El expediente sancionador de la AEPD llega tras una reclamación de un particular en 2018. Foto: AEPD.
Protección de Datos multa a Twitter con 30.000 euros por una infracción leve en su política de cookies
La sanción podría haber sido mucho mayor si la reclamación del particular se hubiera basado en el RGPD
|
11/6/2020 06:45
|
Actualizado: 11/6/2020 12:07
|
Un particular en 2018 cuestionó el sistema de gestión de cookies de la red social Twitter. Dos años después, la Agencia Española de Protección de Datos (AEPD) reconoce que hay una infracción leve y multa con 30.000 euros a esta multinacional por incumplir el artículo 22 de la Ley de Servicios de la Sociedad de la Información (LSSI).
Protección de Datos ratifica, como alegaba el particular, que la información y el consentimiento que se le solicitaba no es conforme con la normativa del uso de cookies.
Ahora Twitter tiene la opción de un recurso de reposición ante la AEPD y si el fallo es contrario ir a la Audiencia Nacional en vía contenciosa administrativa.
Una cookie es un fichero de datos que una página web le envía al ordenador cuando visitas esa página. Da igual si entras en la web desde el ordenador o desde el móvil, siempre se solicitará el almacenamiento de cookies.
Tampoco importa si entras desde un navegador independiente o desde el navegador integrado en alguna herramienta o aplicación, también se solicitará la cookie.
Recordar accesos y conocer datos de navegación
Por lo general, se solicita la utilización de cookies porque las webs están obligadas a avisar y a preguntar cuáles quieres instalar por la GDPR, la normativa que regula la protección de los datos de los ciudadanos de la Unión Europea.
Las cookies suelen utilizarse principalmente para dos finalidades: recordar accesos y conocer hábitos de navegación. Las cookies hacen que las páginas web puedan identificar tu ordenador y, por lo tanto, si vuelves a entrar a ellas podrán recordar quién eres y qué has hecho antes dentro de ellas.
Leandro Nuñez, socio de Audens, apunta que la resolución de la AEPD tiene dos lecturas. “Hay una visión técnica sobre el fondo del asunto, supuestamente Twitter instala cookies sin obtener adecuadamente el consentimiento de los usuarios”.
Este fallo llega en un momento en que se revisa la política de cookies a nivel europeo “ahora cada país tiene su propia política, con lo cual no hay la uniformidad que las empresas reclaman en la UE sobre esta materia. En estos últimos cinco años no se logrado un acuerdo en este sentido”.
Señala, además, que “estamos a la espera del reglamento de ‘eprivacy’, otra pieza importante de la norma europea de protección de datos. Ahí se van a regular fenómenos como el spam, las cookies o fenómenos como el ‘finger printing’. Se espera que pueda crear un marco europeo y dotar de seguridad jurídica a las multinacionales, sobre todo”.
Leandro Nuñez, socio de Audens.
En cuanto a la primera lectura, apunta que el motivo de la sanción está claro, ya que lo resume la propia resolución.
“Existe un enlace en la parte inferior de la página con el título de “cookies”, a través del cual se accede a la política de cookies (segunda capa), pero tampoco en esta capa se posibilita la acción de rechazar las cookies o de hacerlo de forma granular. La página se limita a informar como configurar los diferentes navegadores para la gestión de las cookies”, apunta Nuñez.
Señala que “la AEPD sigue su propia doctrina, plasmada en la guía de cookies que publicó el año pasado”.
Así indica que «será necesario que la información de la primera capa [se refiere al típico banner avisando de la instalación de cookies que aparece en casi todas las webs ] se complete con un sistema o panel de configuración en el que el usuario pueda optar entre aceptar o no las cookies de forma granular, o un enlace que conduzca a dicho sistema o panel».
“Como Twitter no pone a disposición de los usuarios ese panel de configuración, la agencia aprecia infracción e impone la mayor multa de 30.000 euros, a la vista de aspectos como el volumen de perfiles de Twitter en España o la facturación de la empresa (en línea con lo anteriormente aplicado a otras grandes empresas, como Vueling)”, apunta.
“Desde este punto de vista, poco hay que añadir, más allá de recordar la importancia de habilitar este tipo de paneles a todos los titulares de páginas web que utilicen cookies, o técnicas similares”, aclara Leandro Nuñez.
