TOP

SANCIÓN POR INSTALAR COOKIES DE GOOGLE ANALYTICS (Y OTRAS)

Seré breve, en el sentido “letrado”.
La AEPD acaba de notificar a Santiago A. J., mi cliente, que se inicia un procedimiento sancionador contra una empresa que no cumple la Ley de Cookies (disculpad que no ponga los datos identificativos reales). La sanción por el incumplimiento leve (art. 38.4.g LSSI) de la Ley de Cookies (art. 22.2 LSSI) es de hasta 30.000 (art 39.1.c LSSI). La sanción podría ser de hasta 150.000€ (art. 39.b LSSI) si el incumplimiento fuera significativo (art. 38.3.i LSSI), pero no es el caso.
Recuerda que los titulares de páginas web profesionales ahora tienen que impedir que se instalen chivatos (o cookies) en los ordenadores de sus usuarios, a menos que estos hayan dado antes su consentimiento informado para ello: Cómo cumplir la Ley de Cookies.
La sanción, si finalmente la hay, recaerá sobre una empresa que avisa con un pop-up de que va a instalar cookies, pero las instala antes de obtener el consentimiento informado del usuario.

Las cookies investigadas son las siguientes:
Google Analytics: Permite analizar el tráfico de la web. Cookies: __utma, __utmb, __utmc, __utmz
Google Maps: Permite insertar un mapa en la web. Cookies: NID, PREF, SNID, Khcookie
Google YouTube: Permite insertar vídeos en la web. Cookies: PREF, VISITOR_INFO1_LIVE, use_hitbox, YSC
Google Adsense: Permite mostrar publicidad en la web. Cookie: PREF
Google: Flash cookies o Local share objects asociada a Ytimg; id, asociada a Doubleclick
WordPress: Permite analizar el tráfico de la web. Cookie: __qca
Otras detectadas: Seevolution (svlu), Zopim (_zlcid y __cfduid); Magento (fronted y petlab)

Son cookies prácticas y sencillas de servicios que prácticamente todas las web profesionales tienen.
Estas cookies pueden bloquearse de forma sencilla, como hemos hecho en Abanlex: prescindimos de la cookie de WP deshabilitando las estadísticas de JetPack; la de YouTube no la necesitamos, por lo que marcamos la opción de “mejorar la privacidad” para no instalar la cookie; y bloqueamos la de Analytics con un complemento.

 Ante la duda de si las cookies de Google Analytics están o no incluidas en la prohibición, la respuesta es… sí. Están incluidas. Así lo indica claramente tanto la Directiva como el RD-l, también laLSSI, el GTA29 ayuda en esta interpretación y esta resolución de la AEPD lo re-re-reconfirma.


Las cookies de Google Analytics (__utmX) pueden instalarse después de que el usuario lo consienta.
En los blogs personales sin publicidad no es necesario pedir consentimiento.

Lo que tenemos, por ahora, es solo un inicio del procedimiento sancionador dictado por el Director de la AEPD (art. 127 RLOPD). La AEPD ha ofrecido al denunciado la posibilidad de presentar alegaciones o de reconocer su responsabilidad.

 Fácticos son, por ahora, los cuatro siguientes:
1. La web del denunciado informaba sobre el hecho de que usa cookies: “Utilizamos cookies…“
2. En septiembre de 2012: El denunciante presenta la denuncia.
3. En enero de 2013, el denunciado aumenta el contenido de su pop-up informativo: Sigue confirmando que las cookies ya se han instalado en el dispositivo del usuario y que si este no las quiere debe configurar su navegador, independientemente de cuál sea, para que las bloquee.
4. En julio de 2013 la AEPD inicia el procedimiento sancionador.

 La AEPD ha realizado tres pruebas en diferentes momentos:
1. Google Chrome en el equipo del Subinspector.
2. IE8 y Google Chrome en el equipo del Subinspector.
3. Mozilla Firefox portable v.21 con Firebug v1.11.3 instalado.

 Destaco el detalle de que la AEPD haya usado Firebug, además de haber auditado con varios navegadores. En mi caso, uso bastante Safari y Ópera, como la mayoría de los iPhoneros, no obstante, considero acertada la elección de la AEPD. Esta elección nos muestra algo más: los bloqueos de cookies por navegador deben tener en cuenta que hay multitud de navegadores (Konqueror, Arora, Flock, Camino), de versiones y de configuraciones. También destaco que en este caso han sido cookies los «dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios» (art. 22.2 LSSI) estudiados, pero podrán ser otros en casos diferentes, como las etiquetas ETag y ciertas librerías, con especial atención a las apps y los videojuegos.

