Aviso de cookies (fijado en la cabecera debido a que algunos navegadores y extensiones ahora ocultan los banners): Al navegar por este sitio web, tus datos de conexión (IP) y navegación (URL) son obtenidos y mantenidos durante un máximo de 90 días exclusivamente para mantener la seguridad del sitio web a través de los servicios de cortafuegos y antivirus de Defiant Inc, prestador de servicios ubicado en EE.UU. con el que Pablo (responsable) mantiene un contrato de encargado del tratamiento. Puedes oponerte o ejercitar otros derechos, así como obtener más información consultando el aviso de cookies.
El contenido de este sitio web está basado en normas de España, salvo indicación expresa en contrario.

Sanción por instalar cookies de Google Analytics (y otras)

Procedimiento sancionador por incumplir la normativa de cookies
Procedimiento sancionador abierto por incumplir la normativa de cookies

AVISO: Sanciones ya impuestas: 3.000€ y 500€.

La Ley de Cookies sí se aplica.

Seré breve, en el sentido «letrado».

La AEPD acaba de notificar a Santiago A. J., mi cliente, que se inicia un procedimiento sancionador contra una empresa que no cumple la Ley de Cookies (disculpad que no ponga los datos identificativos reales). La sanción por el incumplimiento leve (art. 38.4.g LSSI) de la Ley de Cookies (art. 22.2 LSSI) es de hasta 30.000 (art 39.1.c LSSI). La sanción podría ser de hasta 150.000€ (art. 39.b LSSI) si el incumplimiento fuera significativo (art. 38.3.i LSSI), pero no es el caso.

Recuerda que los titulares de páginas web profesionales ahora tienen que impedir que se instalen chivatos (o cookies) en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informado para ello: Cómo cumplir la Ley de Cookies.

La sanción, si finalmente la hay, recaerá sobre una empresa que instalaba cookies antes de obtener el consentimiento informado del usuario.

Las cookies investigadas son las siguientes:

  • Google Analytics: Permite analizar el tráfico de la web. Cookies: __utma, __utmb, __utmc, __utmz
  • Google Maps: Permite insertar un mapa en la web. Cookies: NID, PREF, SNID, Khcookie
  • Google YouTube: Permite insertar vídeos en la web. Cookies: PREF, VISITOR_INFO1_LIVE, use_hitbox, YSC
  • Google Adsense: Permite mostrar publicidad en la web. Cookie: PREF
  • Google: Flash cookies o Local share objects asociada a Ytimg; id, asociada a Doubleclick
  • WordPress: Permite analizar el tráfico de la web. Cookie: __qca
  • Otras detectadas: Seevolution (svlu), Zopim (_zlcid y __cfduid); Magento (fronted y petlab)

Son cookies prácticas y sencillas de servicios que prácticamente todas las web profesionales tienen.

Estas cookies pueden bloquearse de forma sencilla, como hemos hecho en Abanlex: prescindimos de la cookie de WP deshabilitando las estadísticas de JetPack; la de YouTube no la necesitamos, por lo que marcamos la opción de «mejorar la privacidad» para no instalar la cookie; y bloqueamos la de Analytics con un complemento.

Ante la duda de si las cookies de Google Analytics están o no incluidas en la prohibición, la respuesta es… sí. Están incluidas. Así lo indica claramente tanto la Directiva como el RD-l, también la LSSI, el GTA29 ayuda en esta interpretación y esta resolución de la AEPD lo re-re-reconfirma.

Las cookies de Google Analytics pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.
Las cookies de Google Analytics (__utmX) pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.

Lo que tenemos, por ahora, es solo un inicio del procedimiento sancionador dictado por el Director de la AEPD (art. 127 RLOPD). La AEPD ha ofrecido al denunciado la posibilidad de presentar alegaciones o de reconocer su responsabilidad.

Fácticos son, por ahora, los cuatro siguientes:

  1. La web del denunciado informaba sobre el hecho de que usa cookies: «Utilizamos cookies…» mediante un aviso no accesible desde todas las páginas.
  2. En septiembre de 2012: El denunciante presenta la denuncia.
  3. En enero de 2013, el denunciado aumenta el contenido de su aviso informativo: Sigue confirmando que las cookies ya se han instalado en el dispositivo del usuario y que si este no las quiere debe configurar su navegador, independientemente de cuál sea, para que las bloquee.
  4. En julio de 2013 la AEPD inicia el procedimiento sancionador.

La AEPD ha realizado tres pruebas en diferentes momentos:

  1. Google Chrome en el equipo del Subinspector.
  2. IE8 y Google Chrome en el equipo del Subinspector.
  3. Mozilla Firefox portable v.21 con Firebug v1.11.3 instalado.

Destaco el detalle de que la AEPD haya usado Firebug, además de haber auditado con varios navegadores. En mi caso, uso bastante Safari y Ópera, como la mayoría de los iPhoneros, no obstante, considero acertada la elección de la AEPD. Esta elección nos muestra algo más: los bloqueos de cookies por navegador deben tener en cuenta que hay multitud de navegadores (Konqueror, Arora, Flock, Camino), de versiones y de configuraciones. También destaco que en este caso han sido cookies los «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» (art. 22.2 LSSI) estudiados, pero podrán ser otros en casos diferentes, como las etiquetas ETag o Píxel y ciertas librerías, con especial atención a las apps y los videojuegos.

La AEPD, asimismo, encargó la elaboración de una Guía sobre el uso de las cookies. Su plazo de solicitud y publicación coincide con el plazo del análisis del caso, por lo que parece indicar que o el caso se ha reconvertido en guía, o ésta ha ayudado a solucionar el caso. El contenido de la guía es sencillo y supongo que orientará a algunos.

Cuando se resuelva el caso, publicaré el resultado en este artículo y en @Pablofb

A continuación, explicaré algunos aspectos esenciales sobre el asunto de las cookies, adicionales a los que ya indiqué en mi post anterior. En los comentarios pueden plantearse dudas, si las hay.

1. ¿Si pongo un pop-up en mi web me libro de la sanción?

[Actualización: 11/9/2013]

Es falso que la Ley de Cookies se cumpla poniendo un pop-up.

La vigente Ley de Cookies obliga a informar correctamente; es decir, obliga a informar de manera clara, completa y previa a la instalación de cookies, de forma que se pueda obtener el consentimiento informado del usuario. Lo explico más en detalle en la pregunta 13 (más abajo). Si con tu pop-up cumples la obligación, te librarás la sanción; pero si solo informas después de haber instalado cookies, la información no será la correcta porque carecerá de uno de los requisitos: que sea previa.

El consentimiento informado es el que se otorga después de haber recibido la información sobre las cookies, que debe ser clara, completa y previa al consentimiento necesario para poder instalar las cookies (lo subrayado es lo que añade la nueva norma). La sanción, si la hay, será por no informar válidamente. No informar válidamente antes de la instalación implica que no se pueda obtener el consentimiento informado.

En el caso objeto de estudio, el denunciado ofrecía información confusa e incompleta por medio de un aviso legal, que no era accesible desde alguna de sus páginas. Posteriormente puso un pop-up con el que informa mejor. No obstante, a día de hoy sigue instalando las cookies sin obtener el consentimiento previo del usuario. Si la AEPD consiente este pop-up como medio de información válido, con el que simplemente se informa de que se han instalado cookies, significará que podrá incumplirse la ley sin consecuencias, ya que no será necesario obtener el consentimiento previo exigido por la ley.

2. Muchas páginas avisan con un pop-up de que han instalado cookies. ¿Incumplen la ley?

La mayoría de ellas incumple la ley.

Desde que se publicó la Guía sobre el uso de las cookies, Internet está sufriendo una epidemia de avisos inútiles sobre el uso de cookies.

Hasta el 31 de marzo de 2012 se podía informar sobre el uso de cookies mediante un pop-up.

Artículo 22.2 LSSI párrafo 1º [DEROGADO] «Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito».

Pero desde el 1 de abril de 2012 se piden dos cosas: 1º información + 2º consentimiento = instalación

Artículo 22.2 párrafo 1º LSSI [VIGENTE]: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal».

Préstese atención a las palabras «a condición de» y «después«. No se pueden instalar cookies antes; se pueden instalar después. [Actualización: 10/9/2013] Y préstese atención a la conjugación del verbo dar: «hayan dado»; un pretérito perfecto que expresa una acción realizada en el pasado y que perdura en el presente.

En conclusión:

  • El párrafo derogado se cumplía mostrando un pop-up informativo o un aviso legal con la información siguiente (más lo correspondiente a LOPD): «Al utilizar nuestra web, aceptas el uso que hacemos de las cookies de XXXXXXX, que sirven para XXXXXX. Puedes configurar tu navegador para rechazarlas o usar el servicio de rechazo de cookies de la web XXXXXXXXX».
  • El párrafo vigente se cumple obteniendo el consentimiento informado del usuario antes de instalarle cookies. O, lo que es lo mismo, la instalación de cookies debe hacerse después de haber obtenido el consentimiento del usuario.

La decisión de la AEPD, cuando la tengamos, desvelará si la palabra «después» del artículo 22.2 LSSI debe interpretarse como «después»… o como «antes». ¿Baladí?

3. ¿Puedo confiar en que el usuario haya configurado correctamente su navegador?

Ahora no.

Pero en un futuro cercano sí podrás confiar en la configuración del navegador:

Artículo 22.2 párrafo 2º LSSI [VIGENTE]: «Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.».

Este párrafo se interpreta de la siguiente forma: En general, no es técnicamente posible y eficaz; pero cuando sí lo sea (o para quien así lo logre), los sitios web podrán diferenciar navegadores e instalar cookies a unos, pedir consentimiento a otros y no molestar con avisos ni cookies al resto. Es decir, a un usuario que acceda a la web usando un navegador antiguo no podrás instalarle cookies a menos que te dé su consentimiento informado, pero a un usuario que haya configurado su navegador para aceptar un tipo concreto de cookies (por ejemplo: analíticas sí; publicitarias no) podrás instalárselas sin necesidad de informarle previamente y deberás conseguir su consentimiento informado antes de instalarle otras. Para usar este método, la página tiene que lograr diferenciar configuraciones y actuar con cada una según proceda.

En consecuencia, son incompletos y contrarios a la ley actual (pero correctos conforme indicaba la norma derogada) los avisos que indican lo siguiente:

avisos de cookies
Las webs que muestran estos avisos cumplen la norma derogada, que solo pedía informar y explicar cómo cambiar la configuración, con una nota en forma de pop-up o en el aviso legal. Sin embargo, incumplen la Ley de Cookies actual: ahora se pide obtener su consentimiento informado antes de instalar.
Solución: Deben permitir al usuario abandonar la web antes de que se intalen las cookies en su ordenador o permitirle decidir sobre su instalación.

4. ¿Hace falta que el usuario pulse un botón de «Acepto la instalación de cookies«?

No.

El consentimiento puede ser tácito; es decir, puede estar unido a alguna acción del usuario.

El proceso puede ser el siguiente:

  1. El usuario accede a la página.
  2. Un aviso visible le informa de que si continúa navegando se le instalarán cookies, con un enlace a un lugar donde puede encontrar más información.
  3. El usuario continúa navegando.
  4. Se le instalan cookies.

Por tanto, se necesitan dos acciones para, en su caso, permitir una consecuencia:

  • Primero –> Información: El usuario ha de obtener información clara y completa sobre las cookies que se van a instalar en su ordenador.
  • Segundo –> Consentimiento: Después de haber recibido la información, el usuario, si quiere, puede decidir aceptar las cookies. Hay que dar la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies. Esta es la novedad de la ley.
  • Tercero –> Instalación: Después de que el usuario haya consentido la instalación de las cookies, se le podrán instalar, pero no antes.
Información importante sobre cookies
Este aviso podría ser correcto, si funcionase. A día de hoy, el botón de «Aceptar cookies» no funciona, más que para cerra el aviso. Se puede comprobar fácilmente cómo el Ministerio de Industria, Energía y Turismo cumple con así la norma derogada que se muestra aún en una de sus páginas: Obligaciones cookies (derogado). [Actualización 3/9/2013] Nota: Las Administraciones Públicas no tienen que cumplir la Ley de Cookies, salvo que voluntariamente asuman esta obligación.

5. ¿Dónde debe estar ese aviso sobre cookies?

En una zona visible de la web, sin necesidad de hacer scroll.

6 ¿En qué idioma debe estar el aviso de cookies?

Debe estar en castellano y, adicionalmente, puede estarlo en otros idiomas.

Excepciones:

  • Puede estar en vascuence o en castellano, indistintamente, si el sitio web únicamente puede ser visualizado en el País Vasco (a menos que una norma autonómica obligue a usar siempre el vascuence en estos casos). Lo mismo sucede con los idiomas gallego y catalán.
  • Los responsables de sitios web a los que no les afecte esta norma pueden, si quieren poner el aviso, usar el idioma que su normativa les permita.

7. ¿Cómo debe ser el aviso de cookies?

El aviso debe ofrecer información clara y completa sobre la utilización de las cookies que se van a instalar y, en su caso, indicar los fines del tratamiento de los datos personales que se llevará a cabo a través de ellas.

El aviso puede indicar lo siguiente:

«Lee nuestra política sobre cookies» (enlazado a una página con la información referida).

No deben instalarse cookies hasta después de haber informado y obtenido el consentimiento.

Nota: No siempre es necesario poner un aviso. Y hay casos en los que basta con indicarlo en el aviso legal y otros en los que hasta esto es prescindible. Lo explico aquí.

cuadro o tabla de cookies
Ejemplo de mi bufete: [Además de pedir consentimiento previo e informado,] en el aviso legal de Abanlex mostramos esta tabla de cookies y advertimos de las cookies que se instalan en las páginas de Abanlex alojadas en FB, Twitter, LinkedIn, Foursquare y Google+. En el sitio principal usamos Do Not Track.

8. ¿Se acepta como consentimiento la inactividad del usuario?

Es discutible. Mi interpretación es la siguiente:

  • Sí, se acepta si el usuario permanece en la página durante un largo período de tiempo después de haber recibido la información sobre las cookies. Por ejemplo: podrán instalarse las cookies de Google Analytics después de 1 minuto, desde que el usuario leyó el aviso sobre cookies.
  • No, no se acepta si el tiempo que se deja pasar es tan breve que no permite al usuario reaccionar contra las cookies antes de que se le instalen.

En cualquier caso, ha de ser evidente que el usuario ha podido tomar la decisión de salir de la web antes de que se le instalen cookies.

9. Mi página está alojada en [Facebook, Blogger, WordPress]. ¿Tengo que informar de algo?

La Ley de Cookies no permite usar plataformas que impiden cumplir la ley española.

Un usuario de Internet, que no lo sea de Facebook, puede navegar a través de la web de una empresa alojada en el servicio de Páginas de Empresa de Facebook. La empresa ha elegido Facebook porque es gratis y por motivos de marketing, entre otros. Sin embargo, la gratuidad o el marketing no eximen a la empresa española de la obligación de cumplir la ley española.

Si la empresa ha decidido usar una determinada solución tecnológica para tener presencia en Internet, tendrá que asumir las consecuencias.

A D. Jesús Rubí Navarrete, Adjunto al Director de la AEPD, le pregunté en el foro de DENAE sobre Publicidad basada en el comportamiento (1h23’55») si se cumple esta ley creando una página de empresa en Facebook, que instala cookies de Facebook a todos los visitantes. Su respuesta, que precedió a la salida inmediata de la AEPD de Facebook, fue la siguiente:

«El editor al que le van a crear [una página de empresa en Facebook], que va a ser va a ser de su responsabilidad […], va a ser responsable […] de los dispositivos cuya instalación posibilite […] para terceros. Y esto va a ser así. […] La gratuidad de los servicios de Internet tiene un precio. […] Si alguien quiere optar por esa solución [de crear una página de empresa en Facebook] pues, así, a palo seco y sin más, […] se está poniendo en una importante situación de riesgo».

La empresa:

  • si decide instalar cookies de Google Analytics sin obtener el consentimiento de los usuarios, podrá ser sancionada por ello;
  • si decide usar la plataforma de Facebook porque es gratuita, y se instalan cookies a todos los usuarios que la visitan, podrá ser sancionada por ello; y
  • si decide crear su sitio en WordPress.com, notándose o sin que se note que está en WordPress, y a todos sus usuarios le instala inevitablemente una cookie de estadísticas que rastrea y almacena su IP en una empresa estadounidense (Automaticc) a través de un tercero (Quantcast), será responsable igualmente y podrá ser sancionado.

En relación con las cookies, señalo estas tres curiosidades lógicas:

  1. En la resolución se menciona que el demandado ha decidido usar la tecnología (cookie) de un tercero para hacer mejor su página pero, dice la AEPD, «no se ha averiguado su finalidad» ni siquiera después de la inspección. La empresa es responsable.
  2. En relación con la cookie de Quancast que instala el demandado por usar un blog alojado en WordPress, se constató en la inspección que no se pudo «localizar una opción de configuración del blog que permita deshabilitar la descarga de esa cookie». La empresa responde de lo que contrata pero no es capaz de controlar.
  3. Y en cuanto a la responsabilidad sobre las cookies: aunque sean de terceros (Google Analytics, por ejemplo) se determina que el responsable es el administrador del dominio o web.

Si una empresa decide alojarse en WordPress, lo hace con todas las consecuencias. Igual sucede con Blogger, Facebook, Tumblr, etc.

Las empresas españolas y los demás obligados a cumplir la ley están… obligados a cumplir la ley.

Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.
Foursquare ha elegido crear y administrar su página de empresa en Facebook, instalando cookies de terceros a todos los visitantes. En este caso, Facebook no es una red social sino un prestador de servicios de alojamiento.
Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.

10. ¿Cumplo la Ley de Cookies en mi página web?

Es recomendable que pidas a un especialista que te ayude a analizar tu caso concreto. No obstante, daré unas instrucciones generales:

  1. Has de ofrecer información previa.
  2. No debes instalar ninguna cookie al usario hasta «después» de obtener su consentimiento.

Las cookies técnicas y estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario no requieren información previa, pero sí la que deba incluirse en el aviso legal.

Artículo 22.2 párrafo 3º LSSI [VIGENTE]: «Lo anterior [sobre las cookies] no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».

Nota: Lo referido a las cookies también debe serlo a otros dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.

11. ¿Cómo sé si una página incumple la Ley de Cookies?

Accede a la página y comprueba si te ha instalado ya alguna cookie. Si lo ha hecho, lo más probable es que esté incumpliendo la ley.

Si sinceramente te sientes gravemente afectado, tienes derecho a denunciar gratis.

12. ¿Cómo sé si mi página web instala cookies?

Contrata una auditoría técnica y legal. En comentarios puedes indicar estudios y bufetes recomendables.

Una forma sencilla de ver las cookies por ti mismo es la siguiente:

  1. Accede a una web usando la última versión del navegador Firefox.
  2. En la pestaña del navegador «Herramientas» selecciona «Ver información de la página».
  3. En la pestaña «Seguridad» encontrarás las cookies pulsando en «Ver cookies«.

También es sencillo usando los plugins Cookies Manager + y Firebug en Firefox; y con Chrome.

Aunque lo hayas conseguido, contrata una auditoría para saber cuál es la finalidad de esas cookies y gestionarlas legalmente.

Y trata de que no te engañen: poner solo un pop-up informativo es una tontería. Primero has de informar y luego… retarda bastante la instalación de las cookies o pide permiso expreso o avisa sobre ellas antes de que el usuario haga login a tu sección privada o invéntate la forma que quieras de cumplir la ley.

Curiosamente, [suprimido por el autor]. Algunos expertos están ofreciendo consejos desafortunados en sus blogs, por lo que les sugiero leer y comprende la ley antes de aconsejar. Las empresas no españolas, como Google Inc., tampoco cumplen la ley española en sus webs, por lo que los pop-ups que han puesto deben sernos indiferentes y, en cualquier caso, tampoco permitirían cumplir la ley española.

[Actualización 10/9/2013]

13. La Ley de cookies y sus sanciones. ¿Qué es lo que se multa?

La Ley de Cookies contempla dos tipos de multas:

  • Se multa por no informar de forma válida o no establecer un procedimiento válido de rechazo del tratamiento de datos (LSSI).
  • Se multa por el tratamiento ilícito de datos personales (LOPD).

Informar de forma válida es hacerlo cumpliendo los tres requisitos que establece la Ley de Cookies. La información debe ser:

  1. Clara: La información debe poderse comprende fácilmente.
  2. Completa: Se debe ofrecer información sobre la finalidad concreta de las cookies.
  3. Previa: La información debe facilitarse antes de la instalación de las cookies.

La información previa permite obtener el consentimiento informado.

La norma de 2002 exigía principalmente que la información fuera clara y completa; la de 2012 exige, además, que sea previa a la instalación de las cookies, de forma que el usuario pueda otorgar su consentimiento informado, que es el que se otorga después de haber sido debidamente informado.

Sería ridículo que hubieran previsto en la Ley una sanción por la falta de obtención del «consentimiento informado» puesto que una de las condiciones que debe cumplir la información es que se ofrezca antes de la instalación de cookies; con lo cual, el consentimiento queda implícito en el correcto cumplimiento de información previa.

Art. 22.2 LSSI «[Podrán instalarse cookies a los usuarios] a condición de que los mismos [usuarios] hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización».

Justo antes de decir la palabra «información», el artículo indica que esta ha de ser previa; y justo después, indica que debe ser clara y completa. Debe ser «previa» porque es la forma de permitir que el usuario pueda otorgar su consentimiento informado, que puede ser expreso o tácito, y que es la condición para que puedan instalarse las cookies. Así, la novedad de la ley es que la información debe ser «previa».

Art. 38.3 LSSI “Son infracciones graves:

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.”

Art. 38.4 LSSI “Son infracciones leves:

g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.”

Art. 39.1 “Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Por tanto, no se sanciona la falta de consentimiento, sino que se sanciona que la información no sea la válida (clara, completa y previa), como también explica la abogada Ruth Benito.

La multa por protección de datos se dará solo cuando proceda, según la normativa de protección de datos (LO 15/1999 o LOPD). Este asunto lo dejo para otros artículos.

Esta respuesta está explicada también en la pregunta 14 del artículo ‘Cómo cumplir la Ley de Cookies’.

[Actualización 11/9/2013]

14. ¿Cuál es tu opinión sobre la Ley de Cookies?

Esta norma es un despropósito lamentable del legislador.

Puesto que tenemos una Ley de Cookies imposible de cumplir, se exigirán solo las obligaciones que imponía el artículo derogado. Ridículo, pero es lo que considero que va a ocurrir.

Intuyo que sucederá lo siguiente:

  • Multa: Al demandado se le multará solo por no informar de forma completa y clara sobre sus cookies. Conclusión: Hay que seguir informando sobre las cookies en el aviso legal.
  • Consentimiento: No se exigirá consentimiento previo, aunque la ley obliga a ello. Conclusión: se podrán instalar todas las cookies directamente, cuando se abra cualquier página web.
  • Pop-up: Se exigirá mostrar un ridículo, absurdo y molesto banner o pop-up diciendo que ya se han instalado las cookies, con un enlace al aviso legal. Conclusión: Si la web instala cookies, debe mostrar un banner informativo al menos en el primer acceso.
  • Facebook, Twitter…: Se permitirá mantener sitios web en cualquier plataforma nacional o extranjera y no se investigarán las cookies de terceros que permitan instalar. Conclusión: Se podrá elegir cualquier tecnología sin cargar con la responsabilidad que conllevaría.

