones oscuros (black partners) de sobrecarga (overloading) y de ocultación (skipping).
  • Infracción del artículo 22.2 LSSI (infracción leve). La AEPD estimó adecuado interponer una multa con importe de 5.000 euros por las deficiencias encontradas en la política de cookies del sitio web.
  • Conclusión

Esta resolución, a pesar de no resultar muy cuantiosa, sienta precedentes en lo relativo al uso de información adecuada en la política de cookies e información en entorno web.

La AEPD, cada vez más, está definiendo criterios más estrictos de información en entorno web y en lo relacionado con las cookies. Optar por herramientas de transparencia web (CMPs) con configuración predeterminada sin que sea revisada en cada caso y cumpla con los requisitos de información y consentimiento de la Guía de Cookies de la AEPD, supone un riesgo evidente para las entidades.

Igualmente, el uso del interés legítimo en lo relativo a las cookies (y tecnologías similares) supone la realización de una ponderación de interés legítimo que tiene que quedar documentada adecuadamente para evitar este tipo de riesgos.

 

Área de Protección de Datos de ECIJA

info@ecija.com

Telf: + 34 91.781.61.60

Descargar PDF