Imagen de www.freepik.es

Las resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) respecto a páginas web que no se encuentran adecuadas a la normativa, tanto de protección de datos como de la LSSI (generalmente respecto a las cookies) son cada vez más habituales.

En el último mes hemos conocido unas 50 sanciones por incumplimientos variados, desde las que instalan cookies sin cometimiento (las no necesarias), no informan de ello ni en el banner (primera capa) ni en la política de cookies (segunda capa informativa) o lo hacen de manera incompleta, hasta páginas web en las que no existen o son inadecuadas las políticas de privacidad, el aviso legal, la información recabada desde formularios de contacto o de suscripción, etc.

En definitiva, 1 año después de que la Agencia actualizase su guía de cookies, vemos en múltiples resoluciones (o en visitas a nivel particular a páginas web) como muchas siguen sin estar adecuadas y son sancionadas (en algunos casos de manera “leve”, pero en otros con un coste económico importante) y en todos los casos transmitiendo una mala imagen hacia sus clientes y potenciales clientes.

Precisamente hace casi un año escribíamos el post «Si tu web no cumple con RGPD y COOKIES ponte las pilas como esta empresa y evita una sanción | Eurovima Consulting S,L.«, en el que os contábamos como que una web denunciada logró pasar de ser propuesta para una sanción a que la Agencia archivase la denuncia.

En este caso la web sancionada incumple, pero dice que lo va a solucionar, si bien no lo hace.

En el post de hoy, vamos a referirnos a una resolución sancionadora de fecha 27/09/2021 en la que una web denunciada alegó que era un error puntual ya solucionado, señalando: “la incidencia fue debida a un problema de actualización de los módulos utilizados para tal finalidad. Se han tomado las medidas oportunas para que no vuelva a ocurrir, se ha solucionado la información sobre las cookies con un banner en primera capa y con una página especifica con información extendida. También se solucionó en los formularios sobre el tratamiento de datos y se activó una casilla de consentimiento. Quedamos a la espera de la aprobación a las medidas tomadas”

Pero la realidad es que no lo hizo y le valió una propuesta de sanción únicamente de 1.000€ por la infracción art. 22.2 de la LSSI respecto a la gestión de las cookies, y otra de apercibimiento por la infracción del art. 13 RGPD al considerar la Agencia que el responsable de la página web era una persona física (quizás algo benevolente, no?)

La denuncia también hacía referencia a la seguridad de la web concretamente al señalar que “no dispone de certificado de seguridad SSL/TLS, lo cual nos lleva a pensar que cualquier dato que aportemos por este medio corre un grave riesgo” si bien la Agencia comprobó que si contaba con dicho certificado.

Finalmente la sancionada asume responsabilidad y paga la sanción, debiendo corregir los incumplimientos tal y como le ordena la AEPD

Ante las evidencias que la Agencia señala respecto a no subsanar el incumplimiento, la denunciada no le queda más opción que asumir la responsabilidad y realizar el pago para acogerse a la doble reducción, si bien la Agencia, de manera adicional le ORDENA como medida correctiva a que tome las medidas necesarias sobre la página web para adecuarla a la normativa vigente, es decir:

  1. Modifique la información facilitada en la “Política de Privacidad” conforme a la nueva normativa vigente, esto es, al RGPD y no a la LOPD 15/1999 como hizo tras la supuesta “subsanación”
  2. Respecto a la “Política de Cookies”:
  • Que incluya un mecanismo que imposibilite el uso de cookies no necesarias antes de que el usuario dé su consentimiento para ello
  • Que incluya un mecanismo que posibilite rechazar todas las cookies o realizarlo de forma granular a través de un panel de control
  • Que amplíe la información suministrada en el banner y en la “Política de Cookies” adaptándola a la normativa vigente

Moraleja: si incumples ponte las pilas pero sobre todo no sigas incumpliendo tras decir que “ya lo has solucionado”

Y recuerda que además de lo señalado respecto a una página web, hay más aspectos que debes adecuar para que tu actividad o negocio cumpla con la normativa de protección de datos.

Si tienes dudas, ya sabes que estamos a tu disposición. ¡¡¡¡¡Gracias!!!!!