Es posible que el cumplimiento del artículo actual sí se exija a ciertas páginas para adultos y para la instalación de cookies que se consideren peligrosas. Pero, más allá de esto, no creo que se haga nada.

El resultado del procedimiento sancionador abierto será revelador. Nos dirá si la AEPD entiende la palabra «después» (art. 22.2 LSSI) como «después» o como «antes». Y explicará si «a condición de» significa «a condición de» o «ignora lo que se dice a continuación».

Nota: Disculpad que no cite los nombres de las entidades privadas con cuyos «avisos» ejemplifico y que haya recurrido a los dos únicos ministerios que intentan cumplir esta norma (tan absurda).

[Actualización 3/9/2013] Nota 2: En este post uso nombres de entidades no afectadas por la Ley de Cookies. Sí estarían afectadas las empresas españolas, pero he preferido no citar a ninguna. Así, los ejemplos de este post son únicamente ilustrativos. Cito a Foursquare y a Google porque las empresas de EE.UU. no tienen que cumplir la Ley de Cookies (salvo excepciones). Cito a los Ministerios españoles porque no tienen que cumplir la Ley de Cookies (ver posts de Samuel Parra y Sergio Carrasco), a menos que se auto-obliguen. Tampoco tienen que cumplir la Ley de Cookies los blogs personales sin publicidad, entre otros. La lista de los que sí tienen que cumplir esta ley se encuentra en los artículos 2 a 5 de la Ley 34/2002.

[Actualización 10/9/2013] Disculpa que me haya tomado ciertas libertades para relatar el caso. Consideré inconveniente citar todos los hechos de forma literal y ofrecer información sensible. Por ahora solo tenemos un inicio de procedimiento sancionador, así que todo lo que aportemos en este blog son meras consideraciones, conjeturas e interpretaciones. Si la resolución se hiciera pública, tendremos acceso a los hechos reales y a las opiniones de la AEPD.

Si quieres hacer alguna pregunta, plantéala en los comentarios.

157 thoughts on “Sanción por instalar cookies de Google Analytics (y otras)”

  1. Unas dudas que me surgen.

    ¿Es necesario pedir el consentimiento cada vez que se entra en el sitio web?

    ¿Se podría instalar una cookie cuando el usuario acepte y así evitar pedirle el consentimiento todas las veces que accede a la web?

    1. Creo que todo se reduce a si puedes pagar la multa o no. O si puedes pagar un abogado. Esto le pregunté más arriba y sin respuesta. Además creo que la ley deja claro que si el usuario no bloquea sus cookies, aunque se la metas antes de aceptar, no debería ser delito.
      Así hace Google, YouTube, etc.

  2. Es increíble, desde luego, pero como se comenta, estamos ante un nuevo «pulso» y dependiendo de la «respuesta» del colectivo estoy seguro que asi responderá en unos meses la Administración (Prueba/error que se llama)

  3. Hola. Por favor pueden ayudarme con este supuesto?
    Tengo una web con dominio «.es » y yo radico en España, pero tengo familia política en México y podría transferir la propiedad del dominio a ellos. La web es publica, es un foro en español al que puede acceder cualquiera desde cualquier parte del mundo (según analytics el 50% de las visitas son de España y el 50% de latinoamerica), por lo que no se puede decir que esté específicamente destinada al mercado español (la temática no lo es).

    Podría evitar la ley de cookies de esta forma transfiriendo la propiedad de la web y el servidor, así como la cuenta de adsense a un familiar de mi esposa mexicano?

    Mil gracias

  4. Recogida de datos estadísticos: (Página de la AEPD).
    Esta página web no recoge ni almacena datos personales de sus visitantes.
    Únicamente, con la finalidad de ofrecerle el mejor servicio a través de esta página, y con el objeto de facilitar su uso, se analizan el número de páginas visitadas, el número de visitas, así como la actividad de los visitantes de la web, y su frecuencia de utilización.
    A estos efectos, se utilizan los datos estadísticos elaborados por el Proveedor de Servicios de Internet de la AEPD.
    Con esta información se analiza la frecuencia de uso de la web de la Agencia a partir de los datos de conexión, y las secciones mas visitadas. La AEPD no utiliza cookies para recoger información de los usuarios desde su página web ni registra sus direcciones IP.

  5. Entonces, gracias a Google Analytics, van a recaudar mucho dinero en multas, por que a ver como monitorizas el trafico ahora sin cookie o con con ella y el consentimiento explicito del usuario. Madre mia!

    1. Instala Google Analytics universal que no funciona con cookies sino con sesiones de servidor y solo incluye una cookie aletoria de sesión que si está permitida.

      Un saludo

  6. Pregunta para Pablo o para el que también sepa:

    Muchos desarrolladores nos encontramos que además de web propia, tenemos perfiles en las tiendas aplicaciones de Android, iOs,… (app store, play store) entiendo que sí se debe informar de las cookies que se instalarán en esas plataformas. Si en la propia web sólo instalamos cookies exceptuadas, por lo que no mostramos banner de información y aceptación, para el caso de perfiles en rrss y plataformas de apps sí se debería mostrar en la web el banner informativo paleto o sería suficiente con incluirlo en la política de privacidad?

  7. Hola, Pablo, gracias por la información y tu Blog que es muy interesante.

    Indicas (en la [Actualización 3/9/2013]) que:
    » Las Administraciones Públicas no tienen que cumplir la Ley de Cookies, salvo que voluntariamente asuman esta obligación»

    Trabajo en el dept técnico de un ayuntamiento. Acabo de llamar a AEPD para consultarlo directamente y me han dicho que tenemos que cumplir la ley, que no hay nadie exento.

