La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una triple sanción a una organización por tres infracciones, dos de ellas específicas de cookies, y la tercera por no informar en las políticas de privacidad debidamente (información incorrecta y ambigua), además de no contemplar las transferencias internacionales de datos efectuadas por la organización.
Las sanciones en materia de cookies responden a lo siguiente:
- La primera de ellas, que asciende a 5.000€, se impone como consecuencia de la utilización de patrones oscuros en el banner de cookies donde el usuario ha de prestar su consentimiento. La Agencia establece que el patrón “se observa cuando se accede al apartado “Lista de proveedores”, una vez allí, el interesado se encuentra con una lista de unas 130 empresas (proveedores), de las cuales, más de la mitad tienen marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el afectado».
La segunda de las sanciones, también ascendente a 5.000€, se da como consecuencia del incumplimiento del art. 22.2 de la LSSI, al cargar cookies en el terminal del usuario independientemente de la decisión de rechazo o aceptación de las mismas, y, en el mismo sentido, por una ausencia de la posibilidad de reconfigurar las preferencias de cookies.