pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Sanción por instalar cookies de Google Analytics (y otras)

Procedimiento sancionador por incumplir la normativa de cookies
Procedimiento sancionador abierto por incumplir la normativa de cookies

AVISO: Sanciones ya impuestas: 3.000€ y 500€.

La Ley de Cookies sí se aplica.

Seré breve, en el sentido «letrado».

La AEPD acaba de notificar a Santiago A. J., mi cliente, que se inicia un procedimiento sancionador contra una empresa que no cumple la Ley de Cookies (disculpad que no ponga los datos identificativos reales). La sanción por el incumplimiento leve (art. 38.4.g LSSI) de la Ley de Cookies (art. 22.2 LSSI) es de hasta 30.000 (art 39.1.c LSSI). La sanción podría ser de hasta 150.000€ (art. 39.b LSSI) si el incumplimiento fuera significativo (art. 38.3.i LSSI), pero no es el caso.

Recuerda que los titulares de páginas web profesionales ahora tienen que impedir que se instalen chivatos (o cookies) en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informado para ello: Cómo cumplir la Ley de Cookies.

La sanción, si finalmente la hay, recaerá sobre una empresa que instalaba cookies antes de obtener el consentimiento informado del usuario.

Las cookies investigadas son las siguientes:

  • Google Analytics: Permite analizar el tráfico de la web. Cookies: __utma, __utmb, __utmc, __utmz
  • Google Maps: Permite insertar un mapa en la web. Cookies: NID, PREF, SNID, Khcookie
  • Google YouTube: Permite insertar vídeos en la web. Cookies: PREF, VISITOR_INFO1_LIVE, use_hitbox, YSC
  • Google Adsense: Permite mostrar publicidad en la web. Cookie: PREF
  • Google: Flash cookies o Local share objects asociada a Ytimg; id, asociada a Doubleclick
  • WordPress: Permite analizar el tráfico de la web. Cookie: __qca
  • Otras detectadas: Seevolution (svlu), Zopim (_zlcid y __cfduid); Magento (fronted y petlab)

Son cookies prácticas y sencillas de servicios que prácticamente todas las web profesionales tienen.

Estas cookies pueden bloquearse de forma sencilla, como hemos hecho en Abanlex: prescindimos de la cookie de WP deshabilitando las estadísticas de JetPack; la de YouTube no la necesitamos, por lo que marcamos la opción de «mejorar la privacidad» para no instalar la cookie; y bloqueamos la de Analytics con un complemento.

Ante la duda de si las cookies de Google Analytics están o no incluidas en la prohibición, la respuesta es… sí. Están incluidas. Así lo indica claramente tanto la Directiva como el RD-l, también la LSSI, el GTA29 ayuda en esta interpretación y esta resolución de la AEPD lo re-re-reconfirma.

Las cookies de Google Analytics pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.
Las cookies de Google Analytics (__utmX) pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.

Lo que tenemos, por ahora, es solo un inicio del procedimiento sancionador dictado por el Director de la AEPD (art. 127 RLOPD). La AEPD ha ofrecido al denunciado la posibilidad de presentar alegaciones o de reconocer su responsabilidad.

Fácticos son, por ahora, los cuatro siguientes:

  1. La web del denunciado informaba sobre el hecho de que usa cookies: «Utilizamos cookies…» mediante un aviso no accesible desde todas las páginas.
  2. En septiembre de 2012: El denunciante presenta la denuncia.
  3. En enero de 2013, el denunciado aumenta el contenido de su aviso informativo: Sigue confirmando que las cookies ya se han instalado en el dispositivo del usuario y que si este no las quiere debe configurar su navegador, independientemente de cuál sea, para que las bloquee.
  4. En julio de 2013 la AEPD inicia el procedimiento sancionador.

La AEPD ha realizado tres pruebas en diferentes momentos:

  1. Google Chrome en el equipo del Subinspector.
  2. IE8 y Google Chrome en el equipo del Subinspector.
  3. Mozilla Firefox portable v.21 con Firebug v1.11.3 instalado.

Destaco el detalle de que la AEPD haya usado Firebug, además de haber auditado con varios navegadores. En mi caso, uso bastante Safari y Ópera, como la mayoría de los iPhoneros, no obstante, considero acertada la elección de la AEPD. Esta elección nos muestra algo más: los bloqueos de cookies por navegador deben tener en cuenta que hay multitud de navegadores (Konqueror, Arora, Flock, Camino), de versiones y de configuraciones. También destaco que en este caso han sido cookies los «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» (art. 22.2 LSSI) estudiados, pero podrán ser otros en casos diferentes, como las etiquetas ETag o Píxel y ciertas librerías, con especial atención a las apps y los videojuegos.

La AEPD, asimismo, encargó la elaboración de una Guía sobre el uso de las cookies. Su plazo de solicitud y publicación coincide con el plazo del análisis del caso, por lo que parece indicar que o el caso se ha reconvertido en guía, o ésta ha ayudado a solucionar el caso. El contenido de la guía es sencillo y supongo que orientará a algunos.

Cuando se resuelva el caso, publicaré el resultado en este artículo y en @Pablofb

A continuación, explicaré algunos aspectos esenciales sobre el asunto de las cookies, adicionales a los que ya indiqué en mi post anterior. En los comentarios pueden plantearse dudas, si las hay.

1. ¿Si pongo un pop-up en mi web me libro de la sanción?

[Actualización: 11/9/2013]

Es falso que la Ley de Cookies se cumpla poniendo un pop-up.

La vigente Ley de Cookies obliga a informar correctamente; es decir, obliga a informar de manera clara, completa y previa a la instalación de cookies, de forma que se pueda obtener el consentimiento informado del usuario. Lo explico más en detalle en la pregunta 13 (más abajo). Si con tu pop-up cumples la obligación, te librarás la sanción; pero si solo informas después de haber instalado cookies, la información no será la correcta porque carecerá de uno de los requisitos: que sea previa.

El consentimiento informado es el que se otorga después de haber recibido la información sobre las cookies, que debe ser clara, completa y previa al consentimiento necesario para poder instalar las cookies (lo subrayado es lo que añade la nueva norma). La sanción, si la hay, será por no informar válidamente. No informar válidamente antes de la instalación implica que no se pueda obtener el consentimiento informado.

En el caso objeto de estudio, el denunciado ofrecía información confusa e incompleta por medio de un aviso legal, que no era accesible desde alguna de sus páginas. Posteriormente puso un pop-up con el que informa mejor. No obstante, a día de hoy sigue instalando las cookies sin obtener el consentimiento previo del usuario. Si la AEPD consiente este pop-up como medio de información válido, con el que simplemente se informa de que se han instalado cookies, significará que podrá incumplirse la ley sin consecuencias, ya que no será necesario obtener el consentimiento previo exigido por la ley.

2. Muchas páginas avisan con un pop-up de que han instalado cookies. ¿Incumplen la ley?

La mayoría de ellas incumple la ley.

Desde que se publicó la Guía sobre el uso de las cookies, Internet está sufriendo una epidemia de avisos inútiles sobre el uso de cookies.

Hasta el 31 de marzo de 2012 se podía informar sobre el uso de cookies mediante un pop-up.

Artículo 22.2 LSSI párrafo 1º [DEROGADO] «Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito».

Pero desde el 1 de abril de 2012 se piden dos cosas: 1º información + 2º consentimiento = instalación

Artículo 22.2 párrafo 1º LSSI [VIGENTE]: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal».

Préstese atención a las palabras «a condición de» y «después«. No se pueden instalar cookies antes; se pueden instalar después. [Actualización: 10/9/2013] Y préstese atención a la conjugación del verbo dar: «hayan dado»; un pretérito perfecto que expresa una acción realizada en el pasado y que perdura en el presente.

En conclusión:

  • El párrafo derogado se cumplía mostrando un pop-up informativo o un aviso legal con la información siguiente (más lo correspondiente a LOPD): «Al utilizar nuestra web, aceptas el uso que hacemos de las cookies de XXXXXXX, que sirven para XXXXXX. Puedes configurar tu navegador para rechazarlas o usar el servicio de rechazo de cookies de la web XXXXXXXXX».
  • El párrafo vigente se cumple obteniendo el consentimiento informado del usuario antes de instalarle cookies. O, lo que es lo mismo, la instalación de cookies debe hacerse después de haber obtenido el consentimiento del usuario.

La decisión de la AEPD, cuando la tengamos, desvelará si la palabra «después» del artículo 22.2 LSSI debe interpretarse como «después»… o como «antes». ¿Baladí?

3. ¿Puedo confiar en que el usuario haya configurado correctamente su navegador?

Ahora no.

Pero en un futuro cercano sí podrás confiar en la configuración del navegador:

Artículo 22.2 párrafo 2º LSSI [VIGENTE]: «Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.».

