Sanción por instalar cookies de Google Analytics (y otras)

Procedimiento sancionador por incumplir la normativa de cookies
Procedimiento sancionador abierto por incumplir la normativa de cookies

AVISO: Sanciones ya impuestas: 3.000€ y 500€.

La Ley de Cookies sí se aplica.

Seré breve, en el sentido “letrado”.

La AEPD acaba de notificar a Santiago A. J., mi cliente, que se inicia un procedimiento sancionador contra una empresa que no cumple la Ley de Cookies (disculpad que no ponga los datos identificativos reales). La sanción por el incumplimiento leve (art. 38.4.g LSSI) de la Ley de Cookies (art. 22.2 LSSI) es de hasta 30.000 (art 39.1.c LSSI). La sanción podría ser de hasta 150.000€ (art. 39.b LSSI) si el incumplimiento fuera significativo (art. 38.3.i LSSI), pero no es el caso.

Recuerda que los titulares de páginas web profesionales ahora tienen que impedir que se instalen chivatos (o cookies) en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informado para ello: Cómo cumplir la Ley de Cookies.

La sanción, si finalmente la hay, recaerá sobre una empresa que instalaba cookies antes de obtener el consentimiento informado del usuario.

[publicidad]

Las cookies investigadas son las siguientes:

  • Google Analytics: Permite analizar el tráfico de la web. Cookies: __utma, __utmb, __utmc, __utmz
  • Google Maps: Permite insertar un mapa en la web. Cookies: NID, PREF, SNID, Khcookie
  • Google YouTube: Permite insertar vídeos en la web. Cookies: PREF, VISITOR_INFO1_LIVE, use_hitbox, YSC
  • Google Adsense: Permite mostrar publicidad en la web. Cookie: PREF
  • Google: Flash cookies o Local share objects asociada a Ytimg; id, asociada a Doubleclick
  • WordPress: Permite analizar el tráfico de la web. Cookie: __qca
  • Otras detectadas: Seevolution (svlu), Zopim (_zlcid y __cfduid); Magento (fronted y petlab)

Son cookies prácticas y sencillas de servicios que prácticamente todas las web profesionales tienen.

Estas cookies pueden bloquearse de forma sencilla, como hemos hecho en Abanlex: prescindimos de la cookie de WP deshabilitando las estadísticas de JetPack; la de YouTube no la necesitamos, por lo que marcamos la opción de “mejorar la privacidad” para no instalar la cookie; y bloqueamos la de Analytics con un complemento.

Ante la duda de si las cookies de Google Analytics están o no incluidas en la prohibición, la respuesta es… sí. Están incluidas. Así lo indica claramente tanto la Directiva como el RD-l, también la LSSI, el GTA29 ayuda en esta interpretación y esta resolución de la AEPD lo re-re-reconfirma.

Las cookies de Google Analytics pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.
Las cookies de Google Analytics (__utmX) pueden instalarse después de que el usuario lo consienta. En los blogs personales sin publicidad no es necesario pedir consentimiento.

Lo que tenemos, por ahora, es solo un inicio del procedimiento sancionador dictado por el Director de la AEPD (art. 127 RLOPD). La AEPD ha ofrecido al denunciado la posibilidad de presentar alegaciones o de reconocer su responsabilidad.

Fácticos son, por ahora, los cuatro siguientes:

  1. La web del denunciado informaba sobre el hecho de que usa cookies: “Utilizamos cookies…” mediante un aviso no accesible desde todas las páginas.
  2. En septiembre de 2012: El denunciante presenta la denuncia.
  3. En enero de 2013, el denunciado aumenta el contenido de su aviso informativo: Sigue confirmando que las cookies ya se han instalado en el dispositivo del usuario y que si este no las quiere debe configurar su navegador, independientemente de cuál sea, para que las bloquee.
  4. En julio de 2013 la AEPD inicia el procedimiento sancionador.