    ¿Dónde se puede consultar éste punto que indicas en la ley?

    gracias,

  8. Solamente, para aumentar la confusión existente sobre el particular. Señalar que el art. 22.2 LSSI nos habla de «utilizar» no de «instalar».
    Creo que puede ser un aspecto a considerar, sobretodo, respecto a cookies analíticas…

  9. Vamos a ver, es que esto de las cookies es:
    Si aceptas respirar la mierda de aire que tenemos en las ciudades españolas, sal de casa, si no estas de acuerdo quédate en tu casa encerrado o vete al extranjero. Pero además como no estás de acuerdo con algo que es de cajón y tan lógico como el respirar, obligamos a tu comunidad de vecinos a que te ponga filtros purificadores y te vigile para que no salgas nunca de casa, a no ser que teletransportes al extranjero cual personaje de Star Trek.
    Venga coñ_!

  10. Hola Pablo, me gustaría que como asesor jurídico nos contestaras a algunas preguntas explícitas, ya que existe mucha confusión por el tema de GA:

    * ¿El incumplimiento y posible sanción a esta empresa por el uso de Cookies se debe al uso de las de Google Analytics o por el resto de cookies que instalaba?

    * ¿El uso únicamente de cookies de Google Analytics (cookie de recopilación de estadísticas agregadas sin identificación) sería motivo de sanción?

    * ¿Es necesario (no digo recomendable, necesario) obtener el consentimiento previo para la instalación de cookies de Google Analytics?

    Muchísimas gracias!

      1. Pues el PDF del GTA29 que indica el artículo, que dice textualmente que «No es probable que las cookies
        analíticas de primera parte generen un riesgo para la privacidad cuando se limitan estrictamente a fines de recopilación de nformación estadística agregada sobre los interesados, ni cuando las utilizan sitios web que ya proporcionan información clara sobre estas cookies en su política de privacidad, así
        como salvaguardias de protección de la privacidad.»

        Las cookies que instala GA son cookies de primera parte y parece que entran en esta interpretación.

        Existe alguna resolución en firme que diga que Analytics debe informar al usuario y solicitar su consentimiento? En todos los artículos y enlaces que he visto, sólo veo apreciaciones personales, pero nunca resoluciones. Y según la documentación oficial (esta del GTA29, la guía sobre cookies, etc…) interpreto que no es necesario.

        No lo sé, no queda claro en el caso concreto y único de GA.

  11. Hola Pablo, en mi página web tengo un botón de http://www.sharepost.com/ que además de servirme para compartir los contenidos en redes sociales y demás me sirve cómo analítica web, crees que me afectaría la ley de cookies por tener este botón ?
    Me he descargado la herramienta Cookies Manager que he visto que utilizas y no me detecta ninguna cookie, entonces crees que habría algún problema?
    Gracias

  12. Está claro que es una Ley absurda que nos va a hacer retroceder lo poco que habíamos avanzado. Mientras esté en vigor -esperemos que no por
    mucho tiempo- la única solución es la aquella que no deja pasar -o utiliza ninguna cookie- hasta que el usuario acepte.

    Como no encontré ninguna solución que hiciera esto (todas se basan en el consentimiento implícito), me hice el mío propio integramente con javascript para instalar en cualquier página y seguro que puede resultar útil a alguno, por si quereis ahorraros tiempo: http://cookielawer.blogspot.com.es

    Saludos.

  13. Parece ser que han recapacitado y han decidido modificar la ley:

    http://www.tecnologiapyme.com/legislacion/ley-anticookies-el-gobierno-da-marcha-atras-y-relajara-las-exigencias

    En el pasado Consejo de Ministros del viernes 13, junto con la Ley General de Telecomunicaciones apareció esta modificación de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio de 2002. La diferencia es mínima pero muy importante para todos aquellos que desarrollan su actividad en Internet.

    Ya no se necesitaría un botón para que el usuario autorice la instalación y bastaría simplemente que el usuario continuara la navegación para que se entienda que está de acuerdo con la instalación de dichas cookies, que hoy por hoy es la práctica más habitual de la mayoría de las empresas.

    Las modificaciones se han remitido al Congreso, por lo que todavía tienen que pasar el trámite parlamentario oportuno y podrían sufrir algún pequeño cambio o retoque. Lo que está claro es que estos vaivenes y la inseguridad jurídica está perjudicando a todas las empresas del sector. Esperemos que esta sea la definitiva.

  14. Hola.

    Gracias por el artículo, pero tengo dos dudas:

    -A día de hoy creo que practicamente ninguna web cumple eso. He entrado en muchas y TODAS instalan alguna cookie antes de que yo haga nada. ¿No es suficiente tener una barra (en zona visible sin scroll) que informa de que se usan cookies? Es que pedir que no se instale nada me parece excesivo.

    -Si yo tengo un blog que no rentabilizo, ¿también tengo que hacer todo esto? Yo lo de istalar una barra informando, y con un enlace a una política de privacidad, lo veo bien: pero es imposible que alguien acceda a mi blog sin que se le instale algo, yo no he encontrado forma de hacerlo.

    Gracias de nuevo.

    1. Si no lo rentabilizas no se somete a la LSSI y por lo tanto no se aplica la Ley en lo de las cookies. Como dices, en caso de monetizarlo, hoy por hoy en blogger, por lo menos es imposible desactivar la carga de cookies, por lo menos de la totalidad. En wordpress parece que hay algun plugin

  15. Vista la regulación actual sobre las cookies, la Guía de la AEPD y diferentes artículos y blogs sobre la materia, se me plantea una duda que no me ha parecido ver resuelta. Un usuario accede por primera vez a cualquier Web que maneja cookies, al usuario se le informa y se obtiene adecuadamente el consentimiento con el mecanismo de las 2 capas, con lo que el cartelito de la 1ª capa ya desaparece para esta conexión y futuras conexiones de este usuario. Hasta ahí todo va bien si va a ser el único usuario de ese ordenador, pero ¿y si es un ordenador compartido en un hotel, cibercafé o incluso un domicilio? Los siguientes usuarios (suponiendo que no acceden con un username propio) no habrán sido informados ni habrán consentido porque en la práctica hay un usuario usado por diferentes personas. Aunque claro, en estos casos, la información obtenida por las cookies será la obtenida por el conjunto de acciones que realicen los usuarios de ese terminal, por lo que se podría decir que las implicaciones en la privacidad se reducen. Aún así, en pura teoría aplicaría igualmente la LSSI y la regulación de las cookies (que habla de «destinatarios», definidos por la LSSI como «persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información») y esos usuarios no habrían consentido.