Este párrafo se interpreta de la siguiente forma: En general, no es técnicamente posible y eficaz; pero cuando sí lo sea (o para quien así lo logre), los sitios web podrán diferenciar navegadores e instalar cookies a unos, pedir consentimiento a otros y no molestar con avisos ni cookies al resto. Es decir, a un usuario que acceda a la web usando un navegador antiguo no podrás instalarle cookies a menos que te dé su consentimiento informado, pero a un usuario que haya configurado su navegador para aceptar un tipo concreto de cookies (por ejemplo: analíticas sí; publicitarias no) podrás instalárselas sin necesidad de informarle previamente y deberás conseguir su consentimiento informado antes de instalarle otras. Para usar este método, la página tiene que lograr diferenciar configuraciones y actuar con cada una según proceda.

En consecuencia, son incompletos y contrarios a la ley actual (pero correctos conforme indicaba la norma derogada) los avisos que indican lo siguiente:

avisos de cookies
Las webs que muestran estos avisos cumplen la norma derogada, que solo pedía informar y explicar cómo cambiar la configuración, con una nota en forma de pop-up o en el aviso legal. Sin embargo, incumplen la Ley de Cookies actual: ahora se pide obtener su consentimiento informado antes de instalar.
Solución: Deben permitir al usuario abandonar la web antes de que se intalen las cookies en su ordenador o permitirle decidir sobre su instalación.

4. ¿Hace falta que el usuario pulse un botón de «Acepto la instalación de cookies«?

No.

El consentimiento puede ser tácito; es decir, puede estar unido a alguna acción del usuario.

El proceso puede ser el siguiente:

  1. El usuario accede a la página.
  2. Un aviso visible le informa de que si continúa navegando se le instalarán cookies, con un enlace a un lugar donde puede encontrar más información.
  3. El usuario continúa navegando.
  4. Se le instalan cookies.

Por tanto, se necesitan dos acciones para, en su caso, permitir una consecuencia:

  • Primero –> Información: El usuario ha de obtener información clara y completa sobre las cookies que se van a instalar en su ordenador.
  • Segundo –> Consentimiento: Después de haber recibido la información, el usuario, si quiere, puede decidir aceptar las cookies. Hay que dar la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies. Esta es la novedad de la ley.
  • Tercero –> Instalación: Después de que el usuario haya consentido la instalación de las cookies, se le podrán instalar, pero no antes.
Información importante sobre cookies
Este aviso podría ser correcto, si funcionase. A día de hoy, el botón de «Aceptar cookies» no funciona, más que para cerra el aviso. Se puede comprobar fácilmente cómo el Ministerio de Industria, Energía y Turismo cumple con así la norma derogada que se muestra aún en una de sus páginas: Obligaciones cookies (derogado). [Actualización 3/9/2013] Nota: Las Administraciones Públicas no tienen que cumplir la Ley de Cookies, salvo que voluntariamente asuman esta obligación.

5. ¿Dónde debe estar ese aviso sobre cookies?

En una zona visible de la web, sin necesidad de hacer scroll.

6 ¿En qué idioma debe estar el aviso de cookies?

Debe estar en castellano y, adicionalmente, puede estarlo en otros idiomas.

Excepciones:

  • Puede estar en vascuence o en castellano, indistintamente, si el sitio web únicamente puede ser visualizado en el País Vasco (a menos que una norma autonómica obligue a usar siempre el vascuence en estos casos). Lo mismo sucede con los idiomas gallego y catalán.
  • Los responsables de sitios web a los que no les afecte esta norma pueden, si quieren poner el aviso, usar el idioma que su normativa les permita.

7. ¿Cómo debe ser el aviso de cookies?

El aviso debe ofrecer información clara y completa sobre la utilización de las cookies que se van a instalar y, en su caso, indicar los fines del tratamiento de los datos personales que se llevará a cabo a través de ellas.

El aviso puede indicar lo siguiente:

«Lee nuestra política sobre cookies» (enlazado a una página con la información referida).

No deben instalarse cookies hasta después de haber informado y obtenido el consentimiento.

Nota: No siempre es necesario poner un aviso. Y hay casos en los que basta con indicarlo en el aviso legal y otros en los que hasta esto es prescindible. Lo explico aquí.

cuadro o tabla de cookies
Ejemplo de mi bufete: [Además de pedir consentimiento previo e informado,] en el aviso legal de Abanlex mostramos esta tabla de cookies y advertimos de las cookies que se instalan en las páginas de Abanlex alojadas en FB, Twitter, LinkedIn, Foursquare y Google+. En el sitio principal usamos Do Not Track.

8. ¿Se acepta como consentimiento la inactividad del usuario?

Es discutible. Mi interpretación es la siguiente:

  • Sí, se acepta si el usuario permanece en la página durante un largo período de tiempo después de haber recibido la información sobre las cookies. Por ejemplo: podrán instalarse las cookies de Google Analytics después de 1 minuto, desde que el usuario leyó el aviso sobre cookies.
  • No, no se acepta si el tiempo que se deja pasar es tan breve que no permite al usuario reaccionar contra las cookies antes de que se le instalen.

En cualquier caso, ha de ser evidente que el usuario ha podido tomar la decisión de salir de la web antes de que se le instalen cookies.

9. Mi página está alojada en [Facebook, Blogger, WordPress]. ¿Tengo que informar de algo?

La Ley de Cookies no permite usar plataformas que impiden cumplir la ley española.

Un usuario de Internet, que no lo sea de Facebook, puede navegar a través de la web de una empresa alojada en el servicio de Páginas de Empresa de Facebook. La empresa ha elegido Facebook porque es gratis y por motivos de marketing, entre otros. Sin embargo, la gratuidad o el marketing no eximen a la empresa española de la obligación de cumplir la ley española.

Si la empresa ha decidido usar una determinada solución tecnológica para tener presencia en Internet, tendrá que asumir las consecuencias.

A D. Jesús Rubí Navarrete, Adjunto al Director de la AEPD, le pregunté en el foro de DENAE sobre Publicidad basada en el comportamiento (1h23’55») si se cumple esta ley creando una página de empresa en Facebook, que instala cookies de Facebook a todos los visitantes. Su respuesta, que precedió a la salida inmediata de la AEPD de Facebook, fue la siguiente:

«El editor al que le van a crear [una página de empresa en Facebook], que va a ser va a ser de su responsabilidad […], va a ser responsable […] de los dispositivos cuya instalación posibilite […] para terceros. Y esto va a ser así. […] La gratuidad de los servicios de Internet tiene un precio. […] Si alguien quiere optar por esa solución [de crear una página de empresa en Facebook] pues, así, a palo seco y sin más, […] se está poniendo en una importante situación de riesgo».

La empresa:

  • si decide instalar cookies de Google Analytics sin obtener el consentimiento de los usuarios, podrá ser sancionada por ello;
  • si decide usar la plataforma de Facebook porque es gratuita, y se instalan cookies a todos los usuarios que la visitan, podrá ser sancionada por ello; y
  • si decide crear su sitio en WordPress.com, notándose o sin que se note que está en WordPress, y a todos sus usuarios le instala inevitablemente una cookie de estadísticas que rastrea y almacena su IP en una empresa estadounidense (Automaticc) a través de un tercero (Quantcast), será responsable igualmente y podrá ser sancionado.

En relación con las cookies, señalo estas tres curiosidades lógicas:

  1. En la resolución se menciona que el demandado ha decidido usar la tecnología (cookie) de un tercero para hacer mejor su página pero, dice la AEPD, «no se ha averiguado su finalidad» ni siquiera después de la inspección. La empresa es responsable.
  2. En relación con la cookie de Quancast que instala el demandado por usar un blog alojado en WordPress, se constató en la inspección que no se pudo «localizar una opción de configuración del blog que permita deshabilitar la descarga de esa cookie». La empresa responde de lo que contrata pero no es capaz de controlar.
  3. Y en cuanto a la responsabilidad sobre las cookies: aunque sean de terceros (Google Analytics, por ejemplo) se determina que el responsable es el administrador del dominio o web.

Si una empresa decide alojarse en WordPress, lo hace con todas las consecuencias. Igual sucede con Blogger, Facebook, Tumblr, etc.

Las empresas españolas y los demás obligados a cumplir la ley están… obligados a cumplir la ley.

Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.
Foursquare ha elegido crear y administrar su página de empresa en Facebook, instalando cookies de terceros a todos los visitantes. En este caso, Facebook no es una red social sino un prestador de servicios de alojamiento.
Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.

10. ¿Cumplo la Ley de Cookies en mi página web?

Es recomendable que pidas a un especialista que te ayude a analizar tu caso concreto. No obstante, daré unas instrucciones generales:

  1. Has de ofrecer información previa.
  2. No debes instalar ninguna cookie al usario hasta «después» de obtener su consentimiento.

Las cookies técnicas y estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario no requieren información previa, pero sí la que deba incluirse en el aviso legal.

Artículo 22.2 párrafo 3º LSSI [VIGENTE]: «Lo anterior [sobre las cookies] no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».

Nota: Lo referido a las cookies también debe serlo a otros dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.

11. ¿Cómo sé si una página incumple la Ley de Cookies?

