Acaba de ser publicada la primera resolución sobre el primer procedimiento sancionador por instalación de cookies si las debidas garantías a la hora de solicitar el consentimiento para su instalación.
Concretamente presentaba un banner inicial con una primera capa de información y un enlace a su política de cookies con información ampliada en la que indicaba a los usuarios como desactivar manualmente las cookies a través del navegador utilizado por el usuario.
La resolución indica que:
Si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.
No se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias.
A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.
A estos hechos se suman agravantes como:
- La existencia de intencionalidad
- La duración de la infracción
- Los perjuicios causados a los usuarios
- Los beneficios obtenidos
- El volumen de facturación de la Compañía
Dando como resultado una infracción del art. 22.2 de la LSSICE tipificada como Leve y se concreta en una sanción de 30. 000 €
Art. 22.2 LSSICE 2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (se entiende que donde habla de la LOPD 15 ahora es RGPD).
Tienes la resolución completa aquí: https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf
A la luz de los criterios adoptados por la AEPD y de los que ya teníamos sobradas sospechas y a pesar de que la nueva guía sobre el uso de cookies y similares todavía no ha sido publicada por la AEPD consideramos conveniente movilizar los recursos técnicos necesarios para implementar un plugin en la web que permita establecer esos consentimientos granulares en función del tipo de cookie de que se trate y dar la opción al usuario de configurarlo a su gusto en un máximo de dos clics dentro de la web.
No tenemos probados los diferentes plugins que hay en el mercado, pero hay varias opciones, unas gratuitas y otras de pago, lo que hay que verificar es que funcionen correctamente porque hemos detectado algunos que no funcionan ya que no memorizan tus preferencias y mantiene las cookies a pesar de rechazarlas.
Si no sabes cual elegir también será recomendable acudir al web master o desarrollador de la web puesto que seguramente ya haya probado varios y pueda ayudarte a decidir.
Aunque no tenemos nada con ellos, nos gustan Privacy Management by Didomi y OneTrust
El cambio mas significativo será que en el banner inicial donde teníamos los botones de aceptar o de política de cookies o de configuración, debemos enlazar con el plugin para que el usuario elija que cookies quiere y cuales no e insistimos en que el plugin funcione, porque si no estaríamos igualmente incumpliendo a pesar de la buena voluntad en arreglarlo.
También es importante no cargar cookie alguna hasta que el usuario no haya realizado una clara acción afirmativa (pulsar un botón o configurarse el panel de cookies) ya que el consentimiento solo será válido si el usuario hace algo y no es válido el habitual “seguir navegando”.
Los botones de configuración deberán estar desactivados por defecto ya que de lo contrario también estaríamos incumpliendo y si la granularidad es extraordinariamente densa en los referente a terceros con los que compartimos datos e informaciones a través de las cookies y similares deberemos facilitar botones de aceptar todo o rechazar todo puesto que de otra forma podría entenderse que obligamos al usuario a un trabajo excesivo.
JM MULERO