La AEPD ha multado a VUELING AIRLINES S.L. con 30.000 euros[1]  por no haber obtenido el consentimiento adecuado para el uso de cookies en su página web.

Con el fin de proporcionar a los interesados la información requerida a efectos de transparencia de conformidad con el artículo 13 del RGPD, la empresa proporciono la información en 2 niveles:

En el primer nivel, el texto mencionaba que VUELING utiliza cookies para fines analíticos relacionados con el uso de su sitio web y para proporcionar publicidad dirigida a los usuarios del mismo. Sin embargo, la redacción incluía también un consentimiento implícito, según el cual, si el usuario del sitio web continuara su navegación, VUELING asumiría que el usuario del sitio web acepta el uso de las cookies.

En la segunda capa, VUELING proporcionó más información a los usuarios de su sitio web mencionando lo siguiente:

  1. Una descripción de lo que son las cookies;
  2. Información sobre qué cookies se utilizan en el sitio web;
  3. Información a los usuarios del sitio web según la cual VUELING podrá utilizar beacons, pixel tags, y el almacenamiento local a efectos de evaluaciones estadísticas sobre datos anónimos, y para garantizar la continuidad de los servicios ofrecidos a través de su sitio web para sus propios fines o a través de sitios web de terceros;
  4. La opción de que los usuarios del sitio web puedan configurar las cookies de acuerdo con sus preferencias en la configuración de su navegador; y,
  5. La posibilidad de que los usuarios del sitio web revoquen su consentimiento para el uso de cookies mediante el ajuste de la configuración de su navegador.

Fundamento Legal

La AEPD consideró que cuando los usuarios del sitio web alcanzaban la segunda capa de información, ya no podían oponerse al uso de estas cookies, ya que la política redirecciona esta opción a la configuración del navegador del sitio web. Por lo tanto, la opción ofrecida a los interesados no les permitiría gestionar adecuadamente el uso de cookies. Aunque la información relativa a la configuración del navegador para cookies es una medida complementaria, esta información por sí sola no permite al usuario gestionar sus preferencias de manera individualizada.  Los usuarios del sitio web deben tener la opción de aceptar todas las cookies, rechazar todas las cookies u ofrecer un panel individual para la administración de cookies.

Según la AEPD, con estos 2 niveles de información, VUELING infringió el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico[2]. Esta disposición exige que se preste el consentimiento de los interesados para el almacenamiento y la recuperación de los datos en los equipos terminales, de conformidad con los requisitos de la legislación europea sobre protección de datos. Además, este mismo artículo (22.2) clasifica la infracción como una infracción menor bajo el artículo 38.4 lit. g) de la misma ley. Dicha sanción menor según el artículo respectivo puede estimarse en hasta 30.000€.

Por ello, a la hora de establecer la sanción, la AEPD ha tenido en cuenta -en línea con el artículo 40 de la Ley 34/2002- lo siguiente:

La existencia de intención interpretada como culpa según la jurisprudencia española[3], ya que la empresa debía obtener el consentimiento de los interesados;

El plazo en que se cometió la infracción, considerando que la queja fue presentada en enero de 2019;

La naturaleza e importe de los daños en relación con el volumen de usuarios afectados por la infracción;

Los beneficios obtenidos de la infracción en relación con los usuarios afectados por la misma; y,

El volumen de negocios de la empresa.

La sanción se redujo a 18.000 € -un 20%-, ya que el artículo 85 de la Ley 39/2015 de Procedimiento Administrativo Común contempla la posibilidad de una reducción de la multa siempre que el autor haya aceptado la responsabilidad de la infracción, lo que supone la finalización del procedimiento administrativo. Por lo tanto, VUELING pagó un total de 18.000€ el 24 de septiembre de 2019, poniendo fin al procedimiento.

La sanción anterior se considerará como un precedente en cuanto a la imposición de sanciones administrativas por parte de la AEPD, en particular en lo que se refiere a la falta de obtención del consentimiento adecuado para el uso de cookies en un sitio web. La sanción impuesta de 30.000 € se encuentra dentro de la limitación local de sanciones administrativas menores; y dentro del rango establecido para las sanciones en el artículo 83 numerales 2 y 5 del GDPR.

Contraste con la sentencia del TJUE Planet49 Asunto C-673/17[4]

Es interesante analizar la sinergia entre la sentencia del Tribunal de Justicia de la Unión Europea sobre el consentimiento del interesado para el uso de cookies y el caso que nos ocupa.  En el caso Planet 49, el Abogado General indica que los deseos de los interesados deben desembocar claramente en una acción afirmativa. El uso de una opción preseleccionada puede ser considerada como un comportamiento pasivo de un usuario del sitio web. En este sentido, la selección de un botón para participar en una lotería no debe considerarse como un consentimiento suficiente para el almacenamiento de cookies.  Por lo tanto, el consentimiento, tal como se exige en la letra f) del artículo 2 y en el apartado 3 del artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE), de conformidad con lo dispuesto en el apartado c) del artículo 6 de la Directiva sobre la protección de la intimidad y las comunicaciones electrónicas (Directiva 2002/58/CE). 1 litro (a) del RGPD, no está válidamente constituido para el almacenamiento de información o acceso a la información almacenada en un terminal de usuarios del sitio web, siempre que el usuario del sitio web deba desmarcar una casilla de verificación marcada previamente o rechazar su consentimiento.

En comparación, el razonamiento jurídico de la sanción VUELING apoya además el concepto de consentimiento para el uso de cookies, ya que establece que el consentimiento implícito para el uso de cookies tampoco es un consentimiento válido con arreglo al RGPD, y refuerza aún más la aplicación de un método de consentimiento activo, tal como se describe en el considerando 32 RGPD[5].

Debido a la complejidad sobre la obtención del consentimiento apropiado para fines de marketing por los usuarios del sitio web, esperamos ver más interpretaciones por parte de las autoridades de protección de datos que desarrollen el consentimiento para el uso, almacenamiento o acceso de cookies en dispositivos terminales bajo el RGPD.

 

[1] https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf

[2] https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758

[3] Sentencia de la Audiencia Nacional de 12/11/2007 recaída en el Recurso núm. 351/2006.

[4]http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=8453384

[5] Considerando 32 RGPD: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”