Accede a la página y comprueba si te ha instalado ya alguna cookie. Si lo ha hecho, lo más probable es que esté incumpliendo la ley.

Si sinceramente te sientes gravemente afectado, tienes derecho a denunciar gratis.

12. ¿Cómo sé si mi página web instala cookies?

Contrata una auditoría técnica y legal. En comentarios puedes indicar estudios y bufetes recomendables.

Una forma sencilla de ver las cookies por ti mismo es la siguiente:

  1. Accede a una web usando la última versión del navegador Firefox.
  2. En la pestaña del navegador «Herramientas» selecciona «Ver información de la página».
  3. En la pestaña «Seguridad» encontrarás las cookies pulsando en «Ver cookies«.

También es sencillo usando los plugins Cookies Manager + y Firebug en Firefox; y con Chrome.

Aunque lo hayas conseguido, contrata una auditoría para saber cuál es la finalidad de esas cookies y gestionarlas legalmente.

Y trata de que no te engañen: poner solo un pop-up informativo es una tontería. Primero has de informar y luego… retarda bastante la instalación de las cookies o pide permiso expreso o avisa sobre ellas antes de que el usuario haga login a tu sección privada o invéntate la forma que quieras de cumplir la ley.

Curiosamente, [suprimido por el autor]. Algunos expertos están ofreciendo consejos desafortunados en sus blogs, por lo que les sugiero leer y comprende la ley antes de aconsejar. Las empresas no españolas, como Google Inc., tampoco cumplen la ley española en sus webs, por lo que los pop-ups que han puesto deben sernos indiferentes y, en cualquier caso, tampoco permitirían cumplir la ley española.

[Actualización 10/9/2013]

13. La Ley de cookies y sus sanciones. ¿Qué es lo que se multa?

La Ley de Cookies contempla dos tipos de multas:

  • Se multa por no informar de forma válida o no establecer un procedimiento válido de rechazo del tratamiento de datos (LSSI).
  • Se multa por el tratamiento ilícito de datos personales (LOPD).

Informar de forma válida es hacerlo cumpliendo los tres requisitos que establece la Ley de Cookies. La información debe ser:

  1. Clara: La información debe poderse comprende fácilmente.
  2. Completa: Se debe ofrecer información sobre la finalidad concreta de las cookies.
  3. Previa: La información debe facilitarse antes de la instalación de las cookies.

La información previa permite obtener el consentimiento informado.

La norma de 2002 exigía principalmente que la información fuera clara y completa; la de 2012 exige, además, que sea previa a la instalación de las cookies, de forma que el usuario pueda otorgar su consentimiento informado, que es el que se otorga después de haber sido debidamente informado.

Sería ridículo que hubieran previsto en la Ley una sanción por la falta de obtención del «consentimiento informado» puesto que una de las condiciones que debe cumplir la información es que se ofrezca antes de la instalación de cookies; con lo cual, el consentimiento queda implícito en el correcto cumplimiento de información previa.

Art. 22.2 LSSI «[Podrán instalarse cookies a los usuarios] a condición de que los mismos [usuarios] hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización».

Justo antes de decir la palabra «información», el artículo indica que esta ha de ser previa; y justo después, indica que debe ser clara y completa. Debe ser «previa» porque es la forma de permitir que el usuario pueda otorgar su consentimiento informado, que puede ser expreso o tácito, y que es la condición para que puedan instalarse las cookies. Así, la novedad de la ley es que la información debe ser «previa».

Art. 38.3 LSSI “Son infracciones graves:

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.”

Art. 38.4 LSSI “Son infracciones leves:

g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.”

Art. 39.1 “Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Por tanto, no se sanciona la falta de consentimiento, sino que se sanciona que la información no sea la válida (clara, completa y previa), como también explica la abogada Ruth Benito.

La multa por protección de datos se dará solo cuando proceda, según la normativa de protección de datos (LO 15/1999 o LOPD). Este asunto lo dejo para otros artículos.

Esta respuesta está explicada también en la pregunta 14 del artículo ‘Cómo cumplir la Ley de Cookies’.

[Actualización 11/9/2013]

14. ¿Cuál es tu opinión sobre la Ley de Cookies?

Esta norma es un despropósito lamentable del legislador.

Puesto que tenemos una Ley de Cookies imposible de cumplir, se exigirán solo las obligaciones que imponía el artículo derogado. Ridículo, pero es lo que considero que va a ocurrir.

Intuyo que sucederá lo siguiente:

  • Multa: Al demandado se le multará solo por no informar de forma completa y clara sobre sus cookies. Conclusión: Hay que seguir informando sobre las cookies en el aviso legal.
  • Consentimiento: No se exigirá consentimiento previo, aunque la ley obliga a ello. Conclusión: se podrán instalar todas las cookies directamente, cuando se abra cualquier página web.
  • Pop-up: Se exigirá mostrar un ridículo, absurdo y molesto banner o pop-up diciendo que ya se han instalado las cookies, con un enlace al aviso legal. Conclusión: Si la web instala cookies, debe mostrar un banner informativo al menos en el primer acceso.
  • Facebook, Twitter…: Se permitirá mantener sitios web en cualquier plataforma nacional o extranjera y no se investigarán las cookies de terceros que permitan instalar. Conclusión: Se podrá elegir cualquier tecnología sin cargar con la responsabilidad que conllevaría.

Es posible que el cumplimiento del artículo actual sí se exija a ciertas páginas para adultos y para la instalación de cookies que se consideren peligrosas. Pero, más allá de esto, no creo que se haga nada.

El resultado del procedimiento sancionador abierto será revelador. Nos dirá si la AEPD entiende la palabra «después» (art. 22.2 LSSI) como «después» o como «antes». Y explicará si «a condición de» significa «a condición de» o «ignora lo que se dice a continuación».

Nota: Disculpad que no cite los nombres de las entidades privadas con cuyos «avisos» ejemplifico y que haya recurrido a los dos únicos ministerios que intentan cumplir esta norma (tan absurda).

[Actualización 3/9/2013] Nota 2: En este post uso nombres de entidades no afectadas por la Ley de Cookies. Sí estarían afectadas las empresas españolas, pero he preferido no citar a ninguna. Así, los ejemplos de este post son únicamente ilustrativos. Cito a Foursquare y a Google porque las empresas de EE.UU. no tienen que cumplir la Ley de Cookies (salvo excepciones). Cito a los Ministerios españoles porque no tienen que cumplir la Ley de Cookies (ver posts de Samuel Parra y Sergio Carrasco), a menos que se auto-obliguen. Tampoco tienen que cumplir la Ley de Cookies los blogs personales sin publicidad, entre otros. La lista de los que sí tienen que cumplir esta ley se encuentra en los artículos 2 a 5 de la Ley 34/2002.

[Actualización 10/9/2013] Disculpa que me haya tomado ciertas libertades para relatar el caso. Consideré inconveniente citar todos los hechos de forma literal y ofrecer información sensible. Por ahora solo tenemos un inicio de procedimiento sancionador, así que todo lo que aportemos en este blog son meras consideraciones, conjeturas e interpretaciones. Si la resolución se hiciera pública, tendremos acceso a los hechos reales y a las opiniones de la AEPD.

Si quieres hacer alguna pregunta, plantéala en los comentarios.

235 thoughts on “Sanción por instalar cookies de Google Analytics (y otras)”

  1. ¡Fenomenal post, Pablo! Y me encanta tu brevedad ;D

    Incidiendo un poco en el tema de otros «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» como eTags y demás, ¿qué sabes sobre las llamadas cookies de Flash o Adobe Flash Access?

    Últimamente empiezo a ver que se están empezando a incorporar en algunas Políticas de Cookies como identificador empleado. Y justo la semana pasada Google actualizó el Aviso de Privacidad de Chrome para establecer que las soportaba: https://plus.google.com/114183780038932457452/posts/JnvxADry3tX

    Son identificadores únicos que se instalan en el sistema del usuario y se vinculan a un contenido en concreto. En verdad son un tipo de DRM vía web. Se pueden inhabilitar e incluso eliminar (menos en Chromecast), pero son vinculables a complementos del navegador y pueden asociarse a datos personales que el usuario haya proporcionado.

    Vamos, que el campo de las cookies está en considerable expansión y parece haber cada día más elementos a tener en cuenta, como esta Flash Access.

    Enhorabuena de nuevo por el post y saludos.

  2. Buenos días Pablo.
    Acabo de ver publicado tu artículo el cual me ha parecido muy interesante e importante todo lo que expones.

    Me gustaría saber si das tu consentimiento para publicar en un blog corporativo tu post como «invitado», mencionando siempre la fuente original y su autor.

    Saludos.

  3. Interesante post, estaré atento a su resolución, pero este procedimiento sancionador me plantea muchas dudas. Teniendo en cuenta que un pop up puede dar lugar a incumplimiento, y hace falta además un consentimiento previo antes de la instalación, se me plantean varias preguntas: ¿cómo puede otorgarse el consentimiento previo antes de la instalación? Más aun cuando no es posible técnicamente aun la configuración de navegadores. ¿Puede retrasarse técnicamente la instalación de cookies?

