Las cookies son cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada, y su regulación principal la podemos encontrar en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSI). Sin embargo, la entrada en vigor del el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (en adelante, RGPD) y, posteriormente, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD) supusieron un cambio de gran importancia en la reinterpretación de la LSSI en relación al uso y empleo de las cookies.
En Mayo de 2020, y debido al elevado número de irregularidades referidas al uso y aceptación de las cookies, la UE actualizó sus directrices referidas al consentimiento referidas al RGPD. En ese documento quedaron patentes que muchos de los comportamientos más extendidos en el empleo de las cookies pasaban a ser considerados ilegales bajo la nueva regulación, entre ellos podemos destacar: la aceptación de uso de cookies mediante scroll o seguir navegando como forma de prestar dicho consentimiento, la falta de información sobre el origen de las cookies y sus plazos de conservación, entre otros.
En julio de 2020, la AEPD publicó su actualización de la Guía de Uso de Cookies y otorgó un plazo de actualización hasta el 31 de octubre de 2020. Ya han transcurrido cuatro meses desde la finalización de dicho plazo, y la AEPD no tardó en empezar a sancionar.
En diciembre de 2020 se publicó una sanción de 30 000 € de importe a Iberia por no ofrecer la posibilidad de rechazar las cookies y verse obligada a aceptarlas para seguir navegando. Este caso ya fue publicado en nuestro blog, puede ampliar información en https://blog.psnsercon.com/30-000-euros-de-multa-para-iberia-por-las-cookies/
De nuevo ha vuelto a ocurrir. En esta ocasión, el pasado 05 de marzo, la AEPD acordó iniciar procedimiento sancionador contra ABANCA CORPORACIÓN BANCARIA S.A. por instalación de cookies no estrictamente necesarias sin recabar consentimiento. El procedimiento se inició por denuncia interpuesta el 21 de agosto de 2020. La AEPD requirió a la denunciada y ABANCA presentó escrito de contestación en el que afirma cumplir con todos los requerimientos tanto de la LSSI, como de la LOPDGDD y del RGPD, a la vez que refería haber realizado múltiples adaptaciones para cumplir con la legislación. Entre las afirmaciones de descargo, ABANCA afirmaba cumplir puntalmente con la Guía de Uso de Cookies, afirmando que solo se instalaban «de forma previa a la obtención del consentimiento por parte del afectado, únicamente se descargan en el dispositivo a través del cual el usuario se conecta a la Web, aquellas cookies que han sido catalogadas como “técnicas” o estrictamente necesarias por ABANCA».
En febrero de 2021 la AEPD realizó las oportunas comprobaciones, y pudo comprobar cómo al entrar en la página inicial de la web, sin realizar acción alguna, se implantaban cookies no necesarias de terceros, por lo que entendió necesario aplicar una sanción por importe de 3 000 € por considerar que existió intencionalidad, correspondiendo a la entidad denunciada la determinación de un sistema de obtención del consentimiento informado que se adecue a la LSSI y a los requerimientos de la LOPDGDD y del RGPD, así como por el tiempo continuado durante el que se ha venido cometiendo la infracción, al ser la primera reclamación de agosto de 2020.
Puedes consultar la resolución aquí https://www.aepd.es/es/documento/ps-00024-2021.pdf