 La AEPD, asimismo, encargó la elaboración de una Guía sobre el uso de las cookies. Su plazo de solicitud y publicación coincide con el plazo del análisis del caso, por lo que parece indicar que o el caso se ha reconvertido en guía, o ésta ha ayudado a solucionar el caso. El contenido de la guía es simple (no sencillo) pero supongo que orientará a algunos.

 Cuando se resuelva el caso, publicaré el resultado en este artículo y en @Pablofb
A continuación, explicaré algunos aspectos esenciales sobre el asunto de las cookies, adicionales a los que ya indiqué en mi post anterior. En los comentarios pueden plantearse dudas, si las hay.

1. Si el denunciado informa con un pop-up, ¿cuál es incumplimiento?
Al denunciado se le sancionará, si finalmente se le sanciona, por instalar cookies antes de obtener el consentimiento del usuario.
Es falso que la Ley de Cookies se cumpla poniendo un pop-up.

 2. Muchas páginas avisan con un pop-up de que han instalado cookies. ¿Incumplen la ley?
La mayoría de ellas incumple la ley.
Desde que se publicó la Guía sobre el uso de las cookies, Internet está sufriendo una epidemia de avisos inútiles sobre el uso de cookies.
Hasta el 31 de marzo de 2012 se podía informar sobre el uso de cookies mediante un pop-up.
Artículo 22.2 LSSI párrafo 1º [DEROGADO] «Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito».

Pero desde el 1 de abril de 2012 se piden dos cosas: 1º información + 2º consentimiento = instalación
Artículo 22.2 párrafo 1º LSSI [VIGENTE]: «Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal».

 Préstese atención a la palabra “después“. No se pueden instalar cookies antes; se pueden instalar “después”.

 En conclusión:
El párrafo derogado se cumplía mostrando un pop-up informativo o un aviso legal con la información siguiente (más lo correspondiente a LOPD): “Al utilizar nuestra web, aceptas el uso que hacemos de las cookies de XXXXXXX, que sirven para XXXXXX. Puedes configurar tu navegador para rechazarlas o usar el servicio de rechazo de cookies de la web XXXXXXXXX”.
El párrafo vigente se cumple obteniendo el consentimiento informado del usuario antes de instalarle cookies. O, lo que es lo mismo, la instalación de cookies debe hacerse después de haber obtenido el consentimiento del usuario.
La decisión de la AEPD, cuando la tengamos, desvelará si la palabra “después” del artículo 22.2 LSSI debe interpretarse como “después”… o como “antes”. ¿Baladí?

 3. ¿Puedo confiar en que el usuario haya configurado correctamente su navegador?
Ahora no.
Pero en un futuro cercano sí podrás confiar en la configuración del navegador:
Artículo 22.2 párrafo 2º LSSI [VIGENTE]: «Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.».

Este párrafo se interpreta de la siguiente forma: En general, no es técnicamente posible y eficaz; pero cuando sí lo sea (o para quien así lo logre), los sitios web podrán diferenciar navegadores e instalar cookies a unos, pedir consentimiento a otros y no molestar con avisos ni cookies al resto. Es decir, a un usuario que acceda a la web usando un navegador antiguo no podrás instalarle cookies a menos que te dé su consentimiento informado, pero a un usuario que haya configurado su navegador para aceptar un tipo concreto de cookies (por ejemplo: analíticas sí; publicitarias no) podrás instalárselas sin necesidad de informarle previamente y deberás conseguir su consentimiento informado antes de instalarle otras. Para usar este método, la página tiene que lograr diferenciar configuraciones y actuar con cada una según proceda.

En consecuencia, son incompletos y contrarios a la ley actual (pero correctos conforme indicaba la norma derogada) los avisos que indican lo siguiente:
Este sitio web utiliza cookies para obtener datos estadísticos de su navegación. Para más información visite el Aviso Legal”  (Ministerio de Justicia)
Además, se han de tener en cuenta estas dos notas adicionales:
No se puede indicar al usuario que la forma de “modificar su configuración” es borrar lascookies que ya se le han instalado y que se le seguirán instalando cada vez que acceda al sitio web o bloquearlas todas, en alguno de los cuatro navegadores principales, ignorando el resto. Es evidente.

Y si el sitio en cuestión no usa las cookies referidas en YourOnlineChoice, mentar esa web en el aviso legal “por si acaso” carece de sentido.

4. ¿Hace falta que el usuario pulse un botón de “Acepto la instalación de cookies“?
No.
El consentimiento puede ser tácito; es decir, puede estar unido a alguna acción del usuario.
El proceso puede ser el siguiente:
1. El usuario accede a la página.
2. Un aviso visible le informa de que si continúa navegando se le instalarán cookies, con un enlace a un lugar donde puede encontrar más información.
3. El usuario continúa navegando.
4. Se le instalan cookies.

 Por tanto, se necesitan dos acciones para, en su caso, permitir una consecuencia:
Primero –> Información: El usuario ha de obtener información clara y completa sobre lascookies que se van a instalar en su ordenador.
Segundo –> Consentimiento: Después de haber recibido la información, el usuario, si quiere, puede decidir aceptar las cookies. Hay que dar la oportunidad al usuario para salir de la web sin que se le hayan instalado cookies. Esta es la novedad de la ley.
Tercero –> Instalación: Después de que el usuario haya consentido la instalación de lascookies, se le podrán instalar, pero no antes.

Este aviso podría ser correcto, si funcionase.
A día de hoy, el botón de “Aceptar cookies” lee la mente del usuario y se autoclica.
Ministerio de Industria, Energía y Turismo.
5. ¿Dónde debe estar ese aviso sobre cookies?
En una zona visible de la web, sin necesidad de hacer scroll.

 6 ¿En qué idioma debe estar el aviso de cookies?
Debe estar en castellano y, adicionalmente, puede estarlo en otros idiomas.
Excepciones:
Puede estar en vascuence o en castellano, indistintamente, si el sitio web únicamente puede ser visualizado en el País Vasco (a menos que una norma autonómica obligue a usar siempre el vascuence en estos casos). Lo mismo sucede con los idiomas gallego y catalán.
Los responsables de sitios web a los que no les afecte esta norma pueden, si quieren poner el aviso, usar el idioma que su normativa les permita.

 7. ¿Cómo debe ser el aviso de cookies?
El aviso debe ofrecer información clara y completa sobre la utilización de las cookies que se van a instalar y, en su caso, indicar los fines del tratamiento de los datos personales que se llevará a cabo a través de ellas.
El aviso puede indicar lo siguiente:
Lee nuestra política sobre cookies” (enlazado a una página con la información referida).
No deben instalarse cookies hasta después de haber informado y obtenido el consentimiento.
Nota: No siempre es necesario poner un aviso. Y hay casos en los que basta con indicarlo en el aviso legal y otros en los que hasta esto es prescindible. Lo explico aquí.

8. ¿Se acepta como consentimiento la inactividad del usuario?
Es discutible. Mi interpretación es la siguiente:
Sí, se acepta si el usuario permanece en la página durante un largo período de tiempo después de haber recibido la información sobre las cookies. Por ejemplo: podrán instalarse las cookies de Google Analytics después de 1 minuto, desde que el usuario leyó el aviso sobrecookies.
No, no se acepta si el tiempo que se deja pasar es tan breve que no permite al usuario reaccionar contra las cookies antes de que se le instalen.
En cualquier caso, ha de ser evidente que el usuario ha podido tomar la decisión de salir de la web antes de que se le instalen cookies.

 9. Mi página está alojada en [Facebook, Blogger, WordPress]. ¿Tengo que informar de algo?
La Ley de Cookies no permite usar plataformas que impiden cumplir la ley española.
Un usuario de Internet, que no lo sea de Facebook, puede navegar a través de la web de una empresa alojada en el servicio de Páginas de Empresa de Facebook. La empresa ha elegido Facebook porque es gratis y por motivos de marketing, entre otros. Sin embargo, la gratuidad o el marketing no eximen a la empresa española de la obligación de cumplir la ley española.
Si la empresa ha decidido usar una determinada solución tecnológica para tener presencia en Internet, tendrá que asumir las consecuencias.
A D. Jesús Rubí Navarrete, Adjunto al Director de la AEPD, le pregunté en el foro deDENAE sobre Publicidad basada en el comportamiento (1h23’55”) si se cumple esta ley creando una página de empresa en Facebook, que instala cookies de Facebook a todos los visitantes. Su respuesta, que precedió a la salida inmediata de la AEPD de Facebook, fue la siguiente:

El editor al que le van a crear [una página de empresa en Facebook], que va a ser va a ser de su responsabilidad [...], va a ser responsable [...] de los dispositivos cuya instalación posibilite [...] para terceros. Y esto va a ser así. [...] La gratuidad de los servicios de Internet tiene un precio. [...] Si alguien quiere optar por esa solución [de crear una página de empresa en Facebook] pues, así, a palo seco y sin más, [...] se está poniendo en una importante situación de riesgo”.

 La empresa:
si decide instalar cookies de Google Analytics sin obtener el consentimiento de los usuarios, podrá ser sancionada por ello;
si decide usar la plataforma de Facebook porque es gratuita, y se instalan cookies a todos los usuarios que la visitan, podrá ser sancionada por ello; y
si decide crear su sitio en WordPress.com, notándose o sin que se note que está en WordPress, y a todos sus usuarios le instala inevitablemente una cookie de estadísticas que rastrea y almacena su IP en una empresa estadounidense (Automaticc) a través de un tercero (Quantcast), será responsable igualmente y podrá ser sancionado.

 En relación con las cookies, señalo estas tres curiosidades lógicas:
1. En la resolución se menciona que el demandado ha decidido usar la tecnología (cookie) de un tercero para hacer mejor su página pero, dice la AEPD, «no se ha averiguado su finalidad» ni siquiera después de la inspección. La empresa es responsable.
2. En relación con la cookie de Quancast que instala el demandado por usar un blog alojado en WordPress, se constató en la inspección que no se pudo «localizar una opción de configuración del blog que permita deshabilitar la descarga de esa cookie». La empresa responde de lo que contrata pero no es capaz de controlar.
3. Y en cuanto a la responsabilidad sobre las cookies: aunque sean de terceros (Google Analytics, por ejemplo) se determina que el responsable es el administrador del dominio o web.
Si una empresa decide alojarse en WordPress, lo hace con todas las consecuencias. Igual sucede con Blogger, Facebook, Tumblr, etc.
Las empresas españolas y los demás obligados a cumplir la ley están… obligados a cumplir la ley.



Foursquare ha elegido crear y administrar su página de empresa en Facebook, instalando cookies de terceros a todos los visitantes. En este caso, Facebook no es una red social sino un prestador de servicios de alojamiento.?
Elegí Foursquare para el ejemplo porque no tiene que cumplir esta ley española.




10. ¿Cumplo la Ley de Cookies en mi página web?
Es recomendable que pidas a un especialista que te ayude a analizar tu caso concreto. No obstante, daré unas instrucciones generales:
1. Has de ofrecer información previa.
2. No debes instalar ninguna cookie al usario hasta “después” de obtener su consentimiento.
Las cookies técnicas y estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario no requieren información previa, pero sí la que deba incluirse en el aviso legal.
Artículo 22.2 párrafo 3º LSSI [VIGENTE]: «Lo anterior [sobre las cookies] no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario».
Nota: Lo referido a las cookies también debe serlo a otros dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.

 11. ¿Cómo sé si una página incumple la Ley de Cookies?
Accede a la página y comprueba si te ha instalado ya alguna cookie. Si lo ha hecho, lo más probable es que esté incumpliendo la ley.
Si sinceramente te sientes gravemente afectado, tienes derecho a denunciar gratis.

 12. ¿Cómo sé si mi página web instala cookies?
Contrata una auditoría técnica y legal. En comentarios puedes indicar estudios y bufetes recomendables.
Una forma sencilla de ver las cookies por ti mismo es la siguiente:
1. Accede a una web usando la última versión del navegador Firefox.
2. En la pestaña del navegador “Herramientas” selecciona “Ver información de la página”.
3. En la pestaña “Seguridad” encontrarás las cookies pulsando en “Ver cookies“.
También es sencillo usando los plugins Cookies Manager + y Firebug en Firefox; y con Chrome.
Aunque lo hayas conseguido, contrata una auditoría para saber cuál es la finalidad de esas cookies y gestionarlas legalmente.
Y trata de que no te engañen: poner solo un pop-up informativo es una tontería. Primero has de informar y luego… retarda bastante la instalación de las cookies o pide permiso expreso o avisa sobre ellas antes de que el usuario haga login a tu sección privada o invéntate la forma que quieras de cumplir la ley.
Curiosamente, varias de las asociaciones que han ayudado a la AEPD a elaborar la Guía, la incumplen, por lo que desaconsejo tomarlas como ejemplo. Algunos expertos están ofreciendo consejos desafortunados en sus blogs, por lo que les sugiero leer y comprende la ley antes de aconsejar. Las empresas no españolas, como Google Inc., tampoco cumplen la ley española en sus webs, por lo que los pop-ups que han puesto deben sernos indiferentes y, en cualquier caso, tampoco permitirían cumplir la ley española.
El resultado del procedimiento sancionador abierto será revelador. Nos dirá si la AEPD entiende la palabra “después” (art. 22.2 LSSI) como “después” o como “antes”.

 Nota: Disculpad que no cite los nombres de las entidades privadas con cuyos “avisos” ejemplifico y que haya recurrido a los dos únicos ministerios que intentan cumplir esta norma (tan absurda).