Evitamos sanción a un cliente por mala gestión de cookies en su web


No solemos escribir sobre los procedimientos que gestionamos entre la Agencia de Protección de Datos y nuestros clientes, pero esta vez, queremos haceros un resumen de este caso para demostraros que este tipo de situaciones se pueden producir fácilmente en cualquiera de vuestros negocios y que la AEPD es muy diligente a la hora de gestionar este tipo de expedientes.

El resumen de los hechos, de forma esquemática y ordenados cronológicamente, sería el siguiente:

  • Una usuaria particular entra en la web de nuestro cliente para contratar sus servicios y al darse cuenta que se le estaban instalando cookies en su ordenador sin ella dar su consentimiento decide ponerlo en conocimiento de la AEPD.
  • La usuaria en cuestión hace un escrito de reclamación a través de la sede electrónica de la Agencia e indica, entre otros aspectos, lo siguiente:

“Hemos constatado que la web https://xxxxx no incluye el banner que recoge qué cookies y rastreadores están presentes en la web y otorga a los usuarios la opción de consentir antes de que sus datos sean procesados. Al no incluir dicho banner he buscado la política de cookies y la información es falsa y no solo eso, cuando he intentado contactar con ellos en todos sus formularios te obligan a aceptar el consentimiento de envío de comunicaciones comerciales cuando creo que esta opción debería poder elegirla yo”.

  • La Agencia de Protección de Datos dirige requerimiento informativo a la parte reclamada (nuestro cliente) de conformidad con la normativa una vez revisadas las deficiencias que indica la demandante.
  • Se hace un escrito de contestación al requerimiento informando sobre los cambios que se han realizado en la web, los textos legales, así como la instalación del banner de cookies según nuestras directrices, por la aplicación de las diferentes capas de información, así como las casillas de regulación del consentimiento consensuadas con el informático de nuestro cliente.
  • La Agencia admite a trámite la contestación, pero al revisar de nuevo algunos aspectos técnicos, sobre todo en cuanto a la gestión de las cookies, determina que no se aplican de acuerdo a la normativa, ya que el banner no estaba bien instalado y las cookies seguían apareciendo todo y no marcar como autorizadas; con las evidencias de que dispone la AEPD procede a la apertura de procedimiento sancionador de 2 mil euros por infracción del artículo 22.2 de la LSSI.
  • Nos reunimos de forma inmediata con el desarrollador web del cliente para valorar lo que ha pasado y determinamos después de varias reuniones, que el plugin de WP utilizado para la gestión de las cookies no funciona correctamente (error técnico javascript) y nos ponemos en contacto con el proveedor del plugin para ver cómo lo podemos resolver abriendo incidencia.
  • Finalmente, el proveedor resuelve el problema y el informático de nuestro cliente aplica de manera correcta las funcionalidades del plugin en cuestión para la gestión de cookies.
  • Aún estamos dentro del plazo (10 días hábiles) y formulamos ante la AEPD las alegaciones correspondientes habiendo comprobado que todo funciona correctamente.
  • La Agencia una vez recibidas las alegaciones revisa de nuevo la página web y viendo que la política de cookies se ajusta a la normativa procede a ARCHIVAR el procedimiento contra nuestro cliente sin ninguna sanción.

En este caso, el procedimiento ha tenido un ‘final feliz’ para nuestro cliente gracias a la gestión de nuestro equipo, pero hemos querido exponeros el caso, para que veáis que es relativamente sencillo, que si no tenemos bien aplicadas las medidas correspondientes nos pueden sancionar.

Por todo esto, es importante tener presente que:

  • Estamos expuestos a denuncias de usuarios anónimos (o conocidos) si no tenemos bien regulada nuestra página web.
  • Si hay denuncia, la AEPD procede y si está fundamentada inicia expediente sancionador.
  • Hay que tener en cuenta, más allá del espíritu sancionador que a menudo se nos quiere vender de la Agencia, que siempre suelen solicitar inicialmente las alegaciones correspondientes, y que, en este caso, debido a un error técnico, revisaron por segunda vez de manera exhaustiva y detallada el funcionamiento de la web procediendo a archivar la sanción al ver el esfuerzo por parte del cliente de resolver la incidencia. Y todo esto, en pleno agosto.

Por último, y dada la importancia de este tema, os hemos preparado una pequeña guía de cómo cumplir correctamente con la normativa de cookies en vuestra web basada en algunos aspectos de este procedimiento, porque os pueda ser útil de cara a validar cómo lo estáis aplicando y que la podáis facilitar a vuestros desarrolladores web.

GUIA_CUMPLIMIENTO_POLITICA_DE_COOKIES

¡Esperamos que os sea de utilidad!