    Este proceso sancionador incluye Google Analytics, WordPress o Adsense, sin embargo, aplicando la Guía sobre el uso de las Cookies de la Agencia de Protección de Datos + aDigital, IAB y otros, en su página 8, por ser estas cookies técnicas y analíticas supra mencionadas de análisis de primera parte, estrictamente estadísticas y ser “ poco probable que representen un riesgo para la privacidad de los usuarios”, pensaba que el usuario podría manifestar su consentimiento tácito consciente y positivo a su utilización a través de la navegación. Así creo recordar lo han interpretado varios especialistas y no sé si ud mencionó esta posibilidad en algún post anterior. Pensaba que eran cookies sin necesidad de autorización previa, conforme al Art. 22.2 de su punto 10, de «acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas» por lo que esta sanción me confunde bastante. En caso de denegación posterior, el usuario puede utilizar el mecanismo Opt-Out por no existir esos mecanismos técnicos previos antes mencionados.

    También me gustaría que pudiera aclararme qué se considera como prestador de servicios del Art. 2, está claro que empresas y profesionales, pero ¿y bloggeros?

    Y por último menciona que se trata de un «aviso». ¿Se trata del inicio de un procedimiento sancionador o es una consulta o solicitud de información?

    Enhorabuena por su trabajo, que aunque creo que alguna vez he pasado por aquí, a partir de hoy va a mi reader y gracias por compartir sus importantes conocimientos.

  4. Buenas tardes.
    Pablo, muchas gracias por tu estupendo artículo.

    ¿Los del Ministerio habrán tomado nota? 🙂

    La verdad es que me impresionó que al poco de saber sobre la Ley e intentar ver cómo lo hacía la AEPD en Facebook, me encontré con que su página había desaparecido.

    ¿No es posible técnicamente para una página de fans instalar algún tipo de plugin para cumplir con la Ley en Facebook? ¿Tendrá que hacerlo Facebook en Europa?

    Curiosamente IAB, otra de las organizaciones que han elaborado la Guía sí que sigue en Facebook ¡¡incumpliendo la Ley!!

    Muchas gracias.

    Saludos.

  5. Hola,

    Muy interesante el post, pero, como haces para que no se instalen las cookies de la página ya cargada (analytics, publicidad…) antes de que el usuario acepte el consentimiento?

    Técnicamente es posible?

    Un saludo

    1. Hola Pablo.
      Este mismo blog (WP) necesitaría adaptación, ¿no?
      Por el hecho de poner ese enlace a la izquierda, sobre contratación de tu bufete. O me equivoco…

      Creo que WP sí que tiene plugin listo.
      Gracias.

  6. Hola, tengo un blog en blogspot y tengo google adsense y analytics, tengo puesta en política de privacidad un apartado donde explico con palabras lo de los cookies remitiendo a la página de analytics y de adsense, pero según explicas no basta con eso, sino que hay que habilitar una opción para que el usuario dé su consentimiento, pero creo que blogspot no da esa opción. Según comentas la ley no permite usar ninguna plataforma que no permita usar la ley, como es el caso parece ser de blogspot. Sólo gano un poco de dinero con publicidad de google adsense y no me puedo permitir un alojamiento con las características que mencionas. ¿Habría alguna solución para casos como el mío? Si sólo se gana dinero con publicidad hay que hacerlo?

    Muchas gracias por la entrada y por tu tiempo.

      1. Lo primero de todo, pido disculpas por entrometerme en esta mini conversación, pero creo que es el lugar idóneo para plantear mi pregunta.

        En mi caso, mi blog (alojado en Blogger, aunque con dominio personalizado) no tiene absolutamente nada de publicidad. Tampoco hay nada que me dé ingresos económicos de ningún tipo. Por no tener, ni tengo el típico botón de «donar».

        En mi caso concreto (coincidente con el de la gran mayoría de bloggers que usan Blogger como CMS), ¿hasta qué punto me puede acarrear problemas cargar cookies a las visitas, llegado el caso?

        Un saludo y gracias por este artículo.

  7. Si tenemos un negocio basado en la publicidad online y los usuarios pueden elegir rechazarla antes de acceder al contenido, ¿Es lógico que perdamos esos ingresos? ¿Es esto lo que pretende la legislación? ¿Es así como se potencia la industria tecnológica Española? Esta situación me parece kafkiana.

  8. Hola Pablo,

    Muy esclarecedor post. Me interesa saber qué sucede si se inicia un proyecto de carácter global (y que, por ende, incluye a España y a la Unión Europea, aunque no en un carácter exclusivo).

    Me contaba por ahí un amigo que si las cookies se consideraban cómo «de funcionamiento» entonces es necesario solo informar de su existencia, sin necesidad de pedir el permiso necesario. ¿Será tan así?

  9. Al final por este camino lo que se vera al inicio de una página web o un blog será un mensaje de aceptación de cookies, si lo aceptas te llevará al contenido y sino a una página en blanco, hasta q aceptes las cookies, pq casi todo el mundo q tiene publicidad es por intentar ganar algo por el trabajo q ha realizado.

  10. Y no sería más fácil que la gente tan paranoica se quite el sombrero de papel de plata y pinche donde en el navegador dice «no aceptar cookies»? De verdad vamos a tener que llegar al punto en el que cada vez que visitas una página nueva tienes que aceptar? Por qué tenemos que pagar la mayoría por unos pocos paranoicos por un problema inexistente, o que, como mínimo, tiene una solución sensata?

  11. Si yo soy una S.L española y sirvo contenido a usuarios en Mexico por ejemplo, tengo que andar con todo este tinglado o es solo para cuando sean usuarios dentro del territorio español?

  12. Entonces ¿hay que quitar la página de fans en Facebook? ¿hay que crear un blog a mano sin blogger o wordpress? ¿La intención es hacer menos competitivas a las pymes obligando a invertir mucho dinero en algo que hoy prácticamente se hace sin coste?
    Un motivo más para salirnos de ese chiringuito de burócratas hiperpagados.

  13. La LSSI está llegando a unos límites de estupidez jamás imaginables.Entiendo que una empresa que opera por internet deba legalizar todos estos puntos, no así un particular con un simple blog y unos cuantos euros al mes de adsense. Y en cuanto a lo de las cookies, las de analitics, adsense, y otras similares son totalmente inofensivas, ni revelan datos sensibles del usuario, ni creo que le importen al 99,9% de los internautas. Son ganas de fastidiarla la vida a la gente, porque sí.

  14. Muchas gracias por un post muy completo, Pablo. Aún así el titulo escogido es de una provocación desmesurada, porque dudo que las cookies de Google Analytics hayan tenido mucho que ver en este requerimiento.

    Por simplificar, coincido al 100% con Isidro (aquí arriba).Es decir: a) Es técnicamente imposible solicitar permiso antes de servir cookies (sin que dejen de cumplir su función en la página de entrada); y b) Las cookies analíticas de primera parte, no estando exentas, sí cuentan con un régimen más laxo de notificación y consentimiento.

    Con ello, es evidente que la web está sirviendo publicidad comportamental (hay cookies de DoubleClick) lo cual afecta directamente al objeto jurídico protegido. Y en este caso sí que debe mediar, como mínimo, información más accesible y exhaustiva. En su día publicamos una guía de cumplimiento aquí: http://www.divisadero.es/global-compliance , si bien necesitaría una puesta al día. Confiemos en que el futuro Reglamento ponga el sello en la excepción aplicable al uso estadístico y anónimo de las cookies que varios países aplican ya en la interpretación práctica de la Directiva.

    Saludos

    1. No es técnicamente imposible, tan solo basta crear un javascript que al hacer clic (y aceptar la política sobre las cookies) te active los plugins de terceros y sus cookies.

      Ademas, hay otro método no intrusivo para medir usuarios y visitas con GA, se trata de integrar en el portal un escript php que llama a una imagen gif en GA.

      https://developers.google.com/analytics/resources/concepts/gaConceptsTrackingOverview#gifRequestClassification

      Ya hay un escript que hace eso, pero no hay plugin para wordpress.

      Slds

      1. Hola Luigi, yo no veo técnicamente posible resolver esta situación: el usuario entra, y me quedo a la espera de que acepte las cookies para servir las huellas y las propias cookies. ¿Qué ocurre si no las acepta? Sigo esperando. el usuario cambia de página, aquí ya me puedo dar cuenta y utilizar un sistema menos intrusivo, pero ya he perdido los datos de esa primera página, habitualmente los más importantes: origen, campañas, etc. ¿Esperar un tiempo y lanzar el sistema poco intrusivo en la primera página? ¿Cuanto tiempo? Me puedo quedar sin datos y sin cookies si el usuario cambia de página antes. No veo solución.

        Un saludo,

      2. Y una mierda, si el navegador del cliente no tiene javascript o lo tiene desactivado se come la cookie como un campeón.

