Dos comercios españoles han sido sancionados por el incumplimiento de la Ley de Cookies el 14 de enero de 2014. Dichas sanciones, de importe relativamente reducido (3.000 euros de sanción para una y 500 € de sanción para la otra), deben ser entendidas como una llamada de atención a los comercios electrónicos establecidos en España o aquellos que presten de servicios o que dirían sus servicios al territorio español.
Comportamiento sancionado
En primer lugar, cabe entender cuál es la infracción que cometieron los dos comercios electrónicos por las que fueron sancionados. La resolución de la Agencia Española de Protección de Datos (en adelante, la “AEPD”) de 14 de enero de 2014 le resume de forma clara en sus Hechos Probados Octavo y Décimo y en sus Fundamentos de Derecho Séptimo y Octavo.
El Hecho Probado Octavo de la antedicha resolución de la AEPD expone lo siguiente: “La utilización de los mencionados servicios“, estos son Google Analytics, Youtube, Zopim, TradeDoubler, Magento y WordPress, “origina la descarga de diferentes tipos de cookies no exentas del deber de información previa al usuario que accede a los sitios web de su titularidad.”
Asimismo, el Hecho Probado Décimo añade: “instalan y utilizan cookies, tanto propias como de terceros, no exentas del deber de información previa a su almacenamiento en los terminales de los usuarios.”
Dichos comportamiento son sancionables, tal y como explican los Fundamentos de Derecho arriba indicados, por la imposibilidad de los usuarios de manifestar su consentimiento o negativa a la utilización de dichos dispositivos. El prestador de servicios tiene el deber, en primera lugar, de informar a los usuarios, entre otros aspectos, del tipo de cookies que se van instalar en su terminal y la finalidades a las que la instalación de dichos dispositivos obedece.
Una vez satisfecho de manera satisfactoria el deber de información, el prestador de servicios debe además obtener el consentimiento previo y expreso del usuario, que únicamente se entenderá válido cuando el usuario ha sido debidamente informado.
La única excepción a los deberes de (i) información previa y (ii) consentimiento expreso debidamente informado son las cookies exentas. Dichos dispositivos se caracterizan por limitarse cumplir con alguno de los siguientes criterios: (i) cuando la cookie sea únicamente empleada para efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o (ii) cuando la cookie resulte estrictamente necesaria para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Sanciones aplicables
Las infracciones y sanciones aplicables a estos supuestos son contempladas en Título VII de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (artículos 37 a 45).
Las infracciones arriba descritas son consideradas como leves según lo dispuesto por el artículo 38.4 g): “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”.
En virtud del artículo 39, por la comisión de infracciones leves se impondrá una mula de hasta 30.000 euros. Por ello, pese a que resulte muy improbable que se imponga una sanción de esta cuantía sin que opere moderación alguna, los comercios electrónicos deberán preparar sus sitios webs para cumplir estrictamente con las obligaciones arriba descritas, siempre que contengan cookies no exentas de las mismas.
Si desea más información sobre la Ley de Cookies en España,