La Agencia Española de Protección de Datos (AEPD) ha sancionado con 5.000 euros a una de las firmas creadas por Amancio Ortega, Massimo Dutti, tras detectar por parte de un usuario ciertas irregularidades en la política de cookies de su página web y la obtención del consentimiento de los usuarios, vulnerando así el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI).
En concreto, por la ausencia de información suficiente en la primera capa acerca de las finalidades de la instalación de las cookies.
Y es que la AEPD es muy crítica con la transparencia porque el citado artículo de la LSSI relata que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos.
Por lo que la información sobre las cookies otorgada en el momento de solicitar el consentimiento debe ser suficientemente completa como para permitir a los usuarios entender sus finalidades y el uso que se les dará.
Una reclamación por unos hechos de septiembre de 2021
En este caso, aunque la sanción se ha dado a conocer ahora, los hechos se remontan a septiembre de 2021, cuando un consumidor, tras acceder a la página web de la empresa de Inditex, se dio cuenta que había un banner en la primera capa de consentimiento en el que no existía la posibilidad de rechazar las cookies que no fueran técnicas o necesarias.
Asimismo, manifestó en la reclamación que retirar el consentimiento no era fácil y que, una vez marcada la opción “aceptar todas las cookies” a través del panel de control, no era posible eliminarlo si se deseaba hacer después.
La AEPD comenzó a investigar y detectó cuatro cookies que no habían podido ser clasificadas.
Respecto a la falta de información en el banner sobre las cookies existente en la primera capa, se consideró que no proporcionaba una información “clara y completa” sobre los fines del tratamiento. Pues se limitaba a afirmar que las cookies serían utilizadas “para mejorar la navegación del sitio, analizar el uso del mismo y colaborar con nuestros estudios para marketing”.
No existía ningún mecanismo para retirar el consentimiento
Finalmente, sobre la retirada del consentimiento una vez prestado, la AEPD comprobó que no existía ningún mecanismo o acceso al panel de control permanente que permitiera después de haber prestado el consentimiento retirarle.
Ya que, según ha explicado la AEPD, los usuarios “deberán poder retirar el consentimiento previamente otorgado en cualquier momento” por lo que “el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento y eliminar las cookies”.
Sin embargo, aunque el responsable de la web de Massimo Dutti modificó la política de cookies adaptándola a la normativa vigente, eso no hizo que desapareciese el incumplimiento que quedó probado.
Esta infracción, tipificada como “leve” en el artículo 38.4.g) de la citada ley puede ser sancionada con hasta 30.000 euros. Pero tras analizar los factores expuestos, han llegado a la conclusión que la cantidad ajustada es de 5.000 euros, sanción que no es firme puesto que puede ser recurrida ante la Sala de lo Contencioso de la Audiencia Nacional.