En cuanto a una segunda lectura, “me genera más dudas. En mi opinión, es cuestionable que la sanción pueda ser impuesta a la filial de Twitter España, toda vez que no es la titular de la web y el hecho de que la resolución no analice en ningún momento la lógica que lleva a la agencia a multar a la filial española y no a su matriz en Estados Unidos, como parecería razonable, resulta todavía más llamativo”.
Este jurista destaca que “debemos recordar que la normativa aplicable a las cookies no es el Reglamento General de Protección de Datos, sino la Ley de Servicios de la Sociedad de la Información, por lo que los criterios tradicionalmente utilizados por la AEPD para dirigirse contra empresas extranjeras a través de sus filiales en nuestro país (como viene ocurriendo con Google o Facebook) pueden no ser extrapolables a este caso”.
Nuestro interlocutor confiesa que “echo de menos en la resolución una explicación de esta decisión de sancionar a la filial española en lugar a la matriz de EEUU, en la propia resolución y no indican nada al respecto”.
Twitter no ha cambiado nada
Camino García, socia del despacho Meraki Abogados, especializado en derecho TIC, explica a Confilegal que desde que se interpuso esta reclamación hasta la fecha “Twiter no ha hecho nada. Sigue manteniendo el mismo banner inicial y la misma información en los mismos términos cuando el reclamante interpuso la reclamación ante la AEPD y objetivamente estaba incumpliendo como puede verse”.
García señala que al entrar en la web de Twitter “solo informa de la existencia de cookies, en algún caso por temas publicitarios y otras cookies sin especificar. No da al usuario la posibilidad de configurar o rechazar esas cookies”, apunta.
La AEPD cree que hay un incumplimiento de esa política de cookies y que hay un grado de culpabilidad objetiva, “no hay un fallo a la hora de cumplir. Era manifiesto que se estaba incumpliendo el artículo 22 de la LSSI. A Twitter parece que le compensaba plantear así su política de cookies. No daba de rechazar las cookies ni en la primera capa ni en segunda”.
Esta experta recuerda que los propietarios de una web tienen la obligación de informar en un banner inicial y dar una información ampliada en una segunda capa.
“Con las cookies se perfila al usuario y se sabe las costumbres de navegación y se puede hacer un seguimiento activo de ellos. Parece como si le compensara no cumplir con la normativa existente”, apunta García.
Camino García, socia del despacho Meraki Abogados.
Sobre la sanción señala que “estamos ante un incumplimiento de la LSSI que es leve, puede ir de 1 euro a 30.000 euros. Al ver que hay intencionalidad y culpabilidad aplica el grado máximo. No ha sido tan efectivo si se hubiera utilizado del RGPD, donde las sanciones hubieran podido ser mayores”, indica.
Esta reclamación se ha interpuesto específicamente por el incumplimiento del artículo 22 de la LSSI, se podría plantear por el RGPD, y el artículo 5 del principio de licitud del RGPD. En ese artículo se habla que los datos deben tratarse de forma leal y transparente y con la legitimidad suficiente. Y no se está haciendo”, apunta.
El tema de la reincidencia sería importante para tener una sanción mayor. Para Camino Garcia “llama la atención que Twitter no ha modificado nada. Ni siquiera el banner inicial de su web”.
Reconoce que esta política es difícil de cumplir para muchas empresas y pymes, “es complejo para pequeñas empresas que no tienen presupuesto para configurar esa cookie latente hasta que el usuario acepte el banner o acepte las cookies».
Sin embargo, añade, «no es el caso de Twitter que tiene medios suficientes para subsanarlo, pero no lo ha hecho. Cuando entramos en su web no debería estar habilitada la cookie analítica y cuando nos metemos en Twitter se ve que está cargada. No espera que el usuario las acepte”.
Para esta jurista, “las webs deben ofrecer la configuración al usuario de esas cookies. Ese banner inicial se incluye y permite al usuario configurar la cookie. Si se rechaza, vuelve a la página de inicio y la cookie sigue. Es un proceso que debe cumplirse en todas sus fases”.
Noticias Relacionadas:
