la aepd, acusada de castigar 'a dedo'

Estas son las empresas del Ibex 35 que violan la ley de 'cookies'

El pasado mes de enero, la AEPD impuso la primera multa a dos páginas webs por violar la ley de 'cookies'. Ahora, expertos aseguran que pocos están a salvo

Foto: Estas son las empresas del Ibex 35 que violan la ley de 'cookies'

En el año 2012 se modificó la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico, en lo relativo al modo en que los prestadores de servicios de la información españoles deben recabar el consentimiento de los usuarios en cuyos dispositivos se instalan cookies.

Las cookies son archivos de texto que recopilan información. Pueden ser usadas para gestionar el flujo de usuarios de un sitio web y mejorar su experiencia de navegación. Pero también son herramientas con las que se puede conseguir información sobre sus hábitos de navegación y utilizar los datos personales obtenidos sin su consentimiento con fines comerciales. Según la normativa, los editores web están obligados a informar sobre su uso, además de obtener el consentimiento de los usuarios para su instalación.

En concreto, el artículo 22.2 establece que: "Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal".

Fueron dos pequeños comercios de barrio los que sufrieron en sus carnes la primera multa de estas características en toda EuropaEl pasado mes de enero, la Agencia Española de Protección de Datos (AEPD) impuso la primera multa a dos páginas web por no informar adecuadamente sobre el uso que hacían de las cookies. Las víctimas fueron dos pequeñas empresas españolas que fueron sancionadas por usar Google Analytics, Google Maps, YouTube, WordPress y Zopim, entre otros, instalando cookies de estos servicios sin cumplir la citada ley.

En concreto, en la resolución (disponible en PDF) se especificó que se las sancionaba por no informar adecuadamente a los internautas sobre su uso de las cookies, hecho por el cual fueron multadas. Tampoco requerían el consentimiento para hacerlo, pero no fueron castigadas por esto porque el órgano entendió que se trataba de una infracción leve (artículo 38.4.g), y no grave (artículo 38.3.i).

Al margen de esta interpretación, lo curioso es quiénes fueron los afectados por esta resolución: Navas Joyeros Importadores S.L. y Privilegia Luxury Experiencie S.L. Es decir, dos comercios de barrio que sufrieron en sus carnes la primera multa de estas características en toda Europa.

Los expertos consultados coinciden en clasificar esta sanción como una medida ejemplar por parte de la AEPD para que cunda el ejemplo. Pero en lo que no se ponen de acuerdo es en por qué cayó sobre estos dos sujetos jurídicos. Sobre todo, cuando son muchas más las grandes compañías que violan la famosa ley de cookies en España.

Una ley imposible de cumplir

Un análisis realizado para Teknautas por expertos juristas ha desvelado que las webs de las principales empresas del Ibex 35 tampoco cumplen con los requerimientos básicos de la normativa española, arriesgándose de esta forma a ser multadas.

(Sitúe el cursor sobre cada casilla para obtener una explicación de la infracción)

De esta forma, páginas webs o sitios secundarios vinculados a compañías como BBVA, Telefónica, Iberdrola, Bankia, Abertis o Ferrovial incumplen algunos apartados, ya sea el aviso legal, los banners o la ley en general.

Como podemos apreciar en la tabla, un gran número de estas empresas utilizan banners que engañan a los internautas. Es decir, les hacen creer que cerrándolos están aceptando su política de cookies cuando en realidad ya se las han instalado. Otros directamente los rastrean instalándoles cookies propias y de terceros.

La ley de 'cookies' está hecha para sancionar. No se puede cumplir porque obliga a poner en el aviso legal todas las que se instalan. Y eso es prácticamente imposible para la mayoríaEsto último se debe a que la mayoría de páginas que existen muestran contenidos de terceros. Y estos incluyen cookies, que por si fuera poco van cambiando y son incontrolables para las webs que los alojan.

Según ha explicado a Teknautas el abogado Pablo Fernández Burgueño, "la ley de cookies está hecha para sancionar. No se puede cumplir porque obliga a poner en el aviso legal todas las cookies que se instalan en la página web. Y eso es prácticamente imposible para la mayoría. Sólo las que no incrusten en sus webs nada de terceros sí podrán cumplirla íntegramente. Y son muy pocas".

Un ejemplo lo tenemos en compañías como el Banco Popular, la página web del Santander (que no sus secundarias vinculadas) o Repsol. "Estas sólo utilizan material propio, y no de terceros", ha añadido Burgueño.

La AEPD se dispara en el pie con la ley de 'cookies'

Por si estos requisitos no fueran prácticamente imposibles de cumplir, la ley tampoco permite usar plataformas extranjeras que no cumplan la mencionada normativa. Sin embargo, por razones de marketing, muchas marcas españolas utilizan Facebook y otras redes sociales como Twitter, que instalan cookies de rastreo.

La forma de contratación por parte de las empresas en las redes sociales es aparentemente gratuita. Pero la realidad es que las compañías extranjeras ofrecen el espacio y el sitio prediseñado a condición de que puedan recabar datos de los usuarios que visitan los sitios que las empresas gestionen en dichos espacios.

A este respecto y en el foro de Denae sobre "Publicidad basada en el comportamiento", el propio Jesús Rubí Navarrete, adjunto al director de la AEPD, respondió a la pregunta (disponible en audio) de si puede una empresa española elegir tecnología que no le permita cumplir la ley española, dejando a Facebook, Twitter y a otras empresas rastrear y monitorizar a los usuarios: "El editor al que le van a crear una página de empresa en Facebook es responsable de los dispositivos cuya instalación posibilite para terceros. La gratuidad de los servicios de internet tiene un precio. Si alguien quiere optar por esa solución, así, a palo seco y sin más, se estará poniendo en una importante situación de riesgo".

Se da la casualidad de que la propia AEPD contