Los cookies han sido un tema de debate en los últimos tiempos, existiendo diferentes interpretaciones en cuanto a las directrices exigidas para el eficaz cumplimiento normativo de su implantación. En fecha 14 de enero de 2014 se vio la primera resolución sancionadora de la Agencia Española de Protección de Datos (R/02990/2013), por el uso de cookies sin cumplir los requisitos legales establecidos en materia de información y consentimiento.

Los hechos que motivan la resolución sancionadora tiene su origen en la denuncia formulada por un particular contra las entidades titulares de dos páginas web dedicadas a la joyería, según la cual, en sus respectivos sitios web no se facilitaba información sobre las cookies ni se solicitaba el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de uno de los sitios web no se informaba adecuadamente al usuario de la recogida y tratamiento de sus datos, dando lugar estos hechos a un doble incumpliendo normativo:

  • El incumplimiento de lo previsto en el artículo 22.2 de la LSSI.
  • La inobservancia del deber de información básico previsto en el artículo 5.1 de la LOPD.

El artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información menciona que la información en materia de cookies que se suministre al destinatario tiene que ser clara y completa sobre el uso y finalidad de las cookies. Las demandadas proceden a cumplir la obligación de información y obtención del consentimiento del artículo 22.2 de la LSSI a partir del requerimiento de información de la AEPD, sin embargo estas modificaciones no resultan suficientes para garantizar el cumplimiento de las exigencias del artículo 22.2, o lo que es lo mismo, no se identifica inequívocamente las cookies instaladas ni sus finalidades de menara que permita conocer al usuario de una forma apropiada el uso que se dará a la información almacenada. Tampoco se identifica claramente quien es el responsable de su uso, si el propio editor de la web o un tercero que también deben ser identificados.
En relación con el deber de información, la AEPD en la Resolución objeto de artículo, establece claramente los requisitos a cumplir. Así, se hace referencia a la denominada puesta a disposición de la información por capas.

La AEPD considera válido que la información requerida por la normativa pueda ser facilitada al usuario a través de diversas capas, siempre que la información facilitada sea clara, completa, y la misma se encuentre accesible al usuario, estableciendo el contenido mínimo que ha de contener cada una de las capas.

  • Primera Capa: La primera capa de información debe ser facilitada al usuario en el primer acceso que se realice a la web del prestador, bien a través de la barra de encabezamiento, pie de página o ventana emergente accesible desde la propia home del sitio web. La primera capa deberá contener:
  1. Advertencia sobre el uso de cookies no exceptuadas que se instalan en al navegar por los sitios web o al utilizar el servicio solicitado.
  2. Identificación de las finalidades de las cookies que se instalan, con información de si las cookies son propias o de terceros.
  3. Advertencia, en su caso, de que se si realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
  4. Un enlace a la segunda capa informativa en la que se indica la información más detallada.”
  • Segunda Capa: La segunda capa de información se corresponde con lo que denominamos Política de Cookies. La segunda capa se debería incluir la siguiente información:
  1. Definición y función de las cookies.
  2. Tipo de cookies que utiliza la web y su finalidad.
  3. Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
  4. Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

Por lo tanto, es fundamental que los prestadores de servicios de la sociedad de la información que utilicen cookies en sus web, identifiquen claramente en sus políticas de cookies de forma clara y completa, la siguiente información: tipología, nombre, finalidad, tiempo que permanecen activadas y responsable.

Del mismo modo, deberá ponerse a disposición de los usuarios información completa acerca de cómo proceder a la revocación del consentimiento prestado, ya sea través de la propia web o a través de la configuración de los distintos navegadores.

En resumen, las entidades han sido sancionadas por haber quedado acreditada la instalación de cookies en los equipos terminales de los usuarios que visitan las páginas web de su titularidad sin que éstas proporcionen a los mismos una información clara y completa sobre el uso y finalidades de las cookies que se descargan en sus terminales, si bien han visto atenuada la sanción al considerar la Agencia Española de Protección de Datos que “se considera acreditada la falta de intencionalidad”.