Sanción de 30.000 euros a Vueling por no recabar de forma adecuada el consentimiento del usuario para la instalación de cookies.
Con el RGPD, elconsentimiento tácito desapareció, y con él se fueron las casillas pre-marcadas,los 30 días para oponerse y el “seguir navegando”. Sin embargo, hastaque no se ha publicado esta sanción de la AEPD, por valor de 30.000 euros, a unprestador de servicios de la sociedad de la información por un tema relacionadocon cookies, esta realidad en el ámbito de la instalación de dispositivos deseguimiento de los usuarios en Webs o Apps, no se ha hecho verdaderamentetangible.
El procedimientosancionador de la AEPD se inicia contra Vueling, al entender que se haproducido una infracción del artículo 2.2. de la LSSI, por no ofrecer unsistema de gestión que permita al usuario consentir la instalación de lascookies, o rechazar el uso de las mismas de forma adecuada.
Hasta el momento (ysegún hemos podido comprobar, todavía), Vueling cuenta con un aviso de primeracapa cuando el usuario accede a su URL en el cual se informa de la instalaciónde estos dispositivos de seguimiento durante la navegación del usuario, y quecontinuar con la misma supone su aceptación. Posteriormente, en la Política deCookies de la segunda capa, se indica al usuario cómo puede configurar sunavegador para aceptar o rechazar por defecto todas las cookies.
Sin embargo, esto noresulta suficiente y la AEPD recuerda que: “En el presente caso, si seaccede a la segunda capa, el consentimiento a que se cedan datos a terceros através de cookies es implícito, ya que en ningún momento da la opción depoder oponerse a la instalación de estas en el dispositivo o de cualquier otracookies, sino que remite a la configuración de los navegadores paraeliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar elconsentimiento para el uso de cookies o de retirar el prestado, si no esa través de las opciones del navegador.”
Además, “nofacilita un sistema de gestión o panel de configuración de cookiesque permita al usuario eliminarlas de forma granular. Para facilitaresta selección el panel podrá habilitar un mecanismo o botón pararechazar todas las cookies, otro para habilitar todas las cookies ohacerlo de forma granular para poder administrar preferencias. A esterespecto se considera que la información ofrecida sobre las herramientas proporcionadaspor varios navegadores para configurar las cookies sería complementaria a laanterior, pero insuficiente para el fin pretendido de permitir configurar laspreferencias en forma granular o selectiva.”
Por tanto, ¿quésupone esta resolución? Que se imponen una serie de obligaciones que, comoya nos recuerdan algunas Autoridades de Control vecinas como la de Reino Unido,Francia o Alemania, deben consistir en:
- Noinstalar dispositivos de seguimiento a no ser que se cuente con un consentimientoexpreso, libre e inequívoco (siempre que no sean cookies exentas de esterequisito). Esto supone eliminar las fórmulas de entender que el usuarioconsiente si continúa navegando.
- Ofreceral usuario la posibilidad de dar un consentimiento granular que permita alusuario aceptar unos tratamientos y no otros.
- Facilitarel consentimiento al usuario con sistemas de gestión que permitanaceptar todas las cookies, rechazar todas las cookies o bien tomar la decisiónde forma individual para cada una.
Todo ello, debe iracompañado de información adecuada, y en un lenguaje sencillo y transparentepara el usuario.
Aunque aún nosencontramos a la espera de la Guía de Cookies de la Agencia Española deProtección de Datos que anunciaba para antes del verano, esta sentencia, juntocon las Guías que sí que han publicado nuestros compañeros vecinos, dejan claroun cambio de tendencia en cómo se ha informado y recabado el consentimientohasta ahora en materia de cookies, por lo que habrá que ponerse manos a la obrapara adaptarse cuanto antes a las nuevas exigencias.
Para más información,puedes consultar el Procedimiento Sancionador completo aquí.
Loreto Jiménez Muñoz
Head of Privacy, Legal Army.