        1. Zumbaos, si el usuario tiene desactivado el javascript tampoco te funciona el analytics y los plugins sociales.

          Vithelo mira el nuevo «universal analytics» de Google, eso te va a solucionar el problema de las cookies.

  15. Me parece algo excesivo e imagino que la empresa sancionada ha sido alguna GRAN empresa y que quizás fue al limite de la legalidad,no?

    Pablo, ¿puedes confirmar al menos el rango de facturación de la empresa y de quien recibió la denuncia?¿Un cliente enfadado?

    Por otro lado, es como minimo irónico cuando la propia web del ministerio de Justicia no cumple esta ley http://www.mjusticia.gob.es

    PD: Este blog tampoco la cumple, no?

  16. Hola Pablo. Enhorabuena por tener el honor de ser el primero en enfrentarse a este asunto.

    Tenía serias dudas de que realmente llegase a producirse alguna denuncia al respecto, y me gustaría poder contextualizar esta denuncia (y más aún en las fechas en las que se produce). Imagino que debe tratarse de un supuesto de venganza contra la web por alguien del mundillo del derecho de las nuevas tecnologías (o asesorado por un especialista). ¿Podrías confirmarlo?

    Por otra parte… ya lo discutimos con anterioridad, pero sólo tú tienes la posibilidad de exponer el argumento ante la AEPD. En pleno respeto al principio de tipicidad, la AEPD no debería sancionar este asunto, pues el régimen sancionador de la LSSI todavía no ha sido actualizado, y no recoge la infracción por falta de consentimiento (sólo por falta de información)

    Sí, ya sé que en tu opinión, la palabra «antes» vinculada al deber de información (es decir, que la información debe ser previa a la instalación de las cookies) permite sancionar estas situaciones, pero para mí es un fallo garrafal del legislador que la AEPD no puede pasar por alto.

    En principio, bastaría con acreditar que las cookies se instalan medio segundo después de que se cargue el pop-up informativo para poder evadir el régimen sancionador de la LSSI.

    Probablemente, la AEPD no te compre el argumento, porque es parte interesada en que la ley anti cookies no se quede en el olvido… Pero en tu lugar, yo llevaría el asunto hasta la Audiencia, que es más objetiva para estos asuntos.

    En fin, espero con ansia el resultado del procedimiento.

  17. Acabo de llamar al Ministerio de Industria (el resto de webs de ministerios hacen lo mismo) preguntando si puedo hacer como ellos, guardar 5 cookies (una de session de asp.net y cuatro de analytics) y sacar un popup que no hace nada o si eso no es legal.
    Me han dicho que ya me diran algo…

    1. Buenas.
      Yo también estuve comprobando algo parecido. Pero ahora que le doy vueltas a la LSSI ¿se aplica a los organismos oficiales tales como los ministerios? Quiero decir, en ‘teoría’ no hay lucro en esas Webs y no son realmente prestadores de servicios de la Sociedad de la Información. ¿No?
      La verdad es que si ponen un «botón para aceptar cookies» debería ser realmente para eso y funcionar como dice el texto, pero como no estarían sujetos a la LSSI, daría igual aunque hagan ese paripé.
      ¿Me equivoco?

      Gracias.
      Saludos.

  18. Propongo comenzar una campaña masiva de denuncias a organismos oficiales que incumplen esta ley que lo único que implica es que tanto empresas como particulares tengamos que perder tiempo y dinero en adaptarnos a este tipo de estupideces burocráticas, las dos primeras webs que he mirado, DGT y Junta de Andalucía, no tienen el aviso y evidentemente meten cookies… si nos exigen cumplir a los particulares, que empiezen ellos dando ejemplo

    1. No se puede tener más razón Luis. Sería cuestión de que entre todos le hagamos ver a la administración que para exigir, primero a que dar ejemplo.

      1. Nada me haría más feliz que encontrar una cookie analítica en la web de la AEPD.
        Me da asco la soberbia y el interés con el que la AEPD esgrime el derecho a la intimidad de los usuarios sólo para poner multas.
        Una gotita más en el vaso (ya convertido en piscina) de la indignación.

  19. Que las cookies investigadas sean de las más empleadas, hace que sea cual sea la resolución de la AEPD (archivo en mi opinión o apercibimiento a lo sumo), se esté hablando de ello y buscando soluciones (el retardo) que sean sencillas, que no penalicen posicionamiento, etc.
    Parecía que con la guía de cookies de la AEPD, se daba el pistoletazo de salida para su cumplimiento (un año después de la entrada en vigor), pero según parece, la denuncia es ya del 2012, por tanto, veremos si hay más denuncias en curso.
    Mientras tanto, seguiremos analizando, atentos y expectantes.
    Gracias, un saludo

    1. El régimen sancionador de la LSSI no prevé el apercibimiento.
      El archivo sólo podría producirse si la AEPD estima el argumento de que la infracción asociada no exige el consentimiento para instalar las cookies.
      Yo creo que, teniendo en cuenta que todavía no se había publicado la guía, la AEPD dará un pequeño toque de atención de unos 1000 euros. Aunque si se llevase el tema ante la Audiencia, creo que habría más posibilidades de conseguir el archivo en aplicación del principio de tipicidad.
      Tiempo al tiempo.

  20. He sido responsable de protección de datos en una empresa y ya me parecían engorrosas e innecesarias algunas medidas, pero esto ya me parece el colmo de la exageración. ¿Qué sitio web no recoge cookies a través de terceros hoy en día? ¿Ahora les tengo que decir a todos mis clientes que me tienen que pedir una modificación de su web para cumplir la ley?
    ¿es que no sería mejor que la AEPD invirtiera en una campaña de información y cultura digital para que todo el mundo supiera configurar el navegador y protegerse?

  21. Hola Pablo,

    Gracias por tu post, muy interesante.

    Tras leerlo me surge una duda; en este mismo blog, se me han instalado varias cookies de GA.

    Citando tu artículo, dichas leyes se aplican a «páginas web profesionales». Dónde está la definición de «páginas web profesionales» para la aplicación de la ley?

    Gracias por tu tiempo.

  22. Hola. ¿esto se aplica a webs con dominio y hosting español o cualquier web accesible desde España, tipo facebook o twitter? porque acabo de probar con facebook y me mete 4 cookies sin pedir consentimiento ni nada.

  23. Dicha ley se aplica a cualquier página que instale cookies personales ya sea personal o profesional.

    Esta ley a día de hoy dudo mucho que la cumpla casi nadie ya que simplemente por entrar en una página con Analytics + otro sistema de seguimiento + Adsense + otro tipo de publicidad ya te van a instalar tropecientas cookies, que haces, no incluyes nada de eso hasta que el usuario acepte, técnicamente se complica por no decir que es la ruina y dejarías entrar a tu casa a auténticos desconocidos, por qué soy yo el que tiene que quitar todo eso, en mi sitio hay unas condiciones y si quieren usarlo tendrá que atenerse a ellas digo yo, existen opciones que el usuario puede utilizar para que su navegador no acepte cookies, que las use.

    Ejemplos:
    as.com -> Informa pero antes de aceptar o seguir ya te ha metido 11 cookies
    marca.com -> Informa pero antes de aceptar o seguir ha metido 12 cookies
    Esta misma página -> No informa y mete nada más entrar 6 cookies

    Con esto está dicho todo.

    Un saludo,
    Carlos

    1. Carlos, me parece que no a todas. Que solo aplica a las páginas profesionales o que implican lucro; a los prestadores de servicios (artículo 22.2 LSSI-CE)…que estén en España o que dirijan su actividad a España.

    1. Hola Luigi. Por cierto, ¿algo nuevo con respecto a Analytics en Noruega?

      La ultima modificación de su Política de Privacidad 24 de junio de 2013.
      ¡Esto es un no parar!

      Gracias.
      Saludos.

      1. Hola Ángel,

        que es eso de Noruega?

        no he leido su politicade privacidad, he instalado las nuevas analiticas que permiten quitar la descarga de cookies y hecho un pequeño desarrollo para generar una ID en la session de servidor.

        Efectivamente ya no hay cookies que se descargan, por lo tanto la ley se cumple.

        1. Hola Luigi.
          Me refiero al ultimátum sobre la prohibición del uso de Analitycs en Noruega. Tenían de plazo el 10 de septiembre de 2012 pero no supe al final qué paso. Ahora buscando buscando he encontrado un página (hay que traducirla del noruego) donde dicen que las aceptan finalmente.

          En cuanto a la variación de Analytics ¿te refieres a una versión nueva por la que NO se descargan cookies en el equipo del usuario?

          ¿Tiene que programar el WebMaster una ID en el servidor para hacer el trabajo que antes hacían las cookies?

          Interesante. Pero a lo mejor esta «Ley de cookies» con lo abstracta y genérica que es, resulta que también abarca «esa modalidad». Releyendo dice «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios», con lo que si no se graba nada en el equipo del usuario, valdría la opción que comentas, de momento.

