SE ACERCA EL “EUROPEAN COOKIE SWEEP”

A principios de este año tuvimos conocimiento de la primera sanción impuesta por la Agencia Española de Protección de Datos (en adelante AEPD) por el incumplimiento de lo que algunos han mal llamado ley de cookies, que realmente consistía en el incumplimiento del art. 22.2 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante LSSICE), operada por el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (norma muy relacionada con internet como puede verse, cuya explicación radica en que a España se le acaba el plazo para trasponer al ordenamiento jurídico español la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009,  que modificó el apartado 3 del artículo 5 de la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (en adelante Directiva sobre la privacidad y las comunicaciones electrónicas).

Esta primera sanción supuso una multa de 3.000 euros para Navas Joyeros Importadores, S.L., y otra multa de 500 euros para Privilegia Luxuri Experience, S.L.,

El citado art. 22.2 LSSICE tras dicha modificación decía:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

 Digo decía, por que dicho art. 22.2 ha vuelto a ser modificado por la disposición final 2.5 de la Ley 9/2014 de 9 de mayo, General de Telecomunicaciones, disponiendo:

Artículo 22 Derechos de los destinatarios de servicios

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Esta primera sanción hizo saltar las alarmas en todo el sector digital fundamentalmente en todas aquellas empresas que tenían página web y empleaban (a veces sin saberlo) cookies que rastreaban la navegación de los usuarios, en muchas ocasiones prestando una información a terceros como Google, de la que no obtenían beneficio directo alguno.

Como en este bendito país hasta que no estamos con la soga al cuello no empezamos a mover el culo (permítaseme la expresión), tanto abogados dedicados a estas materias como diseñadores de web, publicistas, etc… comenzamos a tomarnos en serio una prescripción legal que llevaba vigente más de un año (y cuyo origen lo encontramos en una Directiva del año 2009) y comenzamos a preguntarnos cómo se podía cumplir con ese deber de solicitar el consentimiento informado a los usuarios de nuestra web. En esta tesitura, como en otras ocasiones, La Agencia Española de Protección de Datos (AEPD) junto con Adigital,Autocontrol y el IAB Spain publicaron una guia sobre el uso de las cookies, con el objetivo de orientar a las empresas digitales a cumplir con la normativa actual.

No obstante la citada guia, han existido otras sanciones por incumplimiento del art. 22.2 que han ido arrojando algo más de luz sobre los criterios de la AEPD para cumplir con la citada normativa.

En este marco normativa nos encontramos con un nuevo apocalipsis si me permite la licencia, donde  las Autoridades de Protección de Datos de la UE llevarán a cabo, del próximo 15 al 19 de septiembre 2014, la denominada “European Cookie Sweep”, con el fin de monitorizar y evaluar el cumplimiento con la normativa de cookies (Directiva sobre la privacidad y las comunicaciones electrónicas).

Parece ser, por la información que fundamentalmente ha proporcionado la Autoridad Francesa de Protección de Datos (CNIL), que las autoridades accederán a sites para comprobar el cumplimiento con la Directiva en materia de cookies, poniendo el foco de atención en el seguimiento de cómo se está obteniendo el consentimiento del usuario para el uso de las cookies y en qué medida a dichos usuarios se les provee de medios funcionales para poder rechazar las cookies.

Durante esta “caza” (o “barrida” en su traducción literal), no está claro cómo procederán las autoridades ante los descubrimientos de incumplimiento que realicen. Por el momento, la Autoridad Francesa de Protección de Datos (CNIL), ha publicado que iniciará auditorías formales este mes de octubre, basadas en parte en los resultados de esta “barrida o sweep”.

Parece ser que el blanco de este “barrido”  será cualquier empresa (ojo, de dentro o fuera de Europa) que utilice cookies u otras tecnologías de seguimiento para recopilar datos personales de los usuarios en Europa (que bien nos lo vamos a pasar con el Reglamento Europeo de Protección de Datos cuando salga a la luz, si sale)

La CNIL (y entiendo que el resto de Autoridades Nacionales de Control) centrará su investigación en:

  • Los tipos de cookies y otras tecnologías de rastreo que se utilizan (por ejemplo, HTTP, los objetos compartidos locales , las cookies de Flash, huellas digitales, etc).
  • Los finalidad de las cookies utilizadas y si el propietario de la página web conoce y entiende los efectos de todas las cookies (incluyendo las cookies de terceros) utilizados en su página web.

Además, cuando se requiere el consentimiento previo, la CNIL verificará:

  • El método utilizado para obtener el consentimiento del usuario.
  • La calidad, la accesibilidad y la claridad de la información facilitada a los usuarios.
  • Las consecuencias de la negativa por parte del usuario de que se le instalen cookies.
  • La posibilidad de retirar el consentimiento del usuario en cualquier momento
  • La duración de las cookies.

Sinceramente, me parece una medida correctísima, la propia AEPD, en su 6ª sesión anual abierta celebrada en Madrid el pasado 14 marzo, en una magnifica exposición del insigne adjunto al Director de la Agencia, Don Jesús Rubí, volvió a recalcar la importancia del cumplimiento de esta normativa.

Desconozco la finalidad de este “barrido”, si se trata simplemente de concienciar a las empresas para que procedan a adaptarse a la normativa, si no lo han hecho ya, o si las Autoridades Europeas de Control ya se han cansado de tanta advertencia y Guía de buenas prácticas, para pasar a iniciar los correspondientes procedimientos sancionadores, que acaben en sus correspondientes sanciones, en cualquier caso me parece una iniciativa positiva, que espero que tenga el resultado deseado de poner las pilas a toda empresa que decide tener una página web, así como a todo diseñador y programador de páginas webs.

Si usted, estimado lector, tiene una pagina web con la que presta un determinado servicio en internet, o se dedica al diseño y programación de sitios webs, y desconoce si viene obligado o no a cumplir esta normativa le invito a que se ponga en contacto con este despacho donde podremos resolverle las dudas que tenga y asesorarle legalmente sobre los pasos que debe realizar para cumplir estrictamente con el marco legal vigente.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s