La Agencia Española de Protección de Datos (AEPD) ha sancionado con 30.000 € a IBERIA al no permitir a los usuarios aceptar, rechazar o configurar las cookies de su portal web.
La reclamante denunciaba que, en la web de la citada compañía aérea, “si se quiere seguir navegando se debe aceptar obligatoriamente la política de cookies no dando opción alguna a rechazarlas”. Es decir, no se proporcionaba la opción de oponerse o no prestar consentimiento al tratamiento de datos personales realizado mediante cookies, sino que se sencillamente estas se instalaban automáticamente desde el momento que se producía la visita a la página web inicial.
Tras la investigación realizada por AEPD, se comprobó que el banner sobre cookies de la primera capa proporcionaba información poco concisa, poco transparente e inteligible, en contra de la normativa vigente y de lo recomendado por la Guía que tiene publicada la Agencia al respecto desde noviembre de 2019.
Meses después de requerir a la compañía aérea información para que explicara los hechos denunciados y observar que aquella seguía sin ofrecer la opción de rechazar todas las cookies, la AEPD procedió a la apertura del oportuno expediente sancionador. Pues bien, no fue hasta que la entidad reclamada recibió la incoación del citado expediente por incumplimiento a lo estipulado en el art. 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, con una propuesta de sanción de 30.000 euros, cuando se decidió, por fin, a modificar el polémico acceso a su página web.
Guía sobre el uso de las cookies actualizada
La citada Guía sobre el uso de las cookies ha sido recientemente actualizada por la AEPD para adaptarla a las Directrices europeas sobre consentimiento. En concreto, el Comité Europeo de Protección de Datos revisaba en mayo las Directrices 05/2020 sobre consentimiento con el fin de aclarar su posición en relación con dos cuestiones:
- ¿Es la opción «seguir navegando» una forma válida de prestar el consentimiento por parte de los usuarios?
- ¿Se puede de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies?
En relación con el primero de estos puntos, el Comité consideraba que la opción de “seguir navegando” no constituye en ninguna circunstancia una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario, por lo que no sería posible entender que el consentimiento es inequívoco.
Respecto a la segunda cuestión, los denominados “muros de cookies”, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies. Por ello, la citada Guía explicita que no podrán utilizarse los denominados “muros de cookies» que no ofrezcan una alternativa al consentimiento. Este criterio resulta especialmente importante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario, por ser, por ejemplo, el acceso a un sitio web el único medio facilitado al usuario para ejercitar tal derecho.