          Por cierto, que los ministerios no sé si están obligados, pero había por ahí noticias de que las empresas del IBEX35 no cumplían con la Ley de Cookies.

          http://www.elconfidencial.com/mercados/indice/ibex35/

          He comprobado en INDITEX y BBVA y nada de nada…

          ¡Muchas gracias Luigi!
          Saludos.

          ENLACES a lo de NORUEGA.
          http://www.europapress.es/portaltic/internet/noticia-google-analytics-podria-desaparecer-noruega-20120821123552.html

          http://www.digi.no/911000/datatilsynet-godtar-google-analytics

          1. Si, el webmaster/developer tiene que generar una ID en el formado que ellos especifican en su guia. La ID tiene que ser almacenada en una session en el servidor de forma que el usuario tenga una identificación en Analytics para 30 (o lo que sea la session) minutos y no resulte como nuevo usuario cada vez que abre una página.

            Claramente, si se pasa a otra web no hay forma que se pase tambien la ID de la session (que es univoca del dominio en el que se ha generado), por lo cual se garantiza el anonimato del usuario.

            De nada Ángel,

            saludos,

    2. Te equivocas. La alerta de la que hablas, es sin duda, una forma que roza el ridículo. Si uso un Google Maps, con su API, se me generan más de 10 cookies. Lo del tracking sin cookies es de cara a la galeria, jaja, jajajaja… es que me da la risa.

      Si entras la portada de google.es, se generan automaticamente y sin preguntar 3 cookies.

      Que políticos mas inutiles tenemos en este país.

        1. Estoy buscando información sobre ello y no encuentro. He mirado el generador de Google Analytics… y no veo la opcion de crearlo sin cookies.

          ¿Me puedes pasar un link?…

          😀

          De todas formas… no cambia mucho el asunto. Todas las APIS de cualquier servicio, generan una burrada de cookies.

          😛

          1. Se trata de dar de alta a una nueva analítica, ellos la llaman «universal analytics», de todas formas escribiremos un articulo en http://www.ma-no.org porque hay pasos un poco complicados, ademas no hay plugin.

            Mira, en esta web ya lo tenemos funcionando:
            http://www.upbooking.com/

            ademas me haces un grande favor si lo testeas 😉

            Otro método ha sido instalar la librería php «php-ga», pero eso es para desarrolladores puros.

            Si, efectivamente las otras APIS no cumplen para nada. Así que tendremosque desarrollar algo para los plugins.

            1. Estas de broma?… esos links son pura basura. Google Analytics con PHP, yo soy programador «puro y duro», y gestionar Google Analytics para no usar Cookies mediante PHP es simplemente imposible. Basicamente por que el mayor atractivo de GA es el potencial que ofrecen sus cookies y su integración con el javascript.

              No se si estas de broma o no.

              Es que cuando alguien empieza con un «Así que tendremosque desarrollar algo para los plugins», es que no tiene ni idea del asunto.

              Plugins, como si programar fuese instalar un drupal o un wordpress. No me extrañan los comentarios, ahora lo entiendo todo.

              1. Mira, yo estaba dispuesto a explicarte cómo lo he hecho, a mi no me importa si tu me crees o no, pero yo he solucionado el problema y tu (y otros) estáis llorando y por encima me estáis tocando los huevos y tratando como una mierda, así que ahora os vais a buscar vosotros mismos la solución.

                Niñatos.

            2. luigi si el problema ya ni es que uses o no cookies en tu propia web. Como si quiers tener un simple HTML con 1 foto sin cookie alguna.

              ES que ya no puedes tener ni perfil en Facebook ni en ninguna otra plataforma que no cumpla la ley absurda ésta.

              » (..) La Ley de Cookies no permite usar plataformas que impiden cumplir la ley española.

              Si una empresa decide alojarse en WordPress, lo hace con todas las consecuencias. Igual sucede con Blogger, Facebook, Tumblr, etc. (…)»

              Te vas a matar pensando y programando (o contratando el que no sepa) y luego te la pueden meter igual.

              con leyes así las empresas, profesionales y blogueros volveremos a los años 90 . Más o menos en concordancia con el panorma.

  24. Buenas a todos,

    Sin duda alguna esto es una gran estupidez. Actualmente administro 7 webs con un gran trafico y pensar en que les salte un popup a los usuarios es simplemente una locura. A nivel de programación me parece tambien una gran locura.

    Seamos realistas. Siempre existira la configuracion «extraña» de algun usuario en que ese popup no aparezca y, por lo tanto, podra denunciarme por instalarle cookies?.

    Es que me parece tan ridiculo el asunto. Es el usuario el que entra en mi web. Es el usuario el que tiene activado los cookies en su navegador.

    Actualmente me quedaria corto si digo que el 99% de las webs incumplen la ley. De hecho Google se lleva la palma. Es que es tan ridículo este asunto.

    Y si uso iframe?, jaja… es que esto es unas risas. Es muy evidente que quien ha hecho estas leyes no ha programado en su vida, o por lo menos programado webs de verdad con trafico real.

    Para colmo. Existen infinidad de webs, practicamente la mayoria, que al ver una imagen tambien se generan cookies. ¿como lo hariamos con las imagenes?… jajaja… es que se me ocurren mil formas donde sea imposible mostrar un aviso.

    Para empezar, la mayoria de las webs del Govierno incumple la ley, lo acabo de comprobar, probar cualquier ministerio.

    Este tema es tan ridiculo. Pero ahora que tengo que hacer yo con 7 webs programadas en diferentes plataformas… perder 300 horas para que a los visitantes les salte la alerta?.

    Esto es una locura. Me parecen raros los comentarios, no veo a los programadores quejandose. Esto es una tomadura de pelo.

    Que importancia le dan a los cookies los que no saben, de verdad, programar. Existen muchas formas mucho mejores de hacer una web donde controlar al usuario. De urls con valores encriptados, almacenar la configuracion del navegador (unica), guardar su IP o incluso fingir una navegacion con iframe. Imaginad usar todas esas tecnicas a la vez… y los cookies pareceran poca cosa.

    Es tan ridiculo este tema. Pero que pensar cuando los ministron llevan iPads… la herramienta de trabajo mas estupida, ya les veo a todos tomando notas con los deditos. Cuando no se sabe, no se sabe. Inutiles.

    Como reciba una denuncia por esta inutilidad que debo hacer?… cerrar la empresa… despedir a la gente… y todo por que un imbecil no supo deshabilitar los cookies?… y lo mejor de todo… que iba hacer yo con esos cookies?… localizar su hogar para ir a violar a sus hijos… es que es tan surrealista el asunto.

    Para colmo, informo a la gente. Actualmente se pueden almacenar hasta bases de datos dentro de los navegadores. Se me ha venido a la cabeza de «golpe». Ain ain… tanto HTML5… eso si… con POPUPs que te alerten que usamos COOKIES. Lo siguiente ya lo veo. 10 popups que te alerten de que usas mil cosas… ahora vamos a ser los programadores los nuevos brujos.

    Me disculpo por las faltas de ortografia y el enfado. Realmente esto no tiene sentido. Como la web del Congreso… que ha costado: 13.946.533, si 13 millones de Euros. Esa es la misma gente que crea estas leyes. Para mas inri… la web no cumple ningun estandar, esta mal programada y tiene miles de errores reales, que no los cometeria ningun estudiante de primer curso.

    Uf me estoy volviendo a enfarme. Pero si tengo que regular el consumo de drogas… le preguntare al medico, no al drogadicto. Que asco de pais.

    1. Estoy contigo. De veras, no sé que he hecho en otras vidas, pero no creo haber sido tan malo como para merecer un gobierno tan inepto como este, el anterior y los que vendrán. De veras, no puedo haber sido tan malo.

      Las cookies no son una amenaza, es tan obvio que duele tener que ponerlo negro sobre blanco; es el equivalente técnico a la memoria de un humano; es un simple almacenamiento de algo a lo que el ususrio ya ha dado consentimiento activo y pasivo. Es un hecho posterior a una acción libremente decidida por el usuario. Pero es que además, es el usuario el que entra a mi sitio, un lugar privado, un domicilio…. así que debería ser él el que cumpla con la normativa que rige en él.

      Por otra parte, dudo mucho que un usuario que no sepa desactivar cookies en su navegador gratuito con información abundante sobre el tema en la red… sepa realmente que se le está explicando en un mensaje «no cookies» estándar. De veras, dudo mucho que de avisarle de algo que desconoce mejore su seguridad, privacidad, calidad de vida o tono de piel. Es tan solo una surrealista norma más. Otra más, de las más absurdas.

      Si, los webmasters tenemos la culpa. En un entorno en el que somos pilares imprescindibles de la (nueva) economía, no tenemos un lobby profesional que ponga firmes a esta caterva de ineptos con cargo y salario público.

      Y deberíamos ir pensando en construirlo, a menos que nos gusten «las caenas».

