en General, Internet - Sociedad Información

Si no obtienes el consentimiento informado del usuario antes de instalarle las cookies, NO TE PUEDEN SANCIONAR

Autor: Eric Gracia. Abogado en Derecho.com


Esta es la conclusión a la que llega la Agencia Española de Protección de Datos en su Resolución R/02990/2013, la primera que sanciona a una empresa por incumplir la normativa sobre uso de cookies en España.

El uso de cookies está regulado en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”); del cual se desprende la necesidad de cumplir con dos requisitos básicos a la hora de utilizar dichos dispositivos:

1º- Informar adecuadamente al usuario acerca del uso de cookies llevado a cabo por el sitio web (por ejemplo, mediante el sistema de información por capas).

2º- Obtener el consentimiento del usuario antes de proceder a instalar en su terminal las cookies.

Pues bien, en la práctica resulta que sólo se puede sancionar el incumplimiento del primer requisito, pero no el segundo. Esto es así en virtud de los principios de legalidad (art. 127) y tipicidad (art. 129) previstos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Así, en concreto, el principio de tipicidad consiste en que “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley”; “únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley” y “las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica.”

En este sentido, la LSSICE sólo prevé como infracción (art. 38.4.g) “el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.” Por tanto, incumplir el primer requisito antes citado sí puede sancionarse, pero no el segundo. Así lo dice la propia Agencia Española de Protección de Datos en su Fundamento de Derecho IX:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

Hay que tener en cuenta que en ámbito administrativo sancionador rigen los principios de legalidad y tipicidad recogidos en los artículos 127 y 129 de la Ley 30/1999, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que obligan a circunscribirse al sentido literal del precepto y a la tipificación contemplada respecto del mismo, sin que en ningún caso quepa efectuar una interpretación en sentido amplio. Por lo tanto, no puede sancionarse una conducta que no está contemplada en el tipo sancionador fijado por el artículo 38.4.g) de la LSSI, ya que este precepto hace referencia al establecimiento de un procedimiento de rechazo del tratamiento de datos.”

Ciertamente esto supone un alivio para los sitios web españoles que utilizan cookies sujetas a la LSSICE, pues actualmente la mayoría sólo cumplen con el primer requisito de informar adecuadamente al usuario acerca del uso de cookies.

_____________________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien accediendo a cualquiera de los siguientes enlaces:

Adaptación protección de datos
Auditoría protección de datos
Revisión textos legales para página web