Incumplimiento de la política de privacidad e inaplicación de la política de cookies

En interés de sensibilizar a las empresas con el cumplimiento de la normativa de protección de datos y de los servicios de la sociedad de la información, comentamos a continuación la resolución de un procedimiento sancionador de la Agencia Española de Protección de Datos publicado el 27 de abril de 2023 (PS-00393-2022) frente a una entidad que incumplió con el contenido de la política de privacidad e inaplicó la correspondiente política de cookies de su web corporativa.

 

Política de privacidad

La política de privacidad de la entidad enlazaba a nueva página web proporcionando información sobre: la información personal que recopilaba; cómo utilizaba dicha información; cómo la compartía; sobre los derechos del usuario; y cómo contactar con el responsable de la página web. No obstante, el contenido de la política infringía el artículo 13 del Reglamento General de Protección de Datos (RGPD), que prevé un listado de la información que debe facilitar el responsable del tratamiento al interesado. Asimismo, y en concordancia con el artículo 72.1.h) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y de garantía de los derechos digitales (LOPDGDD), considera muy grave “la omisión de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 RGPD”. Como consecuencia de lo anterior, y conforme a la circunstancia agravante del artículo 76.2 LOPDGDD, se fija una sanción de 5.000€.

 

Política de cookies

Por otro lado, sobre la política de cookies, se acredita la existencia de un banner de cookies cuyo enlace desplegaba la política de privacidad, pero sin identificar las finalidades para las que se utilizarían las cookies. Sin embargo, lo más grave de todo es que no existía política de cookies, y consecuentemente, no existía mecanismo alguno que permitiera al usuario rechazarlas o gestionarlas. Además, se detalla en el expediente del procedimiento que las cookies que se utilizaban no eran técnicas o necesarias. Esta cadena de irregularidades supone la infracción del artículo 22.2 de la Ley 34/2022, de servicios de la sociedad de la información y del comercio electrónico (LSSI), aplicando criterios agravantes estipulados en el artículo 40 LSSI, fijando la sanción en 5.000€.

Como indica la AEPD en su resolución, el banner de cookies debe incluir información del editor responsable del sitio web, una identificación genérica de las finalidades de las cookies que se utilizarán y si estas son propias o de terceros; información genérica sobre el tipo de datos a recopilar, y el modo en que el usuario pueda aceptar, configurar o rechazar el uso de las cookies. Asimismo, indica que en el banner debe haber un enlace dirigido a una segunda capa informativa sobre el uso de las cookies que sirva al usuario para acceder al panel de configuración de cookies. En esta segunda capa, debe proporcionarse información sobre las características de las cookies.

En cuanto a la política de cookies, debe proporcionar información detallada de las características de las cookies (definición y función genérica de las cookies); tipo de cookies a utilizar y su finalidad; la identificación de quien utiliza las cookies; el periodo de conservación de las cookies; y en su caso, información sobre las transferencias de datos a terceros países.

 

Actualmente, desde SNL Group asesoramos y prestamos servicios de protección de datos y de servicios de la sociedad de la información para las webs corporativas de nuestros clientes, con el fin de asegurar que los mismos se encuentren blindados frente a cualquier notificación de la AEPD.

 

 

Carlos Cambrón Murillo

Técnico en protección de datos

SNL Group

 

Suscríbase a nuestra Newsletter

Y obtenga información relevante sobre Consultoría Legal y Formación

SNL Consulting