La Agencia Española de Protección de Datos (en adelante, AEPD) ha impuesto una sanción de 5.000 euros a una mercantil por incumplir el art. 22.2 de la Ley 34/2022 de Servicios de la Sociedad de la Información, sobre el uso de Cookies. En concreto, el art. 22.2 de la LSSI supedita la validez (y legalidad) del uso de las Cookies a la figura del consentimiento, estableciendo asimismo la manera (fácil y en cualquier momento) en la que los usuarios han de poder revocar dicho consentimiento.
En fecha 10/08/2022 se interpuso ante la AEPD una reclamación en la que se hacía constar que la mercantil reclamada (responsable del sitio web en que la presunta infracción había tenido lugar) no utilizaba las Cookies conforme a la normativa aplicable, haciendo hincapié en la incorrecta obtención del consentimiento de los usuarios. El reclamante denunciaba que una vez prestado el consentimiento para el uso de las Cookies, el banner dejaba de estar visible para el usuario, lo que hacía imposible (o dificultaba en exceso) retirar el consentimiento para impedir la carga de las Cookies.
Tras acceder varias veces a la página web en la que se estaba cometiendo la infracción de la normativa en materia de Cookies, la AEPD determina, en su resolución que “se comprobó que no existía ningún mecanismo o acceso al panel de control que permitiera después retirar el consentimiento prestado y rechazar las cookies que se habían aceptado previamente”.
Tras las primeras inspecciones de la AEPD, la mercantil modificó tanto la política de Cookies como el banner informativo, ajustándolo a las exigencias legales en materia de Cookies y revocación del consentimiento, pero la AEPD argumenta que “eso no hace que desaparezca el incumplimiento que ha quedado probado, desde que la Agencia realizó la primera comprobación.”
De todo ello resulta la sanción que finalmente impone la AEPD a la reclamada, ascendente a la cuantía de 5.000 euros, por infracción del art. 22.2 de la LSSI: “los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento”, “de manera fácil”, considerándose que existe tal circunstancia “cuando el usuario tenga acceso sencillo y permanente al sistema de gestión de configuración de las Cookies”, cosa que, en el presente caso, no ocurría en un principio.
Dada la relevancia práctica de esta materia, desde LKS Next Legal publicamos el pasado mes de julio la Circular 22-2023, relativa a la actualización de la Guía de Cookies de la AEPD. En ella se contienen los consejos prácticos más relevantes en orden a utilizar los sistemas de Cookies de manera correcta, conforme a las exigencias de la normativa.