      1. 100% de acuerdo a la crítica a esta absurda norma. Pero no te mortifiques. Los abogados soportamos infinidad de malas normas y somos los primeros en denunciarlo y quejarnos, pero es inutil. Detrás de muchas normas o hay intereses ocultos, o favorecer privilegios o encubrir un problema con una ley inapicable o intereses recaudatorios como me huelo en este caso. En encontrado un filón y esperemos que no lo utilicen. El otro día leí que piden examen para ser musico callejero en Madrid, o en Granada hace falta licencia para ser mimo. Lo próximo oposiciones a mendigo o licencia y autorización previa y expresa con verificación de la Administación para fornicar

  25. Me parece un despropósito total. Y 100% de acuerdo con el comentario de Mario que dice:

    «¿es que no sería mejor que la AEPD invirtiera en una campaña de información y cultura digital para que todo el mundo supiera configurar el navegador y protegerse?»

    Además, cuantas webs están cumpliendo 100% la normativa? 2, 3 o 4? No ven que eso equivale a desguisado? Porque salvo las webs que nombráis por este artículo o en el otro, no he visto muchas más. Hace tiempo que vengo revisando webs por el tema este de las cookies y un 90% de las que he visto instalan cookies + banner informativo. Y no me refiereo a cookies técnicas. Incluso propias webs que deben asesorarte para cumplir la ley (vaya guasa).

    1.000€ de sanción para una multinacional no será mucho, pero a cualquier autoónomo o microempresa nos vienen con esta soplap*llez y tenemos que cerrar el chiringuito y/o ese mes ni comemos ni pagamos la luz ni ná.

    Por cierto: si una empresa o profesional tiene perfil en twitter y google+ ¿también debe solicitar permiso antes de que el usuario entre ahi? que me explique alguien como controlar eso….

      1. Como vayan de papistas les va a faltar papel para sancionarnos a todos/as.

        A mi me da que a fecha de hoy esta ley no lo está cumpliendo al 100% ni el tato, si hilamos fino.

        Lo que no termino de entender es lo de los perfiles en Redes Sociales. Siguiendo el ejemplo de Abanlex, que cumple con la norma, veo que ellos sí tienen perfiles en Facebook, Twitter y demás. Por lo que si entro en ese perfil se instalan respectivas cookies sin consentimiento previo….

    1. Este blog es personal, no está afecto a ninguna actividad económica y por aplicación del art. 2 de la LSSI, no está obligado a informar de nada. Por eso no tiene aviso legal y puedo instalar con él las cookies que quiera.

      1. Según la guía que has puesto http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf sí afecta aunque seas particular y la web no sea profesional:

        aplica a cualesquiera “dispositivos de almacenamiento y recuperación
        de datos” en cualesquiera “equipos terminales de los destinatarios” y que el
        Anexo de la citada LSSI define como “Destinatario del servicio o destinatario” a la
        “persona física o jurídica que utiliza, sea o no por motivos profesionales, un
        servicio de la sociedad de la información”.

        1. Sí, claro, Jesús.
          Aquí he hablado de cookies, igual que hablé de cómo solucionar un error de WordPress o de cómo mejorar su código, me inventé una clasificación de redes sociales y comento alguna cosiña que encuentro. Lo hago porque quiero, en mis ratos libres; no cobro nada, no pido que se me contrate e incluso aliento a la gente a que recomiende los servicios informáticos y de abogados que quieran (en este post lo hago de forma bien clara). Naturalmente, hablo de lo que me apasiona, el Derecho, demostrando qué trato de aprender más sobre el tema cada día. Más personal que un blog personal en el que un día me da por hablar de mi ordenador y otro sobre ringtons con olores

          1. Buenas tardes.

            Pero Pablo, sobre todo este es un blog de Derecho, como su cabecera-título indica. Además se refuerza la idea de alguna forma de «lucro/promo profesional» al poner (a la derecha arriba, no a la izquierda como decía) una forma de «enlace» a tu bufete Abanlex (‘solicita presupuesto’).

            Y por otro lado pienso que las webs del Ministerio sí que quedarían fuera de la LSSI. Intentan hacer un ‘simulacro’ de cumplimiento y lo hacen mal, pero no tienen obligación de cumplir con la LSSI y su apartado de cookies.

            Muchas gracias.

            Saludos.

          2. En todo caso Abanlex en Facebook no cumpliría, pero lo mismo que IAB, Autocontrol y Adigital…La AEPD por lo menos se marchó de Facebook y en su Web ya no instala ninguna.

            Saludos.

        2. Coincido 100% con Jesús. Siendo honestos, tu blog está muy vinculado a tu actividad profesional, te presentas con tu perfil profesional, ¡e indicas incluso cómo pedir un presupuesto!
          Y ya por fastidiar, Pablo, la web de Abanlex me ha instalado 5 cookies sin que haya consentido previamente…. y entiendo que la de GetSatisfaction no es una cookie exceptuada.

          1. Un blog personal es lo que tiene: Hablo de mi persona en mi blog, escribo de lo que me apetece y digo dónde trabajo, qué series me enganchan, pongo mis fotos y anoto las películas que me quedan por ver. Pero no acepto que nadie me contrate por aquí, por lo que dirijo a la gente a mi despacho, si es que quiere algo.

            Lo de las cookies… serán técnicas, de grabación de consentimiento o arrastradas de otras sesiones. Cookies diferentes, en nuestra web principal, no se instalan, a menos que lo consientas informadamente.

            En páginas secundarias se instalan todas las que el prestador quiera. Hemos seleccionado prestadores confiables. GetSatisfaction, aunque el servicio es confiable, no volverá a instalar cookies; cerramos nuestra página allí porque no la usamos. Este cierre lo he hecho gracias a esta nota de atención en tu comentario.

        3. Bueno… yo creo que nos la estamos cogiendo un poco con papel de fumar.
          Deshaciendo el camino y acudiendo al literal de la norma (muy importante en derecho administrativo), es cierto que la simple información se puede considerar como un servicio de la sociedad de la información, pero siempre que normalmente se preste a título oneroso o constituya una actividad económica para el prestador.
          No conozco ningún blog de pago, por lo que no es una actividad que se preste normalmente a título oneroso.
          Tampoco veo que Pablo tenga publicidad salvo algún detalle de su propio despacho.
          ¿Puede reportarle algún beneficio (económico) a Pablo el mantenimiento de este blog? Pues en mi opinión, es discutible… porque el beneficio se lo reportaría a Abanlex, que es un prestador de servicios diferente.
          En todo caso, yo no conozco ningún blog personal ni profesional al que se le haya aplicado la LSSI.
          No sé si alguno de vosotros tiene referencias de las campañas recaudatorias autonómicas por falta de aviso legal.
          Pero vamos, en este caso, por muy fundamentalista que sea la AEPD, no creo que se atreviese a aplicarle a este blog la LSSI.

  26. Estos se fuman hierbas raras por las noches y luego por el día se dedican a escribir leyes ;-). No saben como dar por el culo a la industria de Internet en España, que ya de por si es una mierda, pues a dar pol culo a ver si no se le ocurre ni a Dios montar nada no vaya a ser que por ganar 200 euros te caiga una multa de 30000 euros. Cuidado no se le ocurra ni a Dios intentar hacer algo que aquí estamos pa meterle un puro que se caga y sino a dejarse los 200 euros y unos cuantos más en vueltas de abogados para un lado y para otro pa no hacer nada y quedar sin un duro.

    1. La del pp y la de todos los partidos politicos, instituciones y administración pero ya se escriben las leyes para que no se las puedan aplicar a ellos sino solo a las empresas.

  27. Pero vamos a ver… ¿Acaso el usuario no tiene la mínima obligación de conocer cómo funciona el navegador que utiliza? Si un usuario no quiere cookies, que las restrinja en el navegador. Instalar estos popups de autorización reducen el rendimiento de la web, y para lo único que sirven es para «asustar» a los que no tienen ni idea.

  28. Y yo pregunto ¿esto dónde se puede denunciar y cuanto cuesta el trámite? Lo digo porque no me supone un problema saturarlos de denuncias, con un script sencillito tengo para mandarles 1000 denuncias al día hasta que me aburra.

  29. Tengo una pagina web que cobra por servicios. Y tengo puesto un pop-up para avisar de las cookies. Aun no lo he comprobado, pero casi seguro que incumple la ley.
    Estoy pensando en abrir una empresa para el negocio web (la pagina web) con sede en Inglaterra (ver el blog de desencadenado.org para saber mas detalles).
    Si pongo la web a nombre de la empresa,
    me afectaria esta ley estupida, limitante e inutil? (de verdad, cuando aprenderemos en este pais a no poner trabas al progreso y al crecimiento tecnologico… me cambiaba de pais YA).

    Mil gracias por el articulo, es buenisimo.

    1. Hola Joaquín.
      Si diriges tu actividad a España aunque tengas los servidores en Inglaterra, creo que la LSSI-CE se aplica a tu caso y por tanto no puedes olvidar la Ley de cookies. Además creo que todo esto viene de Europa y al final vamos a tener sistemas parecidos en toda la Unión.