La AEPD ha realizado tres pruebas en diferentes momentos:

  1. Google Chrome en el equipo del Subinspector.
  2. IE8 y Google Chrome en el equipo del Subinspector.
  3. Mozilla Firefox portable v.21 con Firebug v1.11.3 instalado.

Destaco el detalle de que la AEPD haya usado Firebug, además de haber auditado con varios navegadores. En mi caso, uso bastante Safari y Ópera, como la mayoría de los iPhoneros, no obstante, considero acertada la elección de la AEPD. Esta elección nos muestra algo más: los bloqueos de cookies por navegador deben tener en cuenta que hay multitud de navegadores (Konqueror, Arora, Flock, Camino), de versiones y de configuraciones. También destaco que en este caso han sido cookies los «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» (art. 22.2 LSSI) estudiados, pero podrán ser otros en casos diferentes, como las etiquetas ETag o Píxel y ciertas librerías, con especial atención a las apps y los videojuegos.

La AEPD, asimismo, encargó la elaboración de una Guía sobre el uso de las cookies. Su plazo de solicitud y publicación coincide con el plazo del análisis del caso, por lo que parece indicar que o el caso se ha reconvertido en guía, o ésta ha ayudado a solucionar el caso. El contenido de la guía es sencillo y supongo que orientará a algunos.

Cuando se resuelva el caso, publicaré el resultado en este artículo y en @Pablofb

A continuación, explicaré algunos aspectos esenciales sobre el asunto de las cookies, adicionales a los que ya indiqué en mi post anterior. En los comentarios pueden plantearse dudas, si las hay.

1. ¿Si pongo un pop-up en mi web me libro de la sanción?

[Actualización: 11/9/2013]

Es falso que la Ley de Cookies se cumpla poniendo un pop-up.

La vigente Ley de Cookies obliga a informar correctamente; es decir, obliga a informar de manera clara, completa y previa a la instalación de cookies, de forma que se pueda obtener el consentimiento informado del usuario. Lo explico más en detalle en la pregunta 13 (más abajo). Si con tu pop-up cumples la obligación, te librarás la sanción; pero si solo informas después de haber instalado cookies, la información no será la correcta porque carecerá de uno de los requisitos: que sea previa.

El consentimiento informado es el que se otorga después de haber recibido la información sobre las cookies, que debe ser clara, completa y previa al consentimiento necesario para poder instalar las cookies (lo subrayado es lo que añade la nueva norma). La sanción, si la hay, será por no informar válidamente. No informar válidamente antes de la instalación implica que no se pueda obtener el consentimiento informado.

En el caso objeto de estudio, el denunciado ofrecía información confusa e incompleta por medio de un aviso legal, que no era accesible desde alguna de sus páginas. Posteriormente puso un pop-up con el que informa mejor. No obstante, a día de hoy sigue instalando las cookies sin obtener el consentimiento previo del usuario. Si la AEPD consiente este pop-up como medio de información válido, con el que simplemente se informa de que se han instalado cookies, significará que podrá incumplirse la ley sin consecuencias, ya que no será necesario obtener el consentimiento previo exigido por la ley.

2. Muchas páginas avisan con un pop-up de que han instalado cookies. ¿Incumplen la ley?

La mayoría de ellas incumple la ley.

Desde que se publicó la Guía sobre el uso de las cookies, Internet está sufriendo una epidemia de avisos inútiles sobre el uso de cookies.

Hasta el 31 de marzo de 2012 se podía informar sobre el uso de cookies mediante un pop-up.

Artículo 22.2 LSSI párrafo 1º [DEROGADO] «Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito».

Pero desde el 1 de abril de 2012 se piden dos cosas: 1º información + 2º consentimiento = instalación

Artículo 22.2 párrafo 1º LSSI [VIGENTE]: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal».

Préstese atención a las palabras “a condición de” y “después“. No se pueden instalar cookies antes; se pueden instalar después. [Actualización: 10/9/2013] Y préstese atención a la conjugación del verbo dar: “hayan dado”; un pretérito perfecto que expresa una acción realizada en el pasado y que perdura en el presente.

En conclusión:

  • El párrafo derogado se cumplía mostrando un pop-up informativo o un aviso legal con la información siguiente (más lo correspondiente a LOPD): “Al utilizar nuestra web, aceptas el uso que hacemos de las cookies de XXXXXXX, que sirven para XXXXXX. Puedes configurar tu navegador para rechazarlas o usar el servicio de rechazo de cookies de la web XXXXXXXXX”.
  • El párrafo vigente se cumple obteniendo el consentimiento informado del usuario antes de instalarle cookies. O, lo que es lo mismo, la instalación de cookies debe hacerse después de haber obtenido el consentimiento del usuario.

La decisión de la AEPD, cuando la tengamos, desvelará si la palabra “después” del artículo 22.2 LSSI debe interpretarse como “después”… o como “antes”. ¿Baladí?

3. ¿Puedo confiar en que el usuario haya configurado correctamente su navegador?

Ahora no.

Pero en un futuro cercano sí podrás confiar en la configuración del navegador:

Artículo 22.2 párrafo 2º LSSI [VIGENTE]: «Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.».

Este párrafo se interpreta de la siguiente forma: En general, no es técnicamente posible y eficaz; pero cuando sí lo sea (o para quien así lo logre), los sitios web podrán diferenciar navegadores e instalar cookies a unos, pedir consentimiento a otros y no molestar con avisos ni cookies al resto. Es decir, a un usuario que acceda a la web usando un navegador antiguo no podrás instalarle cookies a menos que te dé su consentimiento informado, pero a un usuario que haya configurado su navegador para aceptar un tipo concreto de cookies (por ejemplo: analíticas sí; publicitarias no) podrás instalárselas sin necesidad de informarle previamente y deberás conseguir su consentimiento informado antes de instalarle otras. Para usar este método, la página tiene que lograr diferenciar configuraciones y actuar con cada una según proceda.

En consecuencia, son incompletos y contrarios a la ley actual (pero correctos conforme indicaba la norma derogada) los avisos que indican lo siguiente:

avisos de cookies
Las webs que muestran estos avisos cumplen la norma derogada, que solo pedía informar y explicar cómo cambiar la configuración, con una nota en forma de pop-up o en el aviso legal. Sin embargo, incumplen la Ley de Cookies actual: ahora se pide obtener su consentimiento informado antes de instalar.
Solución: Deben permitir al usuario abandonar la web antes de que se intalen las cookies en su ordenador o permitirle decidir sobre su instalación.

4. ¿Hace falta que el usuario pulse un botón de “Acepto la instalación de cookies“?

No.

El consentimiento puede ser tácito; es decir, puede estar unido a alguna acción del usuario.

El proceso puede ser el siguiente:

  1. El usuario accede a la página.
  2. Un aviso visible le informa de que si continúa navegando se le instalarán cookies, con un enlace a un lugar donde puede encontrar más información.
  3. El usuario continúa navegando.
  4. Se le instalan cookies.

Por tanto, se necesitan dos acciones para, en su caso, permitir una consecuencia:

  • Primero –> Información: El usuario ha de obtener información clara y completa sobre las cookies que se van a instalar en su ordenador.
  • Segundo –> Consentimiento: Después de haber recibido la información, el usuario, si quiere, puede decidir aceptar las cookies. Hay que dar la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies. Esta es la novedad de la ley.
  • Tercero –> Instalación: Después de que el usuario haya consentido la instalación de las cookies, se le podrán instalar, pero no antes.
Información importante sobre cookies
Este aviso podría ser correcto, si funcionase. A día de hoy, el botón de “Aceptar cookies” no funciona, más que para cerra el aviso. Se puede comprobar fácilmente cómo el Ministerio de Industria, Energía y Turismo cumple con así la norma derogada que se muestra aún en una de sus páginas: Obligaciones cookies (derogado). [Actualización 3/9/2013] Nota: Las Administraciones Públicas no tienen que cumplir la Ley de Cookies, salvo que voluntariamente asuman esta obligación.

5. ¿Dónde debe estar ese aviso sobre cookies?

En una zona visible de la web, sin necesidad de hacer scroll.

6 ¿En qué idioma debe estar el aviso de cookies?

Debe estar en castellano y, adicionalmente, puede estarlo en otros idiomas.

Excepciones:

  • Puede estar en vascuence o en castellano, indistintamente, si el sitio web únicamente puede ser visualizado en el País Vasco (a menos que una norma autonómica obligue a usar siempre el vascuence en estos casos). Lo mismo sucede con los idiomas gallego y catalán.
  • Los responsables de sitios web a los que no les afecte esta norma pueden, si quieren poner el aviso, usar el idioma que su normativa les permita.

7. ¿Cómo debe ser el aviso de cookies?

El aviso debe ofrecer información clara y completa sobre la utilización de las cookies que se van a instalar y, en su caso, indicar los fines del tratamiento de los datos personales que se llevará a cabo a través de ellas.

El aviso puede indicar lo siguiente:

“Lee nuestra política sobre cookies” (enlazado a una página con la información referida).

No deben instalarse cookies hasta después de haber informado y obtenido el consentimiento.

Nota: No siempre es necesario poner un aviso. Y hay casos en los que basta con indicarlo en el aviso legal y otros en los que hasta esto es prescindible. Lo explico aquí.

cuadro o tabla de cookies
Ejemplo de mi bufete: [Además de pedir consentimiento previo e informado,] en el aviso legal de Abanlex mostramos esta tabla de cookies y advertimos de las cookies que se instalan en las páginas de Abanlex alojadas en FB, Twitter, LinkedIn, Foursquare y Google+. En el sitio principal usamos Do Not Track.

8. ¿Se acepta como consentimiento la inactividad del usuario?

Es discutible. Mi interpretación es la siguiente:

  • Sí, se acepta si el usuario permanece en la página durante un largo período de tiempo después de haber recibido la información sobre las cookies. Por ejemplo: podrán instalarse las cookies de Google Analytics después de 1 minuto, desde que el usuario leyó el aviso sobre cookies.
  • No, no se acepta si el tiempo que se deja pasar es tan breve que no permite al usuario reaccionar contra las cookies antes de que se le instalen.

En cualquier caso, ha de ser evidente que el usuario ha podido tomar la decisión de salir de la web antes de que se le instalen cookies.

9. Mi página está alojada en [Facebook, Blogger, WordPress]. ¿Tengo que informar de algo?

La Ley de Cookies no permite usar plataformas que impiden cumplir la ley española.

Un usuario de Internet, que no lo sea de Facebook, puede navegar a través de la web de una empresa alojada en el servicio de Páginas de Empresa de Facebook. La empresa ha elegido Facebook porque es gratis y por motivos de marketing, entre otros. Sin embargo, la gratuidad o el marketing no eximen a la empresa española de la obligación de cumplir la ley española.

Si la empresa ha decidido usar una determinada solución tecnológica para tener presencia en Internet, tendrá que asumir las consecuencias.

A D. Jesús Rubí Navarrete, Adjunto al Director de la AEPD, le pregunté en el foro de DENAE sobre Publicidad basada en el comportamiento (1h23’55”) si se cumple esta ley creando una página de empresa en Facebook, que instala cookies de Facebook a todos los visitantes. Su respuesta, que precedió a la salida inmediata de la AEPD de Facebook, fue la siguiente:

“El editor al que le van a crear [una página de empresa en Facebook], que va a ser va a ser de su responsabilidad […], va a ser responsable […] de los dispositivos cuya instalación posibilite […] para terceros. Y esto va a ser así. […] La gratuidad de los servicios de Internet tiene un precio. […] Si alguien quiere optar por esa solución [de crear una página de empresa en Facebook] pues, así, a palo seco y sin más, […] se está poniendo en una importante situación de riesgo”.

La empresa:

  • si decide instalar cookies de Google Analytics sin obtener el consentimiento de los usuarios, podrá ser sancionada por ello;
  • si decide usar la plataforma de Facebook porque es gratuita, y se instalan cookies a todos los usuarios que la visitan, podrá ser sancionada por ello; y
  • si decide crear su sitio en WordPress.com, notándose o sin que se note que está en WordPress, y a todos sus usuarios le instala inevitablemente una cookie de estadísticas que rastrea y almacena su IP en una empresa estadounidense (Automaticc) a través de un tercero (Quantcast), será responsable igualmente y podrá ser sancionado.

En relación con las cookies, señalo estas tres curiosidades lógicas:

  1. En la resolución se menciona que el demandado ha decidido usar la tecnología (cookie) de un tercero para hacer mejor su página pero, dice la AEPD, «no se ha averiguado su finalidad» ni siquiera después de la inspección. La empresa es responsable.
  2. En relación con la cookie de Quancast que instala el demandado por usar un blog alojado en WordPress, se constató en la inspección que no se pudo «localizar una opción de configuración del blog que permita deshabilitar la descarga de esa cookie». La empresa responde de lo que contrata pero no es capaz de controlar.
  3. Y en cuanto a la responsabilidad sobre las cookies: aunque sean de terceros (Google Analytics, por ejemplo) se determina que el responsable es el administrador del dominio o web.

Si una empresa decide alojarse en WordPress, lo hace con todas las consecuencias. Igual sucede con Blogger, Facebook, Tumblr, etc.

Las empresas españolas y los demás obligados a cumplir la ley están… obligados a cumplir la ley.

Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.
Foursquare ha elegido crear y administrar su página de empresa en Facebook, instalando cookies de terceros a todos los visitantes. En este caso, Facebook no es una red social sino un prestador de servicios de alojamiento.
Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.

10. ¿Cumplo la Ley de Cookies en mi página web?

Es recomendable que pidas a un especialista que te ayude a analizar tu caso concreto. No obstante, daré unas instrucciones generales:

  1. Has de ofrecer información previa.
  2. No debes instalar ninguna cookie al usario hasta “después” de obtener su consentimiento.

Las cookies técnicas y estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario no requieren información previa, pero sí la que deba incluirse en el aviso legal.

Artículo 22.2 párrafo 3º LSSI [VIGENTE]: «Lo anterior [sobre las cookies] no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».

Nota: Lo referido a las cookies también debe serlo a otros dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.

11. ¿Cómo sé si una página incumple la Ley de Cookies?

Accede a la página y comprueba si te ha instalado ya alguna cookie. Si lo ha hecho, lo más probable es que esté incumpliendo la ley.

Si sinceramente te sientes gravemente afectado, tienes derecho a denunciar gratis.

12. ¿Cómo sé si mi página web instala cookies?

Contrata una auditoría técnica y legal. En comentarios puedes indicar estudios y bufetes recomendables.

Una forma sencilla de ver las cookies por ti mismo es la siguiente:

  1. Accede a una web usando la última versión del navegador Firefox.
  2. En la pestaña del navegador “Herramientas” selecciona “Ver información de la página”.
  3. En la pestaña “Seguridad” encontrarás las cookies pulsando en “Ver cookies“.

También es sencillo usando los plugins Cookies Manager + y Firebug en Firefox; y con Chrome.

Aunque lo hayas conseguido, contrata una auditoría para saber cuál es la finalidad de esas cookies y gestionarlas legalmente.

Y trata de que no te engañen: poner solo un pop-up informativo es una tontería. Primero has de informar y luego… retarda bastante la instalación de las cookies o pide permiso expreso o avisa sobre ellas antes de que el usuario haga login a tu sección privada o invéntate la forma que quieras de cumplir la ley.

Curiosamente, [suprimido por el autor]. Algunos expertos están ofreciendo consejos desafortunados en sus blogs, por lo que les sugiero leer y comprende la ley antes de aconsejar. Las empresas no españolas, como Google Inc., tampoco cumplen la ley española en sus webs, por lo que los pop-ups que han puesto deben sernos indiferentes y, en cualquier caso, tampoco permitirían cumplir la ley española.

[Actualización 10/9/2013]

13. La Ley de cookies y sus sanciones. ¿Qué es lo que se multa?

La Ley de Cookies contempla dos tipos de multas:

  • Se multa por no informar de forma válida o no establecer un procedimiento válido de rechazo del tratamiento de datos (LSSI).
  • Se multa por el tratamiento ilícito de datos personales (LOPD).

Informar de forma válida es hacerlo cumpliendo los tres requisitos que establece la Ley de Cookies. La información debe ser:

  1. Clara: La información debe poderse comprende fácilmente.
  2. Completa: Se debe ofrecer información sobre la finalidad concreta de las cookies.
  3. Previa: La información debe facilitarse antes de la instalación de las cookies.

La información previa permite obtener el consentimiento informado.

La norma de 2002 exigía principalmente que la información fuera clara y completa; la de 2012 exige, además, que sea previa a la instalación de las cookies, de forma que el usuario pueda otorgar su consentimiento informado, que es el que se otorga después de haber sido debidamente informado.

Sería ridículo que hubieran previsto en la Ley una sanción por la falta de obtención del “consentimiento informado” puesto que una de las condiciones que debe cumplir la información es que se ofrezca antes de la instalación de cookies; con lo cual, el consentimiento queda implícito en el correcto cumplimiento de información previa.

Art. 22.2 LSSI “[Podrán instalarse cookies a los usuarios] a condición de que los mismos [usuarios] hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”.

Justo antes de decir la palabra “información”, el artículo indica que esta ha de ser previa; y justo después, indica que debe ser clara y completa. Debe ser “previa” porque es la forma de permitir que el usuario pueda otorgar su consentimiento informado, que puede ser expreso o tácito, y que es la condición para que puedan instalarse las cookies. Así, la novedad de la ley es que la información debe ser “previa”.

Art. 38.3 LSSI “Son infracciones graves:

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.”

Art. 38.4 LSSI “Son infracciones leves:

g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.”

Art. 39.1 “Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Por tanto, no se sanciona la falta de consentimiento, sino que se sanciona que la información no sea la válida (clara, completa y previa), como también explica la abogada Ruth Benito.

La multa por protección de datos se dará solo cuando proceda, según la normativa de protección de datos (LO 15/1999 o LOPD). Este asunto lo dejo para otros artículos.

Esta respuesta está explicada también en la pregunta 14 del artículo ‘Cómo cumplir la Ley de Cookies’.

[Actualización 11/9/2013]

14. ¿Cuál es tu opinión sobre la Ley de Cookies?

Esta norma es un despropósito lamentable del legislador.

Puesto que tenemos una Ley de Cookies imposible de cumplir, se exigirán solo las obligaciones que imponía el artículo derogado. Ridículo, pero es lo que considero que va a ocurrir.

Intuyo que sucederá lo siguiente:

  • Multa: Al demandado se le multará solo por no informar de forma completa y clara sobre sus cookies. Conclusión: Hay que seguir informando sobre las cookies en el aviso legal.
  • Consentimiento: No se exigirá consentimiento previo, aunque la ley obliga a ello. Conclusión: se podrán instalar todas las cookies directamente, cuando se abra cualquier página web.
  • Pop-up: Se exigirá mostrar un ridículo, absurdo y molesto banner o pop-up diciendo que ya se han instalado las cookies, con un enlace al aviso legal. Conclusión: Si la web instala cookies, debe mostrar un banner informativo al menos en el primer acceso.
  • Facebook, Twitter…: Se permitirá mantener sitios web en cualquier plataforma nacional o extranjera y no se investigarán las cookies de terceros que permitan instalar. Conclusión: Se podrá elegir cualquier tecnología sin cargar con la responsabilidad que conllevaría.

Es posible que el cumplimiento del artículo actual sí se exija a ciertas páginas para adultos y para la instalación de cookies que se consideren peligrosas. Pero, más allá de esto, no creo que se haga nada.

El resultado del procedimiento sancionador abierto será revelador. Nos dirá si la AEPD entiende la palabra “después” (art. 22.2 LSSI) como “después” o como “antes”. Y explicará si “a condición de” significa “a condición de” o “ignora lo que se dice a continuación”.

Nota: Disculpad que no cite los nombres de las entidades privadas con cuyos “avisos” ejemplifico y que haya recurrido a los dos únicos ministerios que intentan cumplir esta norma (tan absurda).

[Actualización 3/9/2013] Nota 2: En este post uso nombres de entidades no afectadas por la Ley de Cookies. Sí estarían afectadas las empresas españolas, pero he preferido no citar a ninguna. Así, los ejemplos de este post son únicamente ilustrativos. Cito a Foursquare y a Google porque las empresas de EE.UU. no tienen que cumplir la Ley de Cookies (salvo excepciones). Cito a los Ministerios españoles porque no tienen que cumplir la Ley de Cookies (ver posts de Samuel Parra y Sergio Carrasco), a menos que se auto-obliguen. Tampoco tienen que cumplir la Ley de Cookies los blogs personales sin publicidad, entre otros. La lista de los que sí tienen que cumplir esta ley se encuentra en los artículos 2 a 5 de la Ley 34/2002.

[Actualización 10/9/2013] Disculpa que me haya tomado ciertas libertades para relatar el caso. Consideré inconveniente citar todos los hechos de forma literal y ofrecer información sensible. Por ahora solo tenemos un inicio de procedimiento sancionador, así que todo lo que aportemos en este blog son meras consideraciones, conjeturas e interpretaciones. Si la resolución se hiciera pública, tendremos acceso a los hechos reales y a las opiniones de la AEPD.

Si quieres hacer alguna pregunta, plantéala en los comentarios.

[publicidad]

235 thoughts on “Sanción por instalar cookies de Google Analytics (y otras)”

  1. Vista la regulación actual sobre las cookies, la Guía de la AEPD y diferentes artículos y blogs sobre la materia, se me plantea una duda que no me ha parecido ver resuelta. Un usuario accede por primera vez a cualquier Web que maneja cookies, al usuario se le informa y se obtiene adecuadamente el consentimiento con el mecanismo de las 2 capas, con lo que el cartelito de la 1ª capa ya desaparece para esta conexión y futuras conexiones de este usuario. Hasta ahí todo va bien si va a ser el único usuario de ese ordenador, pero ¿y si es un ordenador compartido en un hotel, cibercafé o incluso un domicilio? Los siguientes usuarios (suponiendo que no acceden con un username propio) no habrán sido informados ni habrán consentido porque en la práctica hay un usuario usado por diferentes personas. Aunque claro, en estos casos, la información obtenida por las cookies será la obtenida por el conjunto de acciones que realicen los usuarios de ese terminal, por lo que se podría decir que las implicaciones en la privacidad se reducen. Aún así, en pura teoría aplicaría igualmente la LSSI y la regulación de las cookies (que habla de “destinatarios”, definidos por la LSSI como “persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información”) y esos usuarios no habrían consentido.

  2. Yo me pregunto que repercusión está teniendo el poner el cartelito de marras en las tiendas online. Pienso que el que ese cartel aparezca, hace que el visitante huya por temor a que sea un malware o una publicidad agresiva.

    Por otra parte, hay CMS’s en las que veo casi imposible el anular las cookies antes de que cargue la web. Se tendría casi que rehacer el sistema de carga de esos CMS’s, ya que tendría que hacer una revisión de todos los módulos para ver cuantos de ellos utiliza cookies. Si el usuario por ejemplo elige que no quiere utilizar cookies, esa página inicial tendría que autorecargarse deshabilitandole todos esos módulos.

