Entradas

Las cookies, a las que ya dedicamos un artículo, en su momento, son muy habituales en cualquier página web, e igual de habitual es que estén en el punto de mira de la AEPD y otras autoridades de control.

A finales de 2020, entró en vigor la versión más reciente de la Guía de cookies de la AEPD y, desde entonces, hemos apreciado un notable cambio de criterio en las resoluciones y en las sanciones de la Agencia. En este post, hacemos un repaso cronológico de esa evolución, y destacamos algunas multas importantes.

Cómo ha evolucionado el criterio y las multas de la AEPD

Desde la entrada en vigor del RGPD en 2018, empezamos a ver que las resoluciones sobre incumplimientos en las cookies eran cada vez más frecuentes, la mayoría relacionadas con:

  • Falta de información
  • Imposibilidad de identificar al titular de la web
  • Falta de aviso o banner de cookies
  • Falta o insuficiencia de política de cookies
  • No ofrecer al usuario la opción de configurar o rechazar las cookies
  • Instalación de cookies sin consentimiento previo

¿En qué punto estaban las cookies antes de la guía de la AEPD?

Antes de la entrada en vigor de la guía, la mayoría de las sanciones de la AEPD sobre cookies se resolvían con un apercibimiento, es decir, con un simple aviso, sin multa económica.

¿Y qué pasa con la entrada en vigor de la guía en 2020?

Con la llegada de la guía de cookies y hasta el momento actual, el criterio de la AEPD se ha hecho cada vez más estricto, y las sanciones económicas cada vez más frecuentes (y dolorosas). Aquí va una muestra de algunas de los últimos años:

1. Noviembre de 2022

  • Reclamante: procedimiento iniciado de oficio por la AEPD
  • Reclamada: Techpump Solutions
  • Objeto: incumplimientos en la política de cookies, entre otros
  • Sanción: 500.000 euros
  • Infracción: muchísimas, hasta 10 infracciones de la normativa. Por ejemplo: cookies que se instalan sin consentimiento, falta de aviso sobre cookies, política de cookies que solo consta en inglés… La resolución completa la tienes aquí.

2. Junio de 2022

  • Reclamante: usuario web
  • Reclamada: Vueling Airlines
  • Objeto: falta de consentimiento
  • Sanción: 30.000 euros, reducidos a 18.000 por pago voluntario
  • Infracción: instalación de cookies en la web de Vueling sin consentimiento previo del usuario. Vueling reconoció los hechos y procedió al pago de la multa, por lo que el procedimiento se resolvió de esta manera.

3. Junio de 2021

  • Reclamante: usuario web
  • Reclamada: RIUSA II.
  • Objeto: falta de información y consentimiento
  • Sanción: 3.000 euros
  • Infracción: instalación de cookies no técnicas sin consentimiento, inexistencia de información sobre cookies, sus funciones y plazos de aplicación y dificultar al usuario que pueda modificar sus preferencias sobre cookies. Resolución, aquí.

4. Marzo de 2021

  • Reclamante: usuario web
  • Reclamada: ABANCA CORPORACIÓN BANCARIA, S.A
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: 5.000 euros, reducidos a 3.000, por reconocimiento de responsabilidad y pago en periodo voluntario.
  • Infracción: instalación sin consentimiento y uso de cookies analíticas de terceros.

5. Febrero de 2021

  • Reclamante: usuario web
  • Reclamada: IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA UNIPERSONAL.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 30.000 euros. Aunque se presentó recurso de reposición, resultó desestimado.
  • Infracción: la AEPD sancionó a IBERIA por no ofrecer, en su página web, opciones de rechazo a la instalación de cookies y por, además obligar al usuario a aceptar las cookies para poder navegar por la misma.

6. Noviembre de 2019

  • Reclamante: usuario web
  • Reclamada: IKEA IBÉRICA, S.A.U.
  • Objeto: vulneración del art. 22.2 LSSI
  • Sanción: multa de 10.000 euros.
  • Infracción: instalación de cookies sin consentimiento previo, incluso habiéndolas rechazado. Eso sí: a día de hoy, basta con echar un vistazo a la web de Ikea España, para observar que han corregido este incumplimiento.

Qué dicen otras autoridades de control sobre las cookies

La AEPD no es la única autoridad de protección de datos que se ha pronunciado sobre cumplimiento y recomendaciones asociadas a las cookies. De hecho, son muchas las agencias que lo han hecho. Aquí, te dejamos algunos ejemplos y enlaces a sus correspondientes guías:

Francia

La CNIL, su autoridad de control, es una de las más activas en Europa y cuenta con unas recomendaciones para el uso de cookies y otras tecnologías de rastreo.

Reino Unido

Es otro de los países que, pese a que ya no forma parte de la Unión Europea, continúa preocupándose por el cumplimiento normativo. Muestra de ello es su guía para el uso de cookies y otras tecnologías similares.

Andorra

Nuestro vecino también tiene una guía sobre cookies, política de privacidad y aviso legal, actualizada por última vez en febrero de este mismo año.

Italia

Otro Estado que también cuenta con un instrumento regulador en este sentido: su guía sobre cookies y otras tecnologías de rastreo.

Alemania

Un poco más al norte, en Alemania cuentan con una guía para proveedores de telecomunicaciones que incluye recomendaciones específicas sobre cookies.

Para no olvidar…

Las sanciones en protección de datos no llegan de forma indiscriminada, intervienen muchos factores. No cualquier incumplimiento implica un golpe económico, pero sí es importante que seamos conscientes de que exige la norma y qué puede pasar si no nos adaptamos a ella.

Sobre cookies, hay muchísimo escrito y muchísima información desde las más variadas perspectivas, pero no hay que perder el norte, pues todo lo que te hemos contado tiene un objetivo claro: protegernos como usuarios y garantizar nuestra privacidad y derechos.

Las noticias que afectan nuestro trabajo van cada día muy rápido y nos encantaría hacérselas llegar para que puedan conocer como “van las barbas de los vecinos” y así entender algunas de las recomendaciones y cambios que todo proyecto de adecuación requiere.

Aquí, a modo de boletín, publicamos un resumen de las noticias, sanciones y publicaciones más críticas del mes anterior.

Para empezar, noticias relevantes de interés sobre protección de datos

El primer euro digital ya se prueba en España

El euro digital ha empezado ya sus pruebas piloto. Y el Banco de España es uno de los encargados en estudiar cómo sería una de sus posibles implementaciones. Para este primer euro digital de Europa, se ha elegido a la compañía española Monei. Su criptomoneda, EURM, ha sido elegida como banco de pruebas del euro digital.

Récord de multas en la Unión Europea relacionadas con el RGPD

En los últimos doce meses, los reguladores europeos encargados de la protección de datos han emitido multas por valor de 2.920 millones de euros al vulnerar el Reglamento General de Protección de Datos (RGPD). Un aumento del 168% respecto a 2021.

Informe de la Comisión Europea sobre patrones oscuros

La Comisión Europea ha publicado un informe sobre patrones oscuros en tiendas online; 148 de las 399 tiendas analizadas incluían alguno de los tres patrones oscuros más comunes: temporizadores, dirigir al consumidor hacia el producto más caro o invisibilizar información relevante.

El Monedero Digital: nuevo proyecto de la Unión Europea

El nuevo proyecto de la Unión Europea: un «Monedero Digital«, una única aplicación donde se tendrán todos los documentos oficiales, DNI, pagos, contraseñas y más. Hará posible acciones que van desde verificar nuestra identidad hasta alquilar un coche, por ejemplo.

Novedades en los partes de incapacidad temporal

El pasado 5 de enero, se publicó en el BOE el Real Decreto 1060/2022, de 27 de diciembre, por el que se modifica el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración que, entre otras, elimina la obligación de los trabajadores de entregar los partes de baja por incapacidad temporal a sus empresas. La norma entrará en vigor el 1 de abril de este año.

Absuelto por el Tribunal Supremo por acceso ilegítimo a sus datos médicos

El Tribunal Supremo ha anulado una condena de 9 años de cárcel impuesta a un hombre por robos con violencia en la Comunidad Valenciana al considerar que la Guardia Civil accedió, sin su consentimiento ni orden judicial, a sus datos médicos, lo que fue determinante para averiguar su identidad y poder arrestarlo.

Neeva: un buscador que apuesta por la privacidad de los usuarios

Llega a España el nuevo motor de búsqueda Neeva, creado por dos antiguos empleados de Google. La compañía destaca que su tecnología permite a los usuarios evitar ser rastreados, a la vez que no cuenta con anuncios molestos durante la navegación, lo que permite ofrecer «resultados de búsqueda reales».

Nuevo Código de Conducta de AUTOCONTROL

La AEPD ha aprobado la modificación del Código de conducta de AUTOCONTROL ‘Tratamiento de datos en la actividad publicitaria’, que recoge una vía para resolver de forma más ágil las reclamaciones en materia de protección de datos y publicidad que puedan plantear los ciudadanos.

En el blog de la AEPD: neurodatos, privacidad y protección de datos

Las interfaces cerebro-computador permiten recoger neurodatos que, asociados a personas identificadas son datos personales. Con análisis avanzados y uso de Inteligencia Artificial podrían inferir y revelar información asociada a pensamientos, sentimientos o estados de salud, además de perfilar al individuo.

Sanciones y otras novedades relevantes de la AEPD

¡Ojo con pre-marcar las casillas en formularios de recogida de datos!

La AEPD ha multado con 20.000 euros -16.000 por acogerse a la reducción por pago voluntario- al Hospital Recoletas Ponferrada por premarcar en una tablet casillas relacionadas con la protección de datos que los pacientes tenían que rellenar antes de ser atendidos, conducta que vulnera lo dispuesto en los arts. 6.1 y 15 del RGPD.