  16. Yo me pregunto que repercusión está teniendo el poner el cartelito de marras en las tiendas online. Pienso que el que ese cartel aparezca, hace que el visitante huya por temor a que sea un malware o una publicidad agresiva.

    Por otra parte, hay CMS’s en las que veo casi imposible el anular las cookies antes de que cargue la web. Se tendría casi que rehacer el sistema de carga de esos CMS’s, ya que tendría que hacer una revisión de todos los módulos para ver cuantos de ellos utiliza cookies. Si el usuario por ejemplo elige que no quiere utilizar cookies, esa página inicial tendría que autorecargarse deshabilitandole todos esos módulos.

    Esta Ley me parece estúpida. De todas formas se acerca una guerra entre compañías para ver quien vence en la tecnología sustituta de las actuales cookies:
    http://www.genbeta.com/navegadores/microsoft-desarrollando-su-propio-sistema-de-cookies-que-funcione-en-ordenadores-moviles-y-xbox

  17. ¿Cuándo se sabrá el resultado de esa sanción?
    Por otra parte, decir que he utilizado una extensión para cumplir la ley en mi web, y los resultados han sido terribles. Según algunas configuraciones de los usuarios les resultaba imposible logearse en los foros, y la pérdida de visitas ha sido de un 70%. Supongo que habrá que contratar expertos infórmáticos para hacer esto, porque no hay dos webs, ni dos usuarios iguales. Deberíamos reclamar algún tipo de subvención al estado, porque el daño es intolerable. Al final he tenido que desinstalar la extensión, y seguir como siempre.

  18. Este gobierno da asco. Hay que echarlos como sea. Maldita la hora en que voté a Rajoy. Todo internet lleno de cuadros absurdos que molestan y crean inseguridad.
    Son unos analfabetos.

    Y el que denunció a tu cliente, tiene que ser porque tu cliente efiel enemigo del gobierno y van al cuello a por él.

  19. Vaya ley más estúpida. De que sirve avisar a los usuarios de que «se van a instalar cookies» si la mayoría no tienen ni idea. Por no hablar que incluso les da miedo.

    Y la mayoría de los que vivimos de AdSense, ¿cómo vamos a modificar nuestros wordpress, joomblas, prestashops y un largo etc para que no metan ninguna cookie antes de aterrorizar al cliente con el mensajito? ¿y si no lo aceptan enconces que hacemos?, las webs que utilizan estas herramientas funcionan a base de cookies para que la navegación sea sencilla

    Y los usuarios que nos visitan asiduamente y no aceptan las cookies, ¿cómo vamos a hacer para guardar su preferencia, si no podemos poner una cookie que recuerde que el usuario no quiere cookies? ¿o le daremos la vara con un cartelito cada vez que intente entrar en la web?

    Francamente, esta ley la ha tenido que pensar o un chimpanzé del zoo, o algún maquiavelo del PP para poder cargarse cualquier web que hable mal de ellos.

    Dicen por muchas webs que el PSOE y el PP son la misma porquería, pero no, si el PSOE es purria, el PP es muchísimo peor.

  20. Yo veo cookies en tu blog, que al ser para promocionar tu actividad, está incluído en actividades comerciales 🙂

    Claro, que el abogado eres tú y sabrás lo que haces.

  21. Duda; Si la web esta alojada en un país que no es España y se usa un dominio que no es el .es (o cualquier autonómico) no estando sujeto a nada relacionado con el territorio nacional, salvo quizás algún tráfico que llegue desde el país ¿realmente hay que cumplir la ley de cookies española o la del país donde se tramita y esta asociado dicho host y dominio?

    Por aquí podría haber un vació que no ampare esta ley de cookies y que por consiguiente no se tendría que llevar a cabo =/

  22. Por lo que veo este blog tampoco cumple con la ley de cookies ya que instala muuuchas cookies (de facebook, google,…) y no veo ningún aviso por ninguna parte. ¿Sería denunciable este sitio web ante la AEPD?

  23. Muy interesante tu artículo Pablo. La verdad es que después de leerlo se le queda a uno mal cuerpo. Sinceramente me parecen desproporcionadas tanto las exigencias de la ley como las sanciones.

  24. ¿Esto lo hacen para generar empleo y ayudar a los emprendedores que deciden montar algo en Internet?

  25. Muy buen artículo, Ahora mi reflexión, todos tenemos que adaptarnos a la ley, si o si, ya que de lo contrario nos puede caer un paquetón. Pero alguien ha entrado por curiosidad en la web del Partido popular, según esta ley, NO LA CUMPLEN! ¿Entonces por qué he de cumplirla yo? Reflexionemos!!

  26. Me gustaría poder hacer un extracto de este post, para enviarles información a mis clientes.
    Solicito permiso para ello. Te ruego me digas si te parece correcto o no.
    Por supuesto, citaré la fuente.

  27. Hola,
    interesantísimo artículo.
    Fíjate como maneja la situación amazon.es en la simplemente saca un aviso informativo en la portada pequeñísimo y en la que dentro explican que si tu navegador acepta cookies, es que has dado tu consentimiento y te explican la forma de borrarlas si quieres, haciendo una interpretación de «Cuando sea técnicamente posible y eficaz». ¿Qué opinas al respecto?

