Protección de datos

Las Cookies ocultas de Google, nueva sanción

Tribuna
NSA-cookies-Google-identificar-objetivos_EDEIMA20131211_0003_1.jpg

Tiempos apasionantemente convulsos en mundo jurídico online: derecho al olvido, persecución de twitteros, usurpaciones de identidad digital, robo de datos de usuarios en plataformas de internet, nuevo reglamento europeo de privacidad, etc. Otro de los factores que está influyendo en esta espiral de constante aparición de nuevas realidades legales TIC es la problemática de las cookies.  Todo cambió respecto al tratamiento legal de esta pequeña información que envían algunos websites a los navegadores de sus usuarios desde la modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI), introducida por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas.

Desde ese momento, se han venido analizando las formas jurídico-tecnológicas más adecuadas en los websites para llevar a la práctica lo establecido por el citado precepto. Pero las interpretaciones han sido muchas y variadas. Afortunadamente la Agencia Española de Protección de Datos (en adelante la AEPD) en los últimos meses está clarificando la situación. Por medio de una sanción y una “guía sobre el uso de las cookies”, los abogados especializados en derecho digital tenemos la oportunidad de empaparnos de los criterios de la AEPD para permitir a nuestros clientes cumplir con la normativa. Pues bien, la segunda sanción acaba de aterrizar, hace apenas unos días. Aquí está:

La Resolución R/00936/2014

Debemos trasladarnos al año 2012, cuando la Unión Cívica Provincial de Consumidores y Usuarios de Palencia y la Junta de Castilla y León pusieron en conocimiento de la AEPD que la página web basada en blogspot.com de un Centro Ecuestre, podría estar incumpliendo la Ley Orgánica de Protección de Datos y la LSSI.

Los fundamentos para imponer esta sanción no varían en su esencia respecto a los de la primera: falta de información adecuada sobre el uso de cookies y falta de obtención del consentimiento para su instalación. En cambio, el sujeto sancionado sí es diferente y en gran medida. Ya no se trata de sancionar a una PYME y sí a un gigante empresarial transnacional que todos conocemos llamado Google Inc.  Específicamente la sanción de 25.000€ impuesta es consecuencia de la incompatibilidad con el artículo 22.2 de la LSSI del servicio de creación de blogs gratuitos que ofrece a través de la tecnología blogger.

Pero, ¿por qué sancionan a Google, Inc. sí la denuncia va dirigida contra un Centro Ecuestre de Palencia que ha creado un blog?

La AEPD fundamenta su decisión puesto que Google Inc. es el responsable del servicio y quien determina la infraestructura del sistema de blogs gratuitos limitando a los usuarios y editores de los mismos conocer si se instalan cookies o no:

“ha quedado acreditado que Google instala y utiliza, por defecto, en los terminales de los usuarios que acceden a los blogs creados bajo la infraestructura de su servicio on-line Blogger, y configurados sin la opción del campo “ID de propiedad web de Google Analytics”, cuatro cookies asociadas a dicha herramienta analítica (“utma”, “_utmb”, “utmc” y “utmz”), y una cookie publicitaria (NID).

La descarga de dichos dispositivos y el acceso a los datos almacenados en los mismos se produce sin que Google proporcione a los editores que emplean la infraestructura de Blogger información sobre la utilización de tales dispositivos propios o de terceros ni los fines concretos para los que se tratan los datos recogidos (…)

Google tampoco proporciona directamente a los visitantes que acceden a los espacios web creados bajo la citada configuración la información relativa a los extremos anteriormente reseñados al objeto de obtener el consentimiento informado de los mismos con anterioridad a la instalación y uso de dichos dispositivos de almacenamiento y recuperación de datos en sus equipos terminales. (…)”

Asimismo, según la AEPD tampoco  existen opciones de configuración posterior por parte de los creadores de blogs. Las cookies están activadas por defecto y así deben permanecer si se desea utilizar el servicio online:

“Al crear los blogs Google no ofrece opciones de configuración que permitan a los editores de los mismos bloquear el uso de las cookies que dicha compañía instala por defecto sin informar sobre su utilización y finalidades a las que responde el tratamiento de los datos (…)”

Pero Google Inc. se defiende y, por una parte,  alega que las cookies usadas son necesarias para la prestación del servicio de bitácora blogger y por tanto la entidad acogiéndose al tercer párrafo del artículo 22.2 no debe cumplir con los requerimientos sobre las cookies comentados. La AEPD niega este hecho y señala que no son necesarias para prestar el servicio puesto que si se desactivan las mismas, los blogs creados continuarían funcionando.

Por otra parte, la entidad estadounidense se defiende argumentando que la AEPD no está legitimada para actuar puesto que no se tratan datos personales por medio de las cookies instaladas. La Agencia replica indicando que el artículo 22.2  de la LSSI no contiene ningún mandato legal que limite el cumplimiento de las obligaciones contenidas en el mismo a la existencia de un tratamiento de datos de carácter personal.

Respecto a la primera sanción sobre cookies en el que no encontró intencionalidad en la conducta infractora, en este caso la AEPD acusa a Google Inc. de actuar con dolo, ocultando deliberadamente a los editores de los blogs el almacenamiento de cookies y las finalidades perseguidas.

En definitiva, tenemos ante nosotros una nueva resolución de la AEPD que consolida la obligación de información clara, sencilla y completa sobre el uso de  las cookies a los usuarios de los WEBSITES y la necesidad de solicitar el consentimiento previo a los mismos para poder instalarlas.

La pregunta es: ¿Google Inc. se adaptará a las obligaciones que le impone la legislación comunitaria sobre las cookies como acaba de ocurrir con el “derecho al olvido”?...

Si deseas saber más sobre los aspectos legales de las cookies, no te pierdas el próximo jueves día 12 de junio a las 9h este evento en el ICAB


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación