Con el RGPD, el consentimiento tácito desapareció, y con él se fueron las casillas pre-marcadas, los 30 días para oponerse y el “seguir navegando”. Sin embargo, hasta que no se ha publicado esta sanción de la AEPD, por valor de 30.000 euros, a un prestador de servicios de la sociedad de la información por un tema relacionado con cookies, esta realidad en el ámbito de la instalación de dispositivos de seguimiento de los usuarios en Webs o Apps, no se ha hecho verdaderamente tangible.
El procedimiento sancionador de la AEPD se inicia contra Vueling, al entender que se ha producido una infracción del artículo 2.2. de la LSSI, por no ofrecer un sistema de gestión que permita al usuario consentir la instalación de las cookies, o rechazar el uso de las mismas de forma adecuada.
Hasta el momento (y según hemos podido comprobar, todavía), Vueling cuenta con un aviso de primera capa cuando el usuario accede a su URL en el cual se informa de la instalación de estos dispositivos de seguimiento durante la navegación del usuario, y que continuar con la misma supone su aceptación. Posteriormente, en la Política de Cookies de la segunda capa, se indica al usuario cómo puede configurar su navegador para aceptar o rechazar por defecto todas las cookies.
Sin embargo, esto no resulta suficiente y la AEPD recuerda que: “En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.”
Además, “no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.”
Por tanto, ¿qué supone esta resolución? Que se imponen una serie de obligaciones que, como ya nos recuerdan algunas Autoridades de Control vecinas como la de Reino Unido, Francia o Alemania, deben consistir en:
- No instalar dispositivos de seguimiento a no ser que se cuente con un consentimiento expreso, libre e inequívoco (siempre que no sean cookies exentas de este requisito). Esto supone eliminar las fórmulas de entender que el usuario consiente si continúa navegando.
- Ofrecer al usuario la posibilidad de dar un consentimiento granular que permita al usuario aceptar unos tratamientos y no otros.
- Facilitar el consentimiento al usuario con sistemas de gestión que permitan aceptar todas las cookies, rechazar todas las cookies o bien tomar la decisión de forma individual para cada una.
Todo ello, debe ir acompañado de información adecuada, y en un lenguaje sencillo y transparente para el usuario.
Aunque aún nos encontramos a la espera de la Guía de Cookies de la Agencia Española de Protección de Datos que anunciaba para antes del verano, esta sentencia, junto con las Guías que sí que han publicado nuestros compañeros vecinos, dejan claro un cambio de tendencia en cómo se ha informado y recabado el consentimiento hasta ahora en materia de cookies, por lo que habrá que ponerse manos a la obra para adaptarse cuanto antes a las nuevas exigencias.
Para más información, puedes consultar el Procedimiento Sancionador completo aquí.
Loreto Jiménez Muñoz
Head of Privacy, Legal Army.