Aviso a navegantes. La Agencia Española de Protección de Datos (AEPD) ha impuesto a Vueling una sanción de 30.000 euros por instalar cookies en los equipos de los usuarios de su página web sin su consentimiento. La multa, no obstante, se ha visto posteriormente reducida a 18.000 euros después de que la compañía reconociera su responsabilidad y procediera al pago voluntario de la cuantía. Según consta en la resolución, la aerolínea no permitía que se denegara su instalación si no se hacía a través de las opciones del navegador; asimismo, tampoco daba la opción de retirar el consentimiento anteriormente prestado.
La multa es relevante porque la falta de opciones para configurar la política de cookies es uno de los defectos de los que aún adolecen muchas webs en materia de privacidad. Una conducta que infringe el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI) de «los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos». Una infracción que la misma norma califica como leve.
Según la resolución de la AEPD, en la página web inspeccionada se apreciaban dos capas de información sobre las cookies. En la primera, el aviso de las mismas informaba de que estas se utilizaban «para recordar tus preferencias, elaborar estadísticas de uso y ofrecerte publicidad basada en tus hábitos de navegación. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información al respecto consultando nuestra Política de Cookies«, con un enlace a la misma e incorporando la opción «Aceptar y continuar navegando».
En la segunda capa (dentro de la política de cookies) se informa sobre qué son las cookies y cuáles se usaban. También se comunicaba que la empresa podía utilizar «por sí misma o a través de terceras webs: beacons, Pixel tags y Local storage, para realizar evaluaciones y cálculos estadísticos sobre datos anónimos, así como para garantizar la continuidad del servicio o para realizar mejoras en sus sitios web». Además indicaba que «dicha información no será utilizada para ninguna otra finalidad» así como que, «puede utilizar cookies de análisis de terceros».
Consentimiento implícito
Es decir, como explica la resolución, «si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies». Por el contrario de remite a la configuración de los navegadores para eliminarlas o bloquearlas, «no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador». Una aceptación tácita que el organismo considera que contraviene la LSSI y la nueva normativa de privacidad.
Por todo ello, la AEPD determina que la aerolínea «no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular». Para facilitar esta selección, resalta el organismo, el panel podría habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.
Fuente: El País
