miércoles, 28 de octubre de 2020

La sanción a Iberia y las cookies

 Estoy leyendo algunas noticias y también hoy me han hecho una consulta, sobre la sanción a Iberia por incumplir el artículo 22 de la Ley de Comercio Electrónico (artículo conocido también como “la ley de Cookies”) 

Y se están mezclando los 30.000 euros con los que se ha sancionado a Iberia, con el plazo del 31 de octubre que ha dado la Agencia de Protección de Datos para que los sitios web estén adaptados conforme a su última actualización de la guía de cookies

Si se quiere utilizar el tema para asustar como si fueran dos hechos relacionados, “pos fueno, pos fale, pos me alegro”, pero creo que es pertinente aclarar que no lo están del todo.  Y voy a ver si puedo aclarar algo al respecto. 

En primer lugar, la principal actualización de la guía de cookies está relacionada con la necesidad de recabar el consentimiento expreso del usuario cuando se le instalan cookies que requieren dicho consentimiento. Es decir, ya no sirven fórmulas del tipo “si sigues navegando entendemos que nos das tu consentimiento”. 

Ahora el usuario tendrá que realizar una acción proactiva, ya sea pinchando el botón de “aceptar” o configurando las cookies que quiere consentir instalar, para otorgar su consentimiento expreso. Este tema ya lo expliqué en un post anterior. 

La sanción que ha impuesto la Agencia de Protección de Datos a Iberia y que puede consultarse en este enlace https://www.aepd.es/es/documento/ps-00032-2020.pdf, ha sido por incumplir el artículo 22.2 de la Ley de Comercio Electrónico. Y sí,  también por no tener en cuenta las recomendaciones de la guía de cookies, pero la que ya existía antes de esta última actualización de hace tres meses. 

Iberia fue denunciada (en octubre de 2019) por un usuario porque no proporcionaba la opción de rechazar las cookies. Es más, si un usuario quería seguir navegando en el sitio web de Iberia, debía aceptar las cookies. 

En noviembre de 2019, la Agencia le pide a Iberia que se explique y, dos meses después (en enero de 2020), Iberia, alega dos cosas:

  • Que llevaba desde junio de 2019 diseñando una solución para adaptar la política de cookies a las exigencias del RGPD.
  • Y que estaba implantando un banner para configurar los tipos de cookies de la web o aceptar todas.

Vistas las alegaciones de Iberia, a principios de febrero de 2020, el inspector de la Agencia de Protección de Datos entra en la web y verifica un cúmulo de sucesivas desdichas:

  • Que se sigue sin permitir rechazar las cookies. Es más, se cargan sin interaccionar con el banner, cookies que requiere el consentimiento:
    • Double click
    • Analíticas de Google (_gi y _gid)
  • Que varios puntos de la política de cookies no se ajustaban a las recomendaciones de la Agencia en su guía.
    • En concreto, el banner de primera capa era poco conciso, transparente e inteligible. Se refiere la Agencia a la parte del banner que decía “se almacenan cookies en su dispositivo para garantizar el buen funcionamiento y la seguridad de nuestros sitios webs, y ofrecerle la mejor experiencia de navegación posible”.
  • Y que, en definitiva, no había hecho los cambios que alegaban haber realizado. 

Y es cuando Iberia recibe la incoación del expediente sancionador, después de que la Agencia comprobara que seguían sin implantar los cambios cuando, ya sí, modifican el sitio web.

Iberia alegó a la Agencia de Protección de Datos que se la podría haber apercibido y no sancionado, a lo que la Agencia contestó que eso hubiera aplicado de haberse realizado los cambios cuando dijeron que los habían hecho (el clásico «pues ahora te bajas y te vas andando»). 

En conclusión, que ya existían obligaciones derivadas de la necesidad de cumplir el artículo 22 de la Ley de Comercio Electrónico antes de tener que correr en círculos con las manos en la cabeza con la fecha límite del 31 de octubre. 

Y recordad que algunas cookies tienen que ser como los vampiros: hay que invitarlas expresamente para que puedan entrar en tu casa. 

No hay comentarios:

Publicar un comentario