La ley de “cookies”, una normativa abocada al fracaso

ley de cookies

La ley vigente indica que las páginas web deben informar y conseguir el consentimiento del usuario para la instalación de “cookies”. Sin embargo, la mayor parte de las empresas incumplen esta norma.

La Agencia Española de Protección de Datos (AEPD) ha abierto el primer procedimiento sancionador de España a una empresa por incumplir la ley de cookies –dispositivos de almacenamiento y recuperación de datos– incluida en la Ley de Servicios de la Sociedad de la Información (LSSI). Desde el 1 de abril de 2012, el artículo 22.2 de la LSSI indica que se podrán utilizar cookies en equipos de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información”.

El denunciante explicó en su escrito a la AEPD que no había sido informado de la instalación de cookies y que éstas se habían instalado en su terminal sin su consentimiento. El problema es que “casi todas las empresas están incumpliendo la norma”, explica Pablo Fernández Burgueño, socio del bufete Abanlex y abogado del denunciante ante la AEPD. “No es que no se aporte la información sobre las cookies, sino que éstas se instalan antes de que el usuario conceda su consentimiento. Es decir, que están aplicando el contenido de una norma derogada y no se adecuan a la que entró en vigor el 1 de abril de 2012, para adaptarse a la directiva europea”, añade.

El proceso sancionador abierto por la AEPD, que puede implicar una multa de hasta 150.000 euros dependiendo de la gravedad del incumplimiento, marca un claro precedente. “En su resolución, la AEPD debería no sólo explicar las razones de la sanción, sino además interpretar claramente un artículo que tiene muchas lagunas”, comenta Alonso Hurtado, socio del área de tecnología de la información del bufete Ecija. Los dos letrados coinciden en que la nueva redacción del artículo 22.2 de la LSSI no deja claro cómo se tiene que solicitar el consentimiento previo.

“La AEPD podría optar por tres posibilidad: que sea expreso y que no se pueda navegar hasta que el usuario acepte; que sea expreso, pero que no impida moverse por la web; o que sea tácito. En este último caso, el tiempo sería la medida para saber si el usuario ha aceptado la instalación de cookies”, resume Hurtado.

Interpretación

El socio de Ecija insiste sin embargo en que la AEPD no debería ser la única que tendría que hablar en este sentido. De hecho, está convencido que la interpretación debería ser una decisión consensuada a nivel comunitario y que la Unión Europea tendría que revisar la directiva sobre cookies. Y es que, como explica Hurtado, la falta de claridad del artículo 22.2 de la LSSI es únicamente un reflejo de la ausencia de información que aparece en la Directiva Europea 2009/136/CE. “Es importante entender que este asunto representa una barrera más para los negocios en la Red.

De hecho, este tipo de avisos puede convertirse en una clara desventaja competitiva de las empresas online españolas y europeas frente al resto del mundo”, concluye Hurtado. Tanto el socio de Abanlex como el de Ecija creen que la referencia para solucionar este problema debería ser el derecho británico, mucho más ágil y flexible y que siempre presta atención a la aplicación real.

“En los últimos cuatro años, Reino Unido ha cambiado varias veces su norma. En 2010, sólo había que informar del uso de cookies. Un año después, se impuso el consentimiento previo. En 2013, ante el desbarajuste general y el efecto negativo hacia el negocio online de Reino Unido, los reguladores optaron por regresar a la norma de 2010 y no solicitar un consentimiento, explícito o tácito”, explica Fernández Burgueño.

La denuncia ante la Agencia de Protección de Datos

“El afectado presento su denuncia ante la Agencia Española de Protección de Datos (AEPD) en septiembre de 2012. En su escrito declaraba que la web denunciada no respetó la normativa al no informarle ni pedir su consentimiento para instalar “cookies”, explica el letrado Fernández Burgueño. La AEPD, que abrió el procedimiento sancionador en julio de 2013, realizó tres pruebas con diferentes navegadores –Chrome, Explorer y Firefox– para verificar la veracidad de lo denunciado.

“Ahora, la AEPD deberá explicar si se ha violado la ley, lo que podría implicar una multa de hasta 150.000 euros, así como verificar si los datos personales del denunciante han sido tratados, lo que iría en contra la Ley Orgánica de Protección de Datos y que podría sancionarse con otra multa de hasta 600.000 euros

Fuente: EXPANSION.com JURIDICO


A %d blogueros les gusta esto: