Las resoluciones sancionadoras de la Agencia Española de Protección de Datos (AEPD) respecto a páginas web que no se encuentran adecuadas a la normativa, tanto de protección de datos como de la LSSI (generalmente respecto a las cookies) son cada vez más habituales.
Llevamos meses leyendo resoluciones de la Agencia Española de Protección de Datos (AEPD) en el ámbito de páginas web que no tienen adecuadas la información respecto a las cookies, o que las instalan sin cometimiento (las no necesarias) o de la inexistencia o inadecuadas políticas de privacidad y/o aviso legal.
En muchos casos terminan en sanciones o apercibimiento y aunque sabemos que las cuantías no son tan importantes como los 30.000€ de sanción impuesta a IBERIA y cuya resolución es de esta semana, concretamente del día 21/10/2020, si estamos ante un momento en el que la Agencia, una vez actualizada su guía de cookies, ha dado de plazo hasta el 31 de octubre para que adecuemos nuestras páginas web.
Una de esas resoluciones de la AEPD en materia de cookies, es la que también se ha publicado esta semana. En este caso se archiva el procedimiento sancionador respecto a una web por inicialmente “carecer de la información preceptiva en una Política de Privacidad y en la instalación de cookies no ofrecer información clara y completa”.
Las alegaciones de la empresa dueña de la web fueron que se estaba trabajando “justamente en la actualización de los textos legales y por ese motivo no disponía de los avisos acorde al RGPD”.
La reclamada aportó los textos actualizados y la Agencia revisa la web pero le abre procedimiento sancionador al considerar que “no cumplía las condiciones que impone la normativa en vigor, por lo que procede la apertura de un procedimiento sancionador” al incumplir el art. 22.2 LSSI respecto a la política de cookies.
La empresa titular de la web “se puso las pilas” y modificó el banner siguiendo la “Guía sobre cookies” y así se lo hace saber a la AEPD que vuelve a revisarla y lo arhiva al entender que “no se contradice con lo estipulado en el artículo 22.2 LSSI”.
¿Cumple tu web con el RGPD la LSSI y tienes bien configurado tu banner e información sobre las cookies?
También recuerda que hay más tareas que debes abordar para que tu actividad o negocio cumpla con la normativa de protección de datos, no solo se trata de aedecuar los textos legales de la página web.
En el siguiente enlace podrás ver la resolución completa finalmente archivda
Y en este otro la de 30.000€ de sanción impuesta a IBERIA
El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.
La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.
Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:
Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:
COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada.
PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.
INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.
CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.
NUESTRAS CONCLUSIONES:
En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.
Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.
Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.
Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.
PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.
Como señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.
Los antecedentes:
Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo; “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.
En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:
La Resolución de la Agencia
Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:
Las sanciones:
Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.
La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).
Y ahora qué?
Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.
Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.
En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…
Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).
Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.
Y entre tanto, nos hacemos nuevas preguntas:
¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.
¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).
¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).
Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.
Foto: Frédéric BISSON de Flickr
Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post, hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.
Foto tomada por Frédéric BISSON de Flickr
Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.
En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.
Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones).
La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.
Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?
Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.
Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.
Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.
Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.
Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.
Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.
Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.
La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.
En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.
El pasado día 13 de septiembre de 2013 el Consejo de Ministros aprobó la remisión del Proyecto de Ley General de Telecomunicaciones (LGT), que modifica entre otros, algunos aspectos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI o LSSICE), del 11 de julio de 2002.
Application Mobile Stock ImageBy emptyglass in www.freedigitalphotos.net/
Entre las modificaciones de la LGT referentes a la LSSI de manera resumida, cabe resaltar las siguientes:
Bueno, pues una vez ya en marcha, vamos a ver las consecuencias que puedan tener estos cambios (si las tiene), sobre todo en lo referente a aclarar aspectos sobre el consentimiento de cookies (principalmente de las cookies estadísticas y analíticas) que tanto ha dado que hablar en las últimas semanas.
Como hemos escuchado en las redes sociales, hubiese sido deseable que la AEPD se hubiese pronunciado al respecto, de manera pública, en cualquier caso, si Ustedes lo quieren hacer, esperamos encantados sus comentarios.
La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.
Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.
De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .
Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).
La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.
Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.
