La aerolínea Iberia ha sido sancionada con 30 000 euros por no tener debidamente configurado el banner de cookies de su página web. El procedimiento partió de una denuncia de una usuaria de la página web que argumentaba que “no me da la opción de rechazar las cookies y me dice que tengo que aceptarlas para seguir navegando”.
Después de admitir a trámite la denuncia, la Agencia Española de Protección de Datos (AEPD) inició una investigación de la que concluyó que Iberia no cumplía con la normativa en vigor en materia de cookies, en concreto con el artículo 22.2) de la LSSI (sancionable conforme a lo dispuesto en los art. 39.1.c y 40).
Para la AEPD, la primera capa del banner de cookies de la web de Iberia “proporciona información poco concisa, transparente o inteligible ya que usa la expresión ‘(…) almacena cookies en su dispositivo para garantizar el buen funcionamiento y la seguridad de nuestros sitios web, y ofrecerle la mejor experiencia de navegación posible (…)’, ya que inducen a confusión desvirtuando la claridad del mensaje”, (punto 3.1.2.1 de la Guía sobre el uso de las cookies).
La AEPD continúa diciendo que la web de Iberia carga cookies antes de contar con el consentimiento de los usuarios: “En la primera capa, se indica que para “Aceptar” todas las cookies se debe hacer clic en “aceptar”, o bien si desea cambiar la configuración de las cookies se debe hacer clic en, “Configuración de cookies”, pero no se informa de que cuando se accede a la página, sin haber realizado ninguna otra acción se cargan cookies sin haberlas aceptado.”
Otro de los puntos en los que la AEPD basa su sanción es en la falta de una distinción entre cookies propias y cookies de terceros y en la no concreción respecto de la caducidad de las mismas. “(…) se permite la configuración de cookies de forma granular, pero no se identifican las cookies de terceros y no se informa del periodo de conservación de las cookies en el navegador”.
La denuncia también menciona el hecho de que la no aceptación de las cookies suponía la imposibilidad de seguir navegando por la web.
Iberia, en su defensa, alegó que el su banner de cookies estaba en plena remodelación en el momento en el que se produjo la denuncia. La aerolínea aseguró en sus alegaciones que todos los cambios demandados habían sido ya implementados en su web. Iberia considera que los hechos reflejados en la denuncia no son base suficiente para un expediente sancionador y que se hubiese conseguido la resolución del caso de esta manera sin tener que recurrir a un expediente sancionador.
Iberia comenta algunos de los desafíos técnicos que la nueva normativa de cookies supone para las empresas. En concreto, detalla cómo su sistema de venta a través de agentes denominados afiliados precisa de la carga de una cookie de identificación de transacción que es imprescindible para el rastreo de la operación y que no almacena ningún dato personal del usuario.
La aerolínea sostiene que el texto de su primera capa no “proporciona información poco concisa e inteligible” y responde que esa es una aseveración “totalmente subjetiva y valorativa”.
A pesar de las alegaciones de Iberia, la AEPD hizo efectiva su propuesta de sanción e Iberia tendrá que pagar 30 000 euros por la sanción derivada del caso.