Dato importante sobre la creación de grupos de WhatsApp de trabajo

La AEPD ha archivado las actuaciones en un expediente relacionado con la creación de grupos de WhatsApp por parte del empleador para la organización y desarrollo del trabajo particular, entendiendo que existía legitimación para esta acción y que no ha habido vulneración de la normativa reguladora.

Los datos de geolocalización son datos personales

La Audiencia Nacional ha anulado una decisión de la Agencia Española de Protección de Datos (AEPD). La AEPD afirmó anteriormente que Virgin telco, un proveedor de telecomunicaciones, había actuado conforme a la ley cuando denegaba a sus clientes el acceso a sus datos de geolocalización. Noyb, organización que lucha por la privacidad, argumentó que los datos de geolocalización eran datos personales y debían facilitarse en virtud del derecho de acceso. Ahora, medio año después, tanto la AEPD como la Audiencia Nacional han dado la razón a Noyb

Cuidado con los sistemas de registro biométricos

La Agencia Española de Protección de Datos ha declarado que los sistemas biométricos para autorizar las entradas de aficionados a los estadios, como la huella dactilar, son ilegales.

Multada una empresa por usar WhatsApp de forma indebida

En este caso, con la imposición de una multa de 5.000 euros (reducida a 3.000 euros por pago en periodo voluntario) a una empresa por difundir la notificación de embargo de nómina de una trabajadora, sin su consentimiento, a un familiar de la misma

Otra, sancionada por incumplimientos en sus procesos de selección

La AEPD ha sancionado a una empresa que evaluaba a candidatos en procesos de selección solicitando, entre otros, datos de discapacidad y etnia, considerados datos sensibles o de categoría especial. Entiende la autoridad que no concurren las excepciones del art.9.2 del RGPD, lo que resulta en una multa de 50.000 euros.

Bankinter recibe una multa derivada de acceso a datos por un tercero

Bankinter ha abonado una multa de 80.000 euros a la Agencia de Protección de Datos, después de que un usuario del banco interpusiese una reclamación por tener acceso, a través de su cuenta, a los movimientos de otra cuenta perteneciente a un tercero. En el apartado correspondiente al extracto mensual, figuraban los movimientos de su cuenta y los de otra cuenta perteneciente a un tercero.

Y no nos olvidamos de otras noticias relevantes a nivel internacional

Irlanda: sanción multimillonaria contra Meta

La Comisión de Protección de Datos (DPC) anunció el pasado 4 de enero la conclusión de dos investigaciones; sobre las operaciones de tratamiento de datos de Meta Platforms Ireland Limited en relación con la prestación de sus servicios de Facebook e Instagram. La DPC ha tomado decisiones finales en las que ha multado a Meta con 210 millones de euros (por infracciones del RGPD en relación con Facebook) y 180 millones de euros (por infracciones en relación con Instagram). Así, hablamos de dos sanciones que, conjuntamente, ascienden a un total de 390 millones de euros. También se ha ordenado a Meta Ireland que cumpla con sus operaciones de tratamiento de datos en un período de 3 meses.

También en Irlanda: otra sanción millonaria contra WhatsApp

Más recientemente, el 19 de enero, la DPC anunció también la conclusión de una investigación sobre el procesamiento realizado por WhatsApp Ireland Limited; en relación con la prestación de su servicio de WhatsApp, que resulta en una multa a WhatsApp Ireland con 5,5 millones de euros por incumplimientos del RGPD.

Y sigue la lluvia de sanciones: Apple, multado con 8 millones en Francia

En el plano internacional, empezamos fuerte. Hace unas semanas, la CNIL, autoridad de control francesa, impuso a la compañía Apple una multa de 8 millones de euros por no haber obtenido el consentimiento de los usuarios franceses de iPhone iOS 14.6 antes de depositar y/o escribir identificadores utilizados con fines publicitarios.

Tampoco se libra TikTok: 5 millones de multa por su uso de cookies

Las resoluciones de la CNIL no acaban con el caso de Apple, pues la autoridad de control francesa también ha impuesto este mes una multa de 5 millones de euros contra la red social TikTok, por incumplimientos relacionados con la información asociada al uso de cookies y con la dificultad para el usuario de configurarlas o rechazarlas a su gusto.

En Finlandia, una sanción relacionada con datos médicos y consentimiento

La autoridad de control finlandesa ha anunciado la imposición de una multa a una organización por no obtener el consentimiento del interesado para el tratamiento de datos de salud personal (consumo máximo de oxígeno e índice de masa corporal), que es parte del negocio principal de la empresa.

También en Finlandia: sanción relacionada con el ejercicio de derechos

La autoridad de protección de datos finlandesa sancionó con 750.000€ a Alektum Oy (agencia de recaudación) por no responder a las solicitudes de acceso de los interesados y por no cooperar -obstruir la investigación- con dicha autoridad.