Skip links
AEPD y cookies: algunas sanciones relevantes

AEPD y cookies: algunas sanciones relevantes

Las cookies están presentes en muchas páginas web, y también están frecuentemente en el punto de mira de la AEPD y otras Autoridades de Protección de Datos.

Las cookies, a las que ya dedicamos un artículo, en su momento, son muy habituales en cualquier página web, e igual de habitual es que estén en el punto de mira de la AEPD y otras autoridades de control.

A finales de 2020, entró en vigor la versión más reciente de la Guía de cookies de la AEPD y, desde entonces, hemos apreciado un notable cambio de criterio en las resoluciones y en las sanciones de la Agencia. En este post, hacemos un repaso cronológico de esa evolución, y destacamos algunas multas importantes.

Cómo ha evolucionado el criterio y las multas de la AEPD

Desde la entrada en vigor del RGPD en 2018, empezamos a ver que las resoluciones sobre incumplimientos en las cookies eran cada vez más frecuentes, la mayoría relacionadas con:

  • Falta de información
  • Imposibilidad de identificar al titular de la web
  • Falta de aviso o banner de cookies
  • Falta o insuficiencia de política de cookies
  • No ofrecer al usuario la opción de configurar o rechazar las cookies
  • Instalación de cookies sin consentimiento previo

¿En qué punto estaban las cookies antes de la guía de la AEPD?

Antes de la entrada en vigor de la guía, la mayoría de las sanciones de la AEPD sobre cookies se resolvían con un apercibimiento, es decir, con un simple aviso, sin multa económica.

¿Y qué pasa con la entrada en vigor de la guía en 2020?

Con la llegada de la guía de cookies y hasta el momento actual, el criterio de la AEPD se ha hecho cada vez más estricto, y las sanciones económicas cada vez más frecuentes (y dolorosas). Aquí va una muestra de algunas de los últimos años:

1. Noviembre de 2022

  • Reclamante: procedimiento iniciado de oficio por la AEPD
  • Reclamada: Techpump Solutions
  • Objeto: incumplimientos en la política de cookies, entre otros
  • Sanción: 500.000 euros
  • Infracción: muchísimas, hasta 10 infracciones de la normativa. Por ejemplo: cookies que se instalan sin consentimiento, falta de aviso sobre cookies, política de cookies que solo consta en inglés… La resolución completa la tienes aquí.

2. Junio de 2022

  • Reclamante: usuario web
  • Reclamada: Vueling Airlines
  • Objeto: falta de consentimiento
  • Sanción: 30.000 euros, reducidos a 18.000 por pago voluntario
  • Infracción: instalación de cookies en la web de Vueling sin consentimiento previo del usuario. Vueling reconoció los hechos y procedió al pago de la multa, por lo que el procedimiento se resolvió de esta manera.

3. Junio de 2021

  • Reclamante: usuario web
  • Reclamada: RIUSA II.
  • Objeto: falta de información y consentimiento
  • Sanción: 3.000 euros
  • Infracción: instalación de cookies no técnicas sin consentimiento, inexistencia de información sobre cookies, sus funciones y plazos de aplicación y dificultar al usuario que pueda modificar sus preferencias sobre cookies. Resolución, aquí.

4. Marzo de 2021

  • Reclamante: usuario web
  • Reclamada: ABANCA CORPORACIÓN BANCARIA, S.A
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: 5.000 euros, reducidos a 3.000, por reconocimiento de responsabilidad y pago en periodo voluntario.
  • Infracción: instalación sin consentimiento y uso de cookies analíticas de terceros.

5. Febrero de 2021

  • Reclamante: usuario web
  • Reclamada: IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA UNIPERSONAL.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 30.000 euros. Aunque se presentó recurso de reposición, resultó desestimado.
  • Infracción: la AEPD sancionó a IBERIA por no ofrecer, en su página web, opciones de rechazo a la instalación de cookies y por, además obligar al usuario a aceptar las cookies para poder navegar por la misma.

6. Noviembre de 2019

  • Reclamante: usuario web
  • Reclamada: IKEA IBÉRICA, S.A.U.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 10.000 euros.
  • Infracción: instalación de cookies sin consentimiento previo, incluso habiéndolas rechazado. Eso sí: a día de hoy, basta con echar un vistazo a la web de Ikea España, para observar que han corregido este incumplimiento.

Qué dicen otras autoridades de control sobre las cookies

La AEPD no es la única autoridad de protección de datos que se ha pronunciado sobre cumplimiento y recomendaciones asociadas a las cookies. De hecho, son muchas las agencias que lo han hecho. Aquí, te dejamos algunos ejemplos y enlaces a sus correspondientes guías:

Francia

La CNIL, su autoridad de control, es una de las más activas en Europa y cuenta con unas recomendaciones para el uso de cookies y otras tecnologías de rastreo.

Reino Unido

Es otro de los países que, pese a que ya no forma parte de la Unión Europea, continúa preocupándose por el cumplimiento normativo. Muestra de ello es su guía para el uso de cookies y otras tecnologías similares.

Andorra

Nuestro vecino también tiene una guía sobre cookies, política de privacidad y aviso legal, actualizada por última vez en febrero de este mismo año.

Italia

Otro Estado que también cuenta con un instrumento regulador en este sentido: su guía sobre cookies y otras tecnologías de rastreo.

Alemania

Un poco más al norte, en Alemania cuentan con una guía para proveedores de telecomunicaciones que incluye recomendaciones específicas sobre cookies.

Para no olvidar…

Las sanciones en protección de datos no llegan de forma indiscriminada, intervienen muchos factores. No cualquier incumplimiento implica un golpe económico, pero sí es importante que seamos conscientes de que exige la norma y qué puede pasar si no nos adaptamos a ella.

Sobre cookies, hay muchísimo escrito y muchísima información desde las más variadas perspectivas, pero no hay que perder el norte, pues todo lo que te hemos contado tiene un objetivo claro: protegernos como usuarios y garantizar nuestra privacidad y derechos.