      Saludos.

      1. Me gustaría saber si «creo que» significa «no tengo ni idea, pregúntale a otro» o «sólo te daré esta información si me contratas y pagas».

        Menudo negociete se está gestando detrás de esta ley ¿no?

        1. Eso es, Doro, se trata de lo segundo 😉

          Ahora en serio. Lo del «creo» lo digo porque no soy abogado (más bien programador que va a tener que sufrir con todo esto como otros muchos) y simplemente afirmo lo que suele ser la normal general (hablando de memoria). Las leyes están llenas de excepciones y cada caso debe estudiar sus propias características y particularidades.

          Entonces mi respuesta solo quería ayudar y orientar, pero no sentenciar sin tener además todos los detalles. Por eso digo «creo» y no me pongo a enumerar artículos concretos de la Ley.

          Pero bueno, tomo nota para la próxima, mejor que hablen los abogados que llevar a alguien a error o confusión.

          Sí, Doro, es mejor participar en estos sitios con respuestas tan constructivas como las tuyas.

          Gracias.

          Saludos.

          1. Yo tampoco soy abogado, ni lo quiero ser.

            Yo soy diseñador web y también es el pan mio de cada día. Entre certificados, asesoramientos, permisos, gestores y demás farándulas, me estoy volviendo loco. En las reuniones con clientes paso más tiempo explicando asuntos legales de este tipo que del trabajo que me han encargado, recibo más llamadas con dudas sobre legislación que sobre los trabajos en sí.

            El 29 de agosto, El Periódico publicaba un artículo que da miedo. Sobre todo sabiendo la cantidad de tarados que hay en el mundo dispuestos a lo que sea con tal de sacarle dinero al vecino.

            Una sociedad hipertecnológica se convierte en una patología cuando el usuario la utiliza sin comprender su funcionamiento ni su utilidad. Que yo sepa, hay cookies que son _imprescindibles_ para la navegación, las cookies siempre han existido, nunca nadie se ha quejado de ellas y los legisladores tampoco. Todo internauta debería estar obligado a conocer el asunto a estas alturas para no ser considerado un analfabeto.

            Pienso que se está sobrepasando la línea del surrealismo con tanta legislación y que quienes deben informar sobre el asunto al ciudadano (si es que es necesario) están escurriendo el bulto.

            1. Creo que todo se reduce a si puedes pagar la multa o no. O si puedes pagar un abogado. Esto le pregunté en otro post arriba y sin respuesta. Además creo que la ley deja claro que si el usuario no bloquea sus cookies, aunque se la metas antes de aceptar, no debería ser delito.
              Así hace Google, YouTube, etc.
              Si quieres estar en los buscadores y que te encuentren, imposible estar sin cookies. Pero el usuario si puede bloquearlas. Y me extraña que esta ley nazca de las denuncias de los usuarios a la comisión. Siempre echando balones fuera.
              Y quien paga, el que diseña o la empresa de la página ???

      2. Por supuesto, en ningún momento estoy diciendo que el artículo sea malo, más bien todo lo contrario. Lo que pasa es que el mundo legal utiliza el léxico español de manera MUY opaca cuando le interesa y, habitualmente, para ejercer políticas coercitivas y «de miedo».

      3. Teóricamente una página web va dirigida a la «Aldea Global» y será accesible desde todos los países (todos sabemos que la realidad no es ésa, pero no viene a cuento). Es de suponer que la ley, entonces, debería afectar a todos los países antes o después ¿no crees?

    1. si es una página personal sin adsense, afiliados, etc. no te afecta. Pero en el momento que tengas adsense, afiliados o cualquier cosa para monetizar tu blog sí te afectaría

  30. Muchas gracias por el artículo! Es un tema muy importante como para dejarlo pasar… Gracias por todas las explicaciones! 😉

  31. ¿Y cómo hago para retardar la carga de Google Analytics y Zopim? No voy a poner una landing page entera sin cookies y que tengan que darle a Acepto para entrar a la web normal… acepta negativamente al SEO y a la experiencia web del usuario… y si solo pongo un aviso, es que en cuanto cargue la web ya sale Zopim y Google Analytics…

      1. ¿Y si el usuario tiene javascript deshabilitado? ¿Harán entonces una ley que obligue a tenerlo habilitado? Lo dicho, surrealismo …

  32. Estas leyes no las debería hacer cada país por su cuenta, y deberían de ser los usuarios paranoicos los q se preocupen por tener navegadores y configuraciones anti cookies,

  33. Una cosa. Entiendo que si eres una empresa que diriges tu actividad comercial a España, te afecte la ley. Sin embargo, a las malas, en el caso de un blog monetizado con Adsense, que no tiene actividad comercial focalizada en ningún pais, bastaría con sacar la web de servidores españoles, y ponerla en USA, por ejemplo. Estaría exento de cumplir esta ley sin sentido.

  34. No entiendo para nada esta ley. Ganas de fastidiar, la verdad.
    ¿Qué hago con mi blog? ¿Lo cierro por estupidez legislativa española?

  35. En el punto 3 expones varios ejemplos de casos que NO cumplen la nueva norma, algunos de ellos ponen «Si continuas navegando aceptas»…

    En cambio en el punto 4 dices que no es necesario pulsar un botón,
    (Un aviso visible le informa de que si continúa navegando se le instalarán cookies, con un enlace a un lugar donde puede encontrar más información.
    -> El usuario continúa navegando. -> Se le instalan cookies)

    En qué quedamos, vale con ese mensaje entonces? Agradecería una explicación más clara

    1. El mensaje debe estar siempre porque hay una obligación de información. La cuestión es que deben instalarse las cookies una vez que el usuario acepta o sigue navegando por la web. No instalarlas y luego poner el mensaje.

  36. alguien se imagina que todas las empresas de españa cerrasen sus páginas de facebook porque no pueden cumplir la ley?

    permitiria facebook que esto pasase?

    quién culparía a quién?

    sería divertido obligar a todo el mundo a cumplir estas cosas que no puede cumplir

    1. Divertido? Manda narices cómo se habla a la ligera de una norma tan dañina y detructiva como ésta para la economía, las empresas y los consumidores. Y encima se supone que por expertos en Internet. Seguro que sería muy divertido ver privadas a las empresas de un medio de publicidad y relación con el cliente gratis, fácil y directo, muy divertido la desventaja competitiva frente a empresas extranjeras en el mercado global (produciendose ya por el molesto pop-up), o muy divertido para los clientes que se ven privados de información directa, amistosa y gratuita sobre sus marcas preferidas o divertida para una de las pocas profesiones creadas recientemente, los community manager, que se verían abocados al paro. Muy divertido todo sí. Cada vez que el estado interviene y regula aún más en nuestra economía hiperregulada e intervenida supone un agravante mayor de la crisis y un freno cada vez más fuerte en su recuperación. Muy divertido todo. Así nos va…

  37. Bien, y como eres capaz de cumplir tu con la ley esta.
    Porque tu Blog Utiliza Cookies, no?
    Al menos eso es lo que me sale en mi navegador. No pienses mal, es para saber como haces y hacer lo mismo. No creo que nadie quiera tener problemas de este tipo. Yo estoy preocupado por este tema, ya que afecta a los que trabajamos de en desarrollo web. Ahora mismo tengo un sitio despublicado.

  38. Buenas tardes.
    Como ya se ha comentado, lo que me parece realmente preocupante es que hay miles de páginas de empresas en Facebook incumpliendo la Ley o en una especie de limbo…esperando algo: ¿cambios en la Ley o sanción?

    ¿No hay al menos una nota de alguna de las entidades que hicieron la Guía?
    Es que además la mayoría de ellas siguen en Facebook.

    ¿Quiere decir esto que realmente la Ley de cookies en Facebook no cuenta?
    ¿O es que estas entidades no necesitan cumplirla (como las Administraciones)?

    Pablo, ¿qué haréis con la página de Abanlex en Facebook? ¿Os marcharéis como la AEPD?

    Gracias.

    Saludos.

      1. Bien, pero seguimos igual, primero te mete la cookie y después tu respondes. Estamos en mi caso más perdidos que otra cosa.
        Y es que no hay nadie que no utilice las cookies.
        Saludos

  39. Nuevo Régimen Legal de uso de Cookies:

    Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos (entre ellos las cookies) en los equipos de los destinatarios del servicio.
    Previamente, los prestadores de servicios tendrán que haber facilitado información clara y completa sobre el uso de estos dispositivos.
    Dicha información deberá incluir las finalidades del tratamiento de los datos obtenidos.
    Una vez facilitada esta información, el usuario deberá dar su consentimiento.
    Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
    Para que este procedimiento sea válido, el usuario deberá proceder a la configuración de estos parámetros, permitiendo la entrada de cookies, en el momento de la instalación o actualización del navegador mediante una acción expresa a tal efecto.
    Este nuevo régimen no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas.
    Tampoco impedirá, en la medida que resulte estrictamente necesario, el posible almacenamiento o acceso para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Comments are closed.

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad