Ya llegó el lobo: ¡5000 euros en multas por el uso de Cookies!

En artículos anteriores, he mencionado la problemática del uso de cookies SIN TENER EN CUENTA CIERTAS PREVENCIONES de carácter legal. Algunos han venido pensando que era como el cuento de “Caperucita y el Lobo”, que nunca llegaría. Pues bien, para los más escépticos, ha llegado la Resolución R/02990/2013 de la AEPD, derivada del procedimiento sancionador  PS/00321/2013, en la que impone 5.000 euros en multas por el uso de cookies SIN CUMPLIR CORRECTAMENTE CON LOS DEBERES DE INFORMACIÓN  que exige la LOPD y la LSSI. Notad que lo que se castiga no es el uso de cookies, ni tampoco se dice que no se haya informado, sino que lo que se sanciona es el uso de éstas sin una información ACORDE A LA EXIGENCIA LEGAL.

Ya llegó el lobo: ¡5000 euros en multas por el uso de Cookies!

© PixBox – Fotolia.com

También es muy interesante que este procedimiento se inició por la AEPD, por vulneración de la LOPD y la LSSI por la denuncia de un tercero, (¿un cliente descontento, o tal vez un competidor que quería quitar del camino a esta empresa que le molestaba?). El caso es que  según el denunciante, en los sitios web de las entidades sancionadas no se facilitaba información sobre los dispositivos de almacenamiento y recuperación de datos (cookies), ni se solicitaba el consentimiento para su utilización, al igual que en el formulario de la sección de contacto de dichos sitios no se informa adecuadamente al usuario de la finalidad y tratamiento de sus datos. Los datos se recababan a partir de los formularios de contacto que recababan el nombre, el correo electrónico y el teléfono del interesado. (Para descargar un formulario preparado por mí en post anterior de recogida de datos adaptado a la ley, click aquí).

Efectivamente, las webs sancionadas pertenecientes a una empresa de joyería, había incluido un aviso de cookies que decía:

“Utilizamos cookies para mejorar la experiencia del usuario y para enviar contenidos personalizados. Las cookies nos permiten ofrecerle información personalizada o seleccionada por usted (sus favoritos), le evitan tener que volver a introducir la contraseña cada vez que visita nuestra página y llevan un seguimiento de su carrito de la compra. Además, nos permiten analizar mejor el tráfico de la página para mejorar nuestra oferta. Nuestra página web NO funcionará si desactiva las cookies en su navegador.”

¿Te suena?, ¿a qué sí?. Claro, si es el aviso más estandarizado que puede verse, puede que sea el que usas tú. Pues si es así, presta atención a lo que sigue, pues podrás evitar tener problemas con la AEPD por este asunto.

Según la AEPD,  este aviso de cookies no satisface los requisitos legales porque  no detalla mínimamente el tipo de cookies utilizadas ni identifica si son propias o de terceros, refiriéndose de forma vaga y genérica a algunas de las finalidades a las que responde su instalación. Además, avisa la AEPD que tampoco advierte sobre los mecanismos de desactivación de las cookies ni sobre el modo de revocar el consentimiento. Además, teniendo en cuenta su diseño y mecánica, (pop-up), considera que la información anteriormente señalada se facilitaba de forma poco accesible y sin suficiente visibilidad para el usuario.

Entonces, ¿cómo debería de realizarse el “aviso de cookies” para que sea aceptable desde un punto de vista legal?. Bueno, no existe una forma establecida por la ley, por lo que servirá cualquier sistema que cumpla con las exigencias del art. 22.2 de la LSSI, pero en esta resolución, la AEPD abre la puerta a cumplir con esta obligación mediante un sistema de dos capas, por el que se ofrecería una información esencial en una primera capa, cuando se accede al sitio web  o aplicación, y una información adicional contenida en una segunda capa a la que se accedería mediante un enlace:

Capa 1, mediante el clásico pop-up al entrar a la web, o en una marquesina informativa, que incluiría información relativa a:

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
  • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
  • Incluir un enlace a la segunda capa informativa en la que se indica una información más detallada.

Declara la AEPD que esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Pero, ¡ojo!, porque para cumplir con esta primera capa, una de las webs expedientadas, al acceder mostraba un aviso sobreimpreso que indicaba que :

“Al continuar navegando entendemos que acepta el uso de las cookies en nuestro sitio web. Más información. Aceptar”

Pues bien, la AEPD censura esta práctica al afirmar que  no indica si el uso de las cookies se realiza por el propio editor del sitio o por tercero y tampoco identifica las finalidades de las cookies utilizadas, información que, como se ha señalado, se considera mínima y esencial en este primer nivel. Así pues, ha de tomarse muy en cuenta esta advertencia, pues marca la diferencia entre que se acepte como correcto o incorrecto, el aviso de cookies en este primer nivel o capa.

Capa 2, que incluiría información más específica:

  • Definición y función de las cookies.
  • Tipo de cookies que utiliza la página web y su finalidad.
  • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
  • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

A esta segunda capa de información se accedería a través de los enlaces contenidos en los avisos de “Más información”, o “Política de Cookies”,  los cuales habrían de redirigir a un documento denominado “Política de cookies“, que también debería resultar accesible desde otros enlaces habilitados en las páginas de Inicio o en otros documentos, como por ejemplo en las “Condiciones de Uso” o “Aviso Legal”.

La idea es que en esta segunda capa se debe precisar  con suficiente claridad la tipología de cookies incluidas en el documento, y que esa descripción se corresponda con las realmente utilizadas en los sitios web y con las finalidades descritas en las mismas.

En resumen, que es hora de tomarse en serio la obtención del consentimiento informado para el uso de las cookies, porque la AEPD ya ha empezado a hablar con el idioma universal sancionador.

Más Info:

  1. Ver Resolución R/02990/2013 de la AEPD.
  2. Ver artículo “Primera Sanción de la AEPD en materia de cookies”, de Yolanda Adsuar Prieto.
  3. Escribidme a dtierno@proemabogados.com.

David Tierno García

David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.

 

Por David Tierno García

David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.

59 comentarios en «Ya llegó el lobo: ¡5000 euros en multas por el uso de Cookies!»
  1. Según el post, esta web no cumple las exigencias de la LSSI, al menos en la primera capa ¿no? Sólo indica “En cumplimiento con Ley 34/2002, de servicios de la sociedad de la información te recordamos que al navegar por este sitio estás aceptando el uso de cookies”. Entiendo que no cumple ni el punto dos ni el cuatro, porque no describe la identificación y finalidad de las cookies, ni existe un enlace con información más específica. ¿Puedes aclararlo?. Gracias

    1. Hola Pablo. Como habrás comprobado este es un asunto muy novedoso que aún ha de ser adaptado por la mayoría de las webs. Yo no puedo hablar por este blog, pero lo que sí parece evidente es que en mayor o menor medida, también le afectará este nuevo criterio de la AEPD. Efectivamente, se echa de menos la referencia a la finalidad del uso de las cookies, y estoy seguro de que el personal responsable del sitio, ya está trabajando en ello. En cuanto al tema del enlace a la segunda capa, éste aparece después de haber aceptado, con la leyenda “Privacy and Cookies Policy”, pero claro, dicho enlace debería de aparecer antes de aceptar y no después. En resumen, tal y como dices, habría que hacer algunos pequeños ajustes en este caso, para dejarlo tal y como dice la AEPD. Un abrazo. David Tierno.

  2. Hola, una pregunta. Si tienes banners pero no sacas un duro y ademas vives fuera de españa tambien te afecta el desproposito “toca cojones al internauta” (sobre todo si navegas con el movil) este de la ley de cookies?

    1. Si los banners son publicitarios sí. Aunque en realidad la LSSI habla de que lleves a cabo una actividad comercial, sin embargo en la práctica, la AEPD entenderá que estás promoviendo algo, y que ese algo te dará algún beneficio, que al final, podría traducirse en dinero aunque sea indirectamente, lo cual sujetará a la ley, aunque si no sacas nada, sino que todo es altruista y puedes demostrarlo de verdad, podrías defenderte. El hecho de que vivas fuera de España no quiere decir nada, si te diriges al público español. Es más, habría que ver si estás en un estado de la UE o no, porque en determinados casos te pueden obligar a tener a un representante en España. Un saludo. David Tierno.- Abogado

    1. Hola Juan José. Sobre tu observación, me remito a lo ya dicho en comentarios anteriores. No obstante, como defensa, no sirva, ¿no crees?.- Un abrazo. David Tierno García.

  3. Hola David, muy interesante el artículo. Tengo una duda, si tomamos como referencia las webs más importantes en número de visitantes en España, me parece (corrígeme si me equivoco) que tampoco cumplirían la ley.
    Por ejemplo, la web de el mundo muestra el típico aviso en la parte superior pero realmente las cookies ya te las ha instalado (comprobado). Es decir que es algo meramente informativo, no espera a tu consentimiento para instalarlas.
    Esto en teoría está mal también, no?

    La única diferencia con respecto a bloguismo es que en el mundo si hay un enlace para ver la política de cookies antes de cerrar el mensaje

    1. Hola Carlos. Estoy totalmente de acuerdo contigo. De hecho, la AEPD ya ha advertido en ocasiones anteriores sobre la práctica de “pedir el consentimiento” para las cookies, e instalarlas ANTES de que se haya dado tal consentimiento, pues en tal caso, ¿para qué serviría dicho consentimiento, que es además es obligado de acuerdo con el art. 6 de la LOPD?. Ahora bien, lo que ocurre, es que la AEPD no se puede pasar la vida dando avisos, y en algún momento tiene que empezar a actuar, (esto es independiente de que yo esté de acuerdo con lo que me a mí personalmente me parece una locura en España, ya que la LOPD es excesiva bajo mi criterio, pero este es otro debate. De lo que se trata es de que, si la AEPD pretende cumplir con su propósito, este es el escenario que ha de llegar). Así pues, tendremos que ver como progresivamente, se va ordenando un poco todo este laberinto que es el ciberespacio, porque tampoco es lógico que en el mundo real todo esté tan legalizado y legislado, y que en el mundo virtual, donde los euros valen igual, sea como el “oeste”, ¿no crees?.- Un saludo. David Tierno.- Abogado

    1. Hola Gerson.Lo que vaya a ocurrir en el futuro, habrá que esperar para verlo, pero lo cierto es que quien dé el primer paso llevará ventaja. Por ejemplo, el tema de la LOPD se suele ver como un ataque a la libertad, al comercio… y hasta cierto punto puede ser verdad. Pero, ¿alguno ha pensado en utilizar esta herramienta como elemento de diferenciación respecto de la competencia?, ¿para generar más confianza en el público, que falta hace en Internet?, ¿y como una herramienta para garantizar tu principal activo: tu lista de suscriptores?. Por ejemplo, la LOPD obliga a realizar Y PROBAR las copias de seguridad, pero lo cierto es que la mayoría no las hace, y de quienes las hacen, ¿cuántos las prueban para ver si funcionan?. ¿Qué pasa si de repente tienes un fallo técnico y no tienes copias de seguridad, o las que tienes no se cargan correctamente?. ¿Y qué hay de los servidores tan baratitos en países que no saben ni pronunciar la palabra “protección de datos”, o el mismo Google, que admite con total libertad que trafica con los datos de los usuarios?, ¿cómo sabes que no los venderán y te meterán en un problema con tus suscriptores y clientes?. No quiero decir que la LOPD sea fabulosa, pero quisiera que entre todos pudiéramos pensar si esa LIBERTAD que queremos en la red, no podría llegar a asesinar a la gallina de los huevos de oro que queremos que sea la RED. Un abrazo fuerte. David Tierno.- Abogado.

      1. Perdón de nuevo, pero aquí en España nos gustan dos cosas:

        1. El ‘que inventen ellos’.
        2. Una vez que han inventado otros, llegamos nosotros a reinventar la rueda, porque con forma cuadrada gira mejor.

        Internet no es un fenómeno nuevo, funciona LIBREMENTE en países desarrollados occidentales desde hace décadas, ¿vamos a darle clases ahora a EEUU y a otros países donde se ESCANDALIZAN de las obstaculizantes leyes europeas (y todavía en el resto de europa no son tan cafres como los políticos españoles)?

        Ahí fuera el comercio electrónico va viento en popa, los emprendedores tienen campo abierto, las nuevas webs y grandes portales (desde Facebook a Twitter pasando por el blog clásico, etc.) vienen de allí. Deberíamos COPIAR su libertad, en lugar de temerla e intentar corregirla estúpidamente.
        Ahora, el ‘miedo’ que parece suscitar en muchos es lo que está llevando a estas estupideces que ni los mismos legisladores entienden y vamos a ser más papistas que el papa … precisamente, lo que vamos a conseguir no es ‘generar confianza’, sino todo lo contrario, la gente, la masa, ni lee esos absurdos y molestos mensajes de cookies ni les interesa la LOPD, LES DA IGUAL, acabarán visitando las webs menos problemáticas del extranjero, México, Argentina, etc.

        En España, Internet acabará a la altura de Marruecos o cualquier otro país tercermundista, empezaron con la LSSI y mira por donde van, el año que viene sacarán otra cosa y así hasta que sólo queden cuatro empresas grandes que lo acaparen todo, es el método español, pasa con las energéticas, bancas, etc.

        1. Hola nadie, estoy de acuerdo contigo en un 80%, pero creo que es bastante. De cualquier manera, la situación en nuestro país y en nuestro entorno es la que es, y ya que hablamos de “copiar” a otros países “más inteligentes”, hágamoslo desde ya. En lugar de pasar tanto tiempo discutiendo sobre lo que es, ¿porqué no nos adaptamos, buscamos la mejor estrategia para continuar con nuestros negocios en Internet, bordeando la ley pero dentro de ella?. Se puede hacer. En el mundo offline, los americanos,por ejemplo, cuando vienen a nuestro país, no discuten nuestras leyes, las cumplen de la manera más eficiente y rentable, y a ganar dinero. Cuando algo no le es rentable, tampoco discuten, no entran y ya está. Mira el caso Eurovegas, “no me interesa y me voy”, y ya no se ha oido otra vez hablar de este señor. Así pues, lo inteligente es adaptarse a la LOPD según la AEPD buscando la fórmula legal, y ya está. ¿Necesitamos contar con un experto para éso?. Puede que sí, pero aún así, seguirá siendo negocio. Un abrazo. David Tierno

          1. ¿Por qué no nos adaptamos? La respuesta es sencilla, para un abogado esta situación es una mina, y entiendo que haya quien la defienda, pero ES UN ESTROPICIO, precisamente, las webs que se CREAN en el extranjero también tienen problemas para establecerse en nuestro país, es una clara situación de DESVENTAJA para los emprendedores españoles, hablar de ‘adaptación’ es conformista y, no solo eso, sino que hasta que la gente no se queje en serio no dejarán de sacar nuevas leyes cómo esta (más LSSI, más tasa Google, etc.) cada dos por tres, hasta que crear una web en este país no es que esté prohibido, es que no va a compensar más que a empresas grandes y a los 4 magnates que controlan los medios (prisa, etc.). Esto último es el juego, ¿acaso le importa a un político español REALMENTE que a un ciudadano le instalen una cookie o su ordenador? Si la mayoría no saben NI LO QUE ES. Esto solo beneficiará a los mexicanos, argentinos y demás webmasters latinos que van a ver cómo el gobierno español les ha allanado el terreno echando a los españoles del mercado.

          2. Hola, David. Interesante post. Sin embargo, creo que en el dices con un poco de ligereza que “lo inteligente es adaptarse a la LOPD según la AEPD buscando la fórmula legal, y ya está”. Lo cierto es que multitud de webs pequeñas prácticamente autopublicadas, sencillamente no pueden adaptarse a la Ley, y quedan a merced de los elementos. En concreto, creo que si trabajas, como trabajan miles de webs, con WordPress, es imposible cumplir con la Ley, o si tienes AdSense, por ejemplo, también es imposible cumplir la Ley, ya que se te instalan multitud de cookies en el ordenador sin que alguien que no tenga amplios conocimientos de programación pueda impedirlo. Mientras tanto, los grandes medios ni siquiera se preocupan en simular que cumplen la Ley y te instalan multitud de cookies en el ordenador, prácticamente en cuanto empiezas a pensar en ellos, considerando la multa que pueda caerles como una inversión más que como una sanción.

            Para mí, la conclusión clara es que muchas de las webs que trabajan con WordPress están condenadas a convertirse en innavegables, porque para ellas la única opción es poner un aviso previo a la web que pida la autorización explícita, y que en caso de no conseguirla, impida la navegación por la web.

            Hace unos meses, escribí en mi blog un par de entradas sobre cookies y WordPress que ahora tendré que completar y actualizas. Si os interesan, aquí están:

            1. ¿Se puede cumplir la Ley de Cookies con WordPress? http://agitalo.es/se-puede-cumplir-la-ley-de-cookies-con-wordpress/

            2.- ¿Nos ayudan los plugins de cookies realmente a cumplir la Ley? http://agitalo.es/nos-ayudan-los-plugins-de-cookies-realmente-a-cumplir-con-la-ley/

            Gracias por el aviso.

          3. Hola Ricardo. Como ya he comentado en ocasiones anteriores, si esos blogs son “domésticos”, no se enmarcan en un contexto comercial o profesional, no están sujetos a la LOPD ni a la LSSI, por lo que no tienen que preocuparse por este asunto. Si por otra parte, se trata de webs o blogs que sí son comerciales-profesionales, que no se enmarcan en el ámbito personal y doméstico, y sí que tienen el objeto de promocionar productos o servicios, ya sea de manera directa o indirecta, entonces sí que tendrán que cumplir con estos requisitos legales. Ok que sean autopublicados, pero si el titular no puede hacerlo por sí mismo, habrá de requerir los servicios de un “experto” que sepa cómo hacerlo, como contrata a un diseñador gráfico para que le haga el logo, o a un informático para que le monte la pasarela de pago. Es una inversión que supone desembolso de dinero, es verdad, pero, ¿cómo puede funcionar un negocio sin una inversión, ya sea ésta grande o pequeña?. Bueno, no es que esté de acuerdo con la normativa actual, pues ya he dicho varias veces mi parecer al respecto y no quisiera repetirme más, pero creo que es obvio que al igual que hay que darse de alta en Hacienda, en Autónomos, hay que pagar un dominio para tener una dirección en Internet propia, pagar una tasa registrar una marca que nos pertenece…, un negocio en Internet también tiene que cumplir con una serie de requisitos, que en caso de no saber cómo llevarlos a la práctica individualmente, requerirá invertir en el negocio. Como ya he dicho en comentarios anteriores, promoción de negocio en Internet NO significa GRATIS ni tampoco, exento de normas. Un abrazo. David Tierno.- A B O G A D O

  4. Esta ley a los únicos que benefician son a los grandes medios españoles (los blogs personales van a caer como moscas) y a las webs extranjeras que no tienen obligación alguna a cumplir leyes de fuera de sus países. En todo caso, que le manden una multa de 5.000 euros a la casa de un argentino, a ver si la paga, no les pueden hacer nada. Abonado el terreno para que los bloggers y webmasters de latinoamérica desembarquen en el Internet de España.

  5. Esto solo pasa en españa, palos en las ruedas para todo, no te dicen que hay que poner EXACTAMENTE para poder pillarte cuando les apetezca, y tienes que ir “interpretando” mil y una resoluciones, un poco de aquí otro de allá, eso si, ellos no tienen que cumplirlo, algo demencial.

  6. Hola David.

    Muchas gracias por informarnos sobre las novedades. Lo mejor es minimizar el uso de cookies en los blogs. La mayoría de ellos sólo están obligados a sacar el aviso por culpa de las cookies de Google Analytics. Para obtener ese tipo de estadísticas de un blog sin usar cookies hay alternativas, como Bloggerespacio: http://bloggerespacio.com/odio-los-avisos-de-cookies/

    Un saludo.

    1. Hola Juan Pablo, estoy de acuerdo. Hay que valorar lo que nos aportan las cookies. Algunos me dicen, “yo no sé que cookies uso”, y entonces yo pregunto, “y ¿para qué las quieres?. Un abrazo. David Tierno.- ABOGADO

  7. Hola, yo administro un sitio sencillo con Joomla. No tengo ni idea si mi sitio envía cookies o no, desde luego no por activación o voluntad nuestra. ¿Debería incluir también algún tipo de advertencia? Saludos.

    1. Hola. Si no usas las cookies para nada, lo que tendrías que hacer es configurar el sitio para que no las utilice, y problema resuelto. En Google podrás encontrar información para hacer ésto, (dependerá del sitio, si es de wix, de wordpress…). Un saludo. David Tierno.- Abogado

  8. En mi caso las únicas cookies que utilizo son, por ejemplo para mantener la configuración de la interfaz de usuario (menus, barras colapsadas, etc), la único que tendría como inconveniente sería utilizar Google Analytics, ¿de que forma afecta esto así no obtengo ningún beneficio de las cookies? es muy engorroso modificar un sitio web entero y que se pierda comodidad al navegar por ese hecho…

    1. Te digo como en el caso anterior, que si no usas las cookies de Google Analytics, que las deshabilites. ¿Para qué quieres tener una carga de algo que no te aporta nada, si no lo usas?. En cuanto al tema de las cookies de interfax, recuerda que no todas las cookies recaban datos personales, incluyendo la IP, y son solo éstas las que traen todo este lío, (que por otra parte son las más utilizadas porque son las que más aportan). Para más info sobre si tus cookies recaban datos de carácter personal o no, tendrás que ver las características técnicas y funcionamiento, según lo describe el creador, de las cookies específicas que estés usando. En cualquier caso, échale un vistazo a la “Guía para el uso de Cookies” de la AEPD, que también habla de las cookies que no son problemáticas. La puedes consultar aquí http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf . Un abrazo. David Tierno.- Abogado.

    2. Hola Sam, te digo como en a otros amigos, que si no usas las cookies de Google Analytics, que las deshabilites. ¿Para qué quieres tener una carga de algo que no te aporta nada, si no lo usas?. En cuanto al tema de las cookies de interfax, recuerda que no todas las cookies recaban datos personales, incluyendo la IP, y son solo éstas las que traen todo este lío, (que por otra parte son las más utilizadas porque son las que más aportan). Para más info sobre si tus cookies recaban datos de carácter personal o no, tendrás que ver las características técnicas y funcionamiento, según lo describe el creador, de las cookies específicas que estés usando. En cualquier caso, échale un vistazo a la “Guía para el uso de Cookies” de la AEPD, que también habla de las cookies que no son problemáticas. La puedes consultar aquí http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf . Un abrazo. David Tierno.- Abogado.

  9. Es una Ley que parece hecha por ignorantes de otra época. No hay web en Internet que no use cookies de un modo u otro. Y los internautas ya lo saben o deberían saberlo. Lo único que consiguen es incordiar y perder competencia con otros lugares donde esas advertencias no son necesarias. Entrar en una web donde lo primero que aparezca es una ventana con advertencias sobre cookies es una invitación a salir de ella.

    Se supone que las cookies son inofensivas dentro de lo normal para la navegación. Y si no son inofensivas, nadie lo va a poner en el cartel de advertencia. O sea, que es una memez que deberían considerar o Internet se volvería una navegación hostil, con avisos legales por aquí y por allí. Quizás es lo que pretenden aunque más bien me inclino por aparentar que hacen algo sobre algo que no comprenden de verdad.

  10. Muy bien, genial, en pro de mejorar la experiencia del usuario nos obligan a molestarlos… Preparaos para la caída de visitas que nos viene…

    1. Hola Rafa. Solo una matización. No hay que molestar a los usuarios, porque no tienen que hacer nada. Es a nosotros a los que causa la molestia que hay que montar el “tinglado” informativo y para recoger el consentimiento. Un abrazo. David Tierno.- Abogado

  11. Hola David,
    ¿Sabes si el requisito informativo impuesto por la LOPD y la LSSI es también de aplicación en los portales cautivos de los Hotspots? En nuestro caso habilitamos la opción de cookies para evitar que el cliente tenga que volver a introducir el login y password tras haberlo hecho por primera vez.
    Muchas gracias,

    1. Hola, en principio es aplicable a cualquier web que capture datos de carácter personal. Otra cosa, (puedes ver otro comentario que ya he hecho al respecto), es que se trate de cookies que realmente no traten datos de carácter personal. Por ejemplo, el login no tiene porqué ser un email, y la contraseña no es un dato de carácter personal. Un saludo. David Tierno.

  12. David, no estoy de acuerdo contigo en algunos comentarios que has hecho.
    Primero, las cookies a día de hoy son un elemento casi esencial en una web mínimamente compleja. Es decir que todo lo que se aleje de html puro y duro o alguna aplicación web hecha expresamente para usar otros medios en lugar de cookies (local storage por ejemplo) va a usar cookies.
    Estamos hablando de WordPress, Joomla, Prestashop y un largo etc.
    El problema para dejarlas de usar es que tienes que tener conocimientos técnicos, y aún suponiendo que consigas desactivarlas en el inmenso código que puede tener un WordPress por ejemplo (con sus plugins, temas etc) sencillamente habrá cosas de la web que no funcionarán.
    Por tanto el tema no es tan sencillo como “dejarlas de usar y listo”

    Otro punto que no estoy de acuerdo es cuando dices que no es una molestia para los usuarios, claro que lo es, especialmente si se trata de una tienda online, en dónde cada click que tu usuario hace en la web es oro. Por tanto ponerle una barrera más (estoy hablando de una pantalla intermedia en la cual haya dos botones aceptar / rechazar y salirte del sitio ) es perder MUCHAS ventas. Por no hablar del que directamente se asusta y no vuelve a tu sitio.
    La alternativa a esa pantalla intermedia es poner el típico aviso informativo (lo cual no es tan intrusivo para el usuario) pero claro, entonces no estarás cumpliendo con la ley porque le habrás informado después de instalarle las cookies.

    Yo he visto algún gráfico de Analytics de gente que ha hecho el experimento y claramente se ve un descenso en las visitas, luego al usuario algo si parece que le molesta.
    Yo entiendo que haya gente que pueda querer hacer negocio con esto pero no se puede justificar lo injustificable.

    Ahora me gustaría plantear una alternativa: usuario accede al sitio, se muestra pantalla con dos botones Aceptar y continuar o Rechazar y salirse. En este momento ya se han instalado las cookies pero si el usuario hace click en rechazar mediante programación las borro y te mando fuera del sitio.
    Esta solución sería aceptable? Porque aunque sigue siendo un lastre para el usuario al menos técnicamente es más sencilla.

    1. Hola Carlos. Valoro sinceramente tu comentario, ya que aporta valor a este “hilo de discusión”. En primer lugar, déjame decirte que es normal que en temas tan debatidos y “viscerales” como puede ser éste, haya diferencias de opinión. Ahora bien, no puedo dejar de decir que no se trata de querer “hacer negocio”. El negocio está ahí, con cookies y sin cookies, y lo que estoy planteando es la situación que existe.Informo e intento dar las soluciones que pueden ser, pero no juzgo. Si no hubiera cookies, da igual, porque habría otras cosas, (derechos de los consumidores, falta de consentimiento…), por lo que no intento justificar nada, y mucho menos lo injustificable. Yo he sido el primero en decir, no ahora, sino en muchos de mis posts, que la LOPD en España es demencial,, que es un engorro, que obstaculiza más que facilita,y que creo sinceramente que es el fruto de una legislación creada por quienes en muchos casos, creen que usar el whatsapp es alta tecnología. Dicho ésto, también diré que no creo en un Internet ni un comercio electrónico sin normas, más parecido al “salvaje oeste”, en el que se pueda hacer cualquier cosa sin control de nadie, y donde los ciudadanos y los consumidores, que son los pagan, ya sean con dinero o con sus datos, que para el caso es lo mismo, porque éstos se convierten en dinero, como todos sabemos, (¿o acaso el dinero no está en la lista?), no tengan derechos, sino que se tengan que se tengan que conformar con la vía de los “hechos consumados”. Por otra parte, muchas de esas plataformas a las que tu refieres, tienen la opción de deshabilitar las cookies, y lo único que digo es, que si muchas personas no usan las cookies o no le sacan provecho, como han manifestado ellos mismos en sus mensajes, ¿para qué las quieren?, (al margen de las mejores funcionalidades que puedan obtener). Eso es dar muy poco valor, o ninguno, a los problemas que también surgen del tratamiento sin control de datos personales, (solo hay que pensar que el cibercrimen existe… estafas por Internet, robo de datos que no se detectan en servidores no seguros… yo mismo he sido atacado por bandas nigerianas que han hackeado el correo electrónico a amigos, y me le han suplantado la personalidad pidiéndome dinero prestado, y muchas más cosas. La Policía tiene un grupo especial para todo ésto y no dan a basto). Es fácil no pensar en todas estas consecuencias, pero existen, y todos tenemos derecho a que existan normas que intenten poner límites, que sean preventivas. Otra cuestión distinta, y en eso estoy de acuerdo totalmente, es que esas normas puedan ser excesivas, e incluso carentes de lógica en algunos de sus aspectos.Por otra parte, aún si resulta complicado deshabilitarlas por falta de conocimientos técnicos, eso solo significa que habrá que pagar a alguien para que lo haga, porque el “do it yourself” no siempre funciona, y hay veces en que para hacer bien las cosas, hay que pagar a quien sabe. Pero éso, no creo que invalide la idea de que, “si no las usas, deja de usarlas”, aunque sea pidiéndole a quien te ha hecho la web o a tu informático que lo haga por tí, “y ya está”, el problema se ha terminado. Es verdad que las cookies hoy son muy importantes, tanto como tú dices, estoy de acuerdo contigo, pero es como conducir un coche, no se puede hacer sin carnet. En cuanto al tema de la molestia, estoy de acuerdo contigo en que cuantos más clicks pongas, más gente se va, PERO en este artículo no estoy hablando de éso, que es un requisito legal para el “proceso de la compra”. Aquí no hemos hablado de marcar ningún box, sino simplemente de la información que hay que dar. Es decir, que llevas razón en lo que dices, pero has entrado en otro tema diferente, relacionado, pero diferente. Finalmente, en cuanto al sistema de instalar la cookie y si el navegante rehúsa, entonces que se borre, te diré que es una solución que para mí, sería aceptable, aunque no es lo que dice la Ley ni es lo que postula la AEPD, ya que se basan en que el art. 22.2 de la LSSI pide el consentimiento PREVIO, y con esta fórmula, ya no sería previo, pues se habría instalado antes de que el navegante se hubiera pronunciado. Es más, existe un Informe Jurídico de la AEPD que habla de este tema, en el que deja claro que solo cabe el consentimiento positivo(opt-in), y no el entender que se ha dicho “acepto” si no se dice lo contrario, (opt-out), que es lo que implica ese sistema, “si no digo que no, es que sí, que acepto”. Técnicamente es más fácil, pero la AEPD interpreta que no es suficiente. Ahora bien, Carlos, en caso de “lío”, es más defendible que no hacer nada. Un sincero abrazo, y muchas gracias otra vez por exponer tu punto de vista, con el que comprobarás que tengo más puntos de conexión que de divergencias. David Tierno.- Abogado.

      1. “Por otra parte, aún si resulta complicado deshabilitarlas por falta de conocimientos técnicos, eso solo significa que habrá que pagar a alguien para que lo haga, porque el “do it yourself” no siempre funciona, y hay veces en que para hacer bien las cosas, hay que pagar a quien sabe.”
        A mi modo de ver esto que dices si que implica un problema y bastante gordo, ya que precisamente uno de los avances que creo ha traído internet es la posibilidad de que todos podamos tener un espacio donde ejercer nuestro derecho de libre opinión y poder llegar a lugares donde la simple palabra no llega y todo ello de una forma más o menos gratuita y sobre todo accesible para casi todos.

        Llamame mal pensado quizás, pero si juntamos esta ley, junto con el Canon AEDE lo que sin duda se consigue es que cada día sea más caro y difícil tener una web o un blog.

        Por ejemplo el simple hecho de utilizar el CMS de WordPress [20% de los sitios web del mundo utilizan dicho recurso] implica que todas las personas que se metan en tu web se les instalará una cookie y por tanto incumplirás la ley. Ahora dile sobre todo a los bloggers o también modestas pymes (que bastante esfuerzo hacen por competir en internet con los gigantes) que tienen que hacer un esfuerzo económico para adaptarse a una ley totalmente absurda, la respuesta en muchos casos sin duda será o bien eliminar el blog (muchos bloggers no pueden permitirselo) o bien renunciar a la presencia en internet en los casos de las pymes.

        Esto para mi es desincentivar el uso de internet y lo que es más grave, la libertad de expresión y la competencia entre empresas, cosa que sin duda afectan negativamente al consumidor y benefician a los grandes poderes como los medios de comunicación, las grandes corporaciones o incluso el gobierno, que poco a poco va acumulando razones y escusas para eliminar o aplastar aquellas páginas que “le sobren”

        1. La razón por la que no parece acertado tu argumento es por que en mi opinión si el dinero te permite cumplir la ley, el que tiene dinero juega con ventaja, y eso aunque no es nuevo en nuestro pais, me sigue pareciendo injusto

        2. Hola Javier.Respeto tu opinión, aunque no estoy de acuerdo con ella, ya que no veo que relación existe entre el tema tratado y la libertad de expresión, que por otra parte, tendrá que respetar los mismos límites que en el mundo offline, por lo que Internet no es sinónimo de libertad de expresión sin límites. Por otra parte, hacer negocios en Intenernet, (y recuerda que la LOPD no aplica a “los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”, (art. 2 de la LOPD), por lo que hay un interés de lucro detrás del usuario sometido a la LOPD, por lo que no es extraño que tenga que hacer alguna inversión, y si no, pregúntale a todos los diseñadores y creadores web que viven de su trabajo en Internet. Es igual que el software open source, ¿significa gratis?. ¡Qué va!. Es gratis la versión que “está como está”, pero si quieres mayores prestaciones o adaptaciones personalizadas, ¡a pagar!. No obstante, aunque podría dar mis argumentos, en signo de respeto a tu opinión, lo dejaré aquí. Mi papel, tal y como yo me lo he planteado es ayudar a los profesionales y pequeños empresarios en Internet, a disfrutar de tranquilidad y paz mental, al cumplir con la normativa vigente, y por ello, mantenerse “a salvo” de multas y reclamaciones, lo cual es un tema técnico, y no político ni de opinión, por lo que con carácter general, no creo que deba entrar en debates de opinión. Un abrazo y fuerte. David Tierno.- Abogado

          1. Estoy de acuerdo contigo en que la libertad de expresión, como en el mundo offline por supuesto debe tener unos limites, faltaría menos. También estoy de acuerdo con anteriores comentarios tuyos donde abogas por un internet legislado y no un salvaje oeste.

            Pero defiendo que tanto esta ley combinada con el Canon AEDE vulneran la libertad de expresión y limitan o perjudican la competencia.

            Podría crear varios supuestos o ejemplos en los que intentar retratar estas dos leyes como lo que son, un serio atraso para el desarrollo de internet en España, pero básicamente creo que lo más grave es eso, limitar el desarrollo de Internet y NO incentivar su uso. Y creo que con esto no estoy diciendo que legislar, sea limitar, si no que si se legisla se debe hacer bien.

            Por otra parte quiero aclarar que en ningún momento era una crítica personal a tu labor y al trabajo de adaptar las páginas a la ley, ya que tal y como está redactada la ley (para mi una ley que debe cumplir tanta tanta gente debería ser algo más clara), profesionales que la entiendan y permitan que se cumpla son más que necesarios.

            Por último y como duda sobre la ley, he leído/visto por ahí que incluso el perfil de Facebook de una empresa también estaría incumpliendo la ley (se utilizan cookies imposibles de controlar por el usuario), siendo el responsable la empresa dueña del perfil y no el propio Facebook. No sé si podrías aclararlo pero ¿es esto cierto?

          2. Hola Javier. En cuanto al tema de Facebook, en mi opinión, tu no incumples nada, porque no eres el titular de la web, ni del Fichero donde están los datos de carácter personal, ni tampoco encargado del tratamiento. Incluso hay alguna resolución de la AEPD que, si no lo recuerdo, mal, va en esa dirección. Un abrazo. David Tierno.- Abogado

  13. Hay otra alternativa, menos rápida, pero muy eficaz: dejar de votar a los inepto-corruptos del ppsoe y hacerlo sólo a los que entienden algo del mundo en el que vivimos.

  14. Vale y viendo el panorama como se le puede aplicar la misma medicina a la agencia tributaria, porque estoy viendo que por ejemplo: https://www.agenciatributaria.gob.es/AEAT.sede/Inicio/_otros_/_Direcciones_y_telefonos_/_Direcciones_y_telefonos_.shtml

    Tiene cookie, por ejemplo:

    NAME: __utmli
    VALUE: contenedor
    DOMAIN: http://www.agenciatributaria.gob.es
    PATH: /
    Expires: Mon, 25 Aug 2014 10:43:23 GMT
    Size: 17

    y en ningún lugar se avisa… me parece una forma de sacar el dinero al personal.

    1. Lo primero que hay que determinar es si las cookies que instalan los servicios de la AEAT, almacenan datos de carácter personal, ya que como he explicado en otras ocasiones, no todas las cookies hacen ésto, y ese tipo de cookies no están sometidas a este régimen legal. Un abrazo. David Tierno.- A B O G A D O

        1. Hola Gustavo, gracias por tu matización, pero no puede olvidarse que el que la cookie sea de terceros no quiere decir que la “cosa no vaya con nosotros”, ya que si se instala a través de un sitio que nos pertenece, seguimos teniendo las obligaciones descritas en el post. Otra cosa es que se trate de una cookie técnica SIN RELEVANCIA EN MATERIA DE DATOS PERSONALES, en cuyo caso no tendrá que preocuparnos, pero no porque sea de un tercero, sino porque no almacena datos de carácter personal. Un saludo. David Tierno.- ABOGADO

  15. Me parece increíble que lleguemos a estos extremos recaudatorios. A dónde llegaremos? Explicaremos la estructura de la base de datos y cómo se codifican las contraseñas en nuestras webs?

    Si al menos google explicase sus propósitos quizás no nos veríamos en esta tesitura.

    En definitiva, afán recaudatorio. Deporte olímpico en este país. De hecho este fin de semana vi un caso insólito, un coche con doble multa de aparcamiento, una de la policía local y otra de la guardia civil. Melospliquen.

    No obstante gracias por un artículo bien detallado sobe el tema.

  16. Creo que más bien eso de la multa de 5.000€ ya había tardado demasiado en llegar. A quienes estamos siempre sobre una página web nos disgustará, pero bueno, no queda de otra.
    Además, había leído que las sanciones por faltas leves pueden llegar a 30.000€ y las faltas graves, hasta los 150.000€. bit.ly/1p8pSCv

    Saludos.

    1. Hola Santiago. Llevas razón en cuanto a que estaba tardando en llegar. En cuanto al tema de las sanciones, las cuantías que señalas corresponden a la LSSI, en materia de LOPD, (Protección de datos), van de 900 a 40.000, (leves), de 40.001 á 300.000, (graves) y de 300.001 á 600.000 euros, (muy graves). El problema es que como hay tantas defiencias, el que tiene leves, suele tener también motivos para graves y muy graves. Un saludo. David Tierno.- Abogado.

  17. Hola David,
    Soy un blogger de latinoamérica con un dominio .com. Estoy un poco confundido: unos dicen que esta ley aplica para cualquier blog que tenga público español, mientras que otros dicen que esto es un problema sólo para bloggers de España y que es una ventaja para bloggers de latinoamérica. Tú puedes aclararme el panorama? Actualmente no tengo este aviso en mi blog (que es prácticamente comercial porque uso Adsense). Seré sancionado de alguna manera? Mi web puede ser bloqueada para visitantes españoles tal vez? Saludos!

    1. Hola Santia. Me alegro de hablar contigo. Es una triste realidad que existe mucha confusión en este asunto, y entre otras cosas porque en Europa, incluyendo España, desconocen el contenido real de la legislación europea y española sobre protección de datos y comercio electrónico. Efectivamente, aunque la web sea titularidad de una persona o empresa que esté fuera de la Unión Europea, si está dirigiéndose a público radicado en España, y recopilando datos de personas que viven en esta franja del mundo, está sometido a la legislación española, y europea, y con un requisito más, que necesita tener un representante en España para que las autoridades de nuestro país, (la Agencia Española de Protección de Datos.- AEPD), pueda entender los trámites que pudieran ser necesarios, si en algún momento surge la situación, con dicho representante. ¿Te pueden sancionar?. Por supuesto que sí. Otra cosa es que aunque te pongan una multa de 600.000 euros, al vivir en Sudamérica no lo vayan a cobrar, y tu no lo vayas a pagar. Pero lo que sí que pueden hacer es bloquear la página para que no siga operando, con todos los problemas que ello puede conllevar. Para más info, puedes contactar conmigo directamente en dtierno@proemabogados.com. Un saludo. David Tierno.- ABOGADO

      1. Wow, eso sí ya me preocupó aunque, no comprendo cómo sería posible que puedan bloquear mi blog específicamente para España… Te escribí a tu correo en todo caso. Ojalá puedas contestarme. Muchas gracias por tan valiosa información!!!

Los comentarios están cerrados.

Shares
Share This

Share This

Share this post with your friends!