    Esta Ley me parece estúpida. De todas formas se acerca una guerra entre compañías para ver quien vence en la tecnología sustituta de las actuales cookies:
    http://www.genbeta.com/navegadores/microsoft-desarrollando-su-propio-sistema-de-cookies-que-funcione-en-ordenadores-moviles-y-xbox

  3. ¿Cuándo se sabrá el resultado de esa sanción?
    Por otra parte, decir que he utilizado una extensión para cumplir la ley en mi web, y los resultados han sido terribles. Según algunas configuraciones de los usuarios les resultaba imposible logearse en los foros, y la pérdida de visitas ha sido de un 70%. Supongo que habrá que contratar expertos infórmáticos para hacer esto, porque no hay dos webs, ni dos usuarios iguales. Deberíamos reclamar algún tipo de subvención al estado, porque el daño es intolerable. Al final he tenido que desinstalar la extensión, y seguir como siempre.

  4. Este gobierno da asco. Hay que echarlos como sea. Maldita la hora en que voté a Rajoy. Todo internet lleno de cuadros absurdos que molestan y crean inseguridad.
    Son unos analfabetos.

    Y el que denunció a tu cliente, tiene que ser porque tu cliente efiel enemigo del gobierno y van al cuello a por él.

  5. Vaya ley más estúpida. De que sirve avisar a los usuarios de que “se van a instalar cookies” si la mayoría no tienen ni idea. Por no hablar que incluso les da miedo.

    Y la mayoría de los que vivimos de AdSense, ¿cómo vamos a modificar nuestros wordpress, joomblas, prestashops y un largo etc para que no metan ninguna cookie antes de aterrorizar al cliente con el mensajito? ¿y si no lo aceptan enconces que hacemos?, las webs que utilizan estas herramientas funcionan a base de cookies para que la navegación sea sencilla

    Y los usuarios que nos visitan asiduamente y no aceptan las cookies, ¿cómo vamos a hacer para guardar su preferencia, si no podemos poner una cookie que recuerde que el usuario no quiere cookies? ¿o le daremos la vara con un cartelito cada vez que intente entrar en la web?

    Francamente, esta ley la ha tenido que pensar o un chimpanzé del zoo, o algún maquiavelo del PP para poder cargarse cualquier web que hable mal de ellos.

    Dicen por muchas webs que el PSOE y el PP son la misma porquería, pero no, si el PSOE es purria, el PP es muchísimo peor.

  6. Duda; Si la web esta alojada en un país que no es España y se usa un dominio que no es el .es (o cualquier autonómico) no estando sujeto a nada relacionado con el territorio nacional, salvo quizás algún tráfico que llegue desde el país ¿realmente hay que cumplir la ley de cookies española o la del país donde se tramita y esta asociado dicho host y dominio?

    Por aquí podría haber un vació que no ampare esta ley de cookies y que por consiguiente no se tendría que llevar a cabo =/

  7. Muy interesante tu artículo Pablo. La verdad es que después de leerlo se le queda a uno mal cuerpo. Sinceramente me parecen desproporcionadas tanto las exigencias de la ley como las sanciones.

  8. Muy buen artículo, Ahora mi reflexión, todos tenemos que adaptarnos a la ley, si o si, ya que de lo contrario nos puede caer un paquetón. Pero alguien ha entrado por curiosidad en la web del Partido popular, según esta ley, NO LA CUMPLEN! ¿Entonces por qué he de cumplirla yo? Reflexionemos!!

  9. Me gustaría poder hacer un extracto de este post, para enviarles información a mis clientes.
    Solicito permiso para ello. Te ruego me digas si te parece correcto o no.
    Por supuesto, citaré la fuente.

  10. [Publicidad]

Deja un comentario