  28. Una cosilla sobre la ley de cookies, según he leido en la guía, hay ciertas cookies que no precisan consentimiento. Pongo un ejemplo, una tienda virtual suele instalar una cookie al entrar que sirve para que si el usuario añade un producto al carrito y cierra el navegador, la próxima vez que entre siga ese producto en el carrito, esta cookie no comparte datos con nadie, solo entre el navegador y el usuario. Así que en la web de inicio y en la de política de cookies podría ir el aviso y no agregarlas analytics, las demás subpáginas sí, ya que si el usuario continua navegando ha aceptado la política. Además la ley dice que con que se avise una vez vale, el usuario ve el mensaje y cuando hace clic en aceptar se oculta.El documento de política de cookies debe ser accesible fácilmente (fácilmente es relativo a la destreza del usuario en muchos casos).

    Otro apunte que os cuento es que me he leído la guía de la AGPD paso a paso y aunque Facebook, Twitter…, no son españolas según la AGPD toda web que preste servicio en España está obligada a acogerse a la Ley de Cookies. No os planteéis montar la empresa fuera de España, que no es una solución.

    En resumen, la idea de la AGPD ¿es hacernos la navegación vida más segura? o ¿hacer que si nos planteamos montar algún negocio se nos quiten las ganas?.

    Se echa más tiempo en cumplir la ley que en trabajar.

    Por cierto y para terminar, la LOPD, eso del fichero de protección de datos. No es solo para webs, si tenéis un local y hacéis fichas de clientes sea en papel o en ordenador, también estáis obligados al registro de esos archivos en la AGPD y a pedir consentimiento al cliente para el uso y recogida de sus datos (por ejemplo los gimnasios).

    Saludos.

  29. La LSSI y LOPD son una completa majadería.
    Como el tema va de cookies opinaré sobre las cookies, pero en mi opinión están llenas de perlas. Y conste que no soy jurista, simplemente aplico lo que me dice el sentido común.

    De entrada, cualquier persona que decide hacer uso de Interenet, y más concretamente la WWW, al instalar un navegador web que permite cookies y usarlo sin modificar la configuración que le apetezca, está dando un consentimiento tácito del uso de las mismas. Cada persona es responsable de sus propios actos, y si el usuario permite cookies sin preocuparse si quiera de lo que son pues el resto de mundo no tiene la culpa. Responsabilizar a los propietarios de páginas web y servicios es un completo desproposito, sin perjucio obviamente de que estos estén realizando un acto realmente ilicito (en el sentido racional de la palabra) contra el usuario.

    Según la lógica de los ideólogos de estas estúpidas leyes podríamos concluir por ejemplo… pues no sé…. Si mi vecino le da por intentar arrancar el coche con la marcha puesta y termina cargándose el embrague, la caja de cambios, o lo que sea… En realidad el responsable soy yo, porque se que eso no se debe hacer y no le he informado adecuadamente… ¿Estamos todos locos o que pasa en este país?…

    Bueno, el ejemplo no es el más representativo, pero creo que se entiende perfectamente lo que quiere decir. Cada uno debe ser responsable de sus propios actos.

    Los usuarios son responsables de la seguridad de sus sistemas así como de lo que hacen en Internet. De la misma forma, obviamente. los prestadores de servicios y propietarios de páginas web son responsables de los suyos, y de no «agredir» a los usuarios. El simple uso de cookies no es una agresión de por sí.

    ¿Que podrían usarse con fines ilícitos?. De acuerdo, pero entonces que la legislación persiga esas actividades concretas, entre otras… Y dejen de inventar ocurrencias majaderas, que arbitraria y discriminadamente perjudican a todo el mundo que no está haciendo ningún mal.

    Si no he interpretado mal lo que he leído en este artículo: si una persona cualquiera, un ciudadano común que no sabe nada de leyes, decide crear un simple blog, le pone publicidad y por desconocimiento no incluye el aviso legal sobre cookies, ni el mensajito rídiculo informando y solicitando la aceptación de las mismas, puesto que no informa ni actua con consentimiento del usuario supondría una infracción grave. Por lo que según la LSSI le podría caer una multa de entre 30.001 y 150.000 €. ¿Estamos todos locos?…

    Una multa de tráfico por alcoholemia (sin contar otras infracciones adicionales) si no me equivoco puede ascender a 500€, como sanción muy grave (ojo al dato). Entonces yo pregunto, ¿qué es más grave: conducir borracho o tener un sitio web que usa cookies y no avisa al usuario?.

    En mi opinión habría que encerrar en un psiquiátrico (por ser benévolos) a los inventores de la LSSI y la LODP, porque no puede estar bien de la azotea quién hace tales majaderías…

  30. Ah, y por cierto, no hace falta nombrar páginas de empresas españolas que no cumplen para no perjudicarles.

    Es mucho mejor nombrar la página del PP: nada más entrar se instalan cookies de Google Analytics sin previo consentimiento. Y se supone que son los que dictan y aprueban las leyes al ser el partido que gobierna…

    La de Nuevas Generaciones del Partido Popular usa cookies de 3 fuentes sin consentimiento previo.

    Y la del PSOE tampoco: se utilizan cookies de 6 fuentes, incluida Google Analytics, y sin consentimiento previo.

    En la de Juventudes Socialistas ídem, de 8 fuentes diferentes sin consentimiento previo.

    En la página de Izquierda Unida pasa lo mismo, y estos no tienen ni aviso legal, o yo no lo he visto… La página de Podemos igual… etc., etc., etc,…

    Si a tu cliente le ponen una sanción entonces denuncia a estos… Deberían ponersela también ¿no?. ¿O los partidos políticos también están exentos?. Actividad económica tienen si reciben financiación y sus páginas web les sirve para promocionarse.

    ¡Qué país nos ha tocado sufrir por dios!…¡Qué país!

  31. Tengo una duda, si en una Intranet privada se tienen cookies que se instalan en los equipos de los empleados (por Google Analytics) hay que cumplir dicha ley o al ser un sistema interno de la compañía no haría falta? (entiendo que no hace falta)

  32. como puedo denunciar a una persona que utilizo mi nombre para veneficiarse por el google adsense utilizando de una manera inadecuada por la cual mi nombre fue tachado en el google adsense, cuando quiero registrarme, me figura cque no puedo asociarme con una pagina.

Comments are closed.

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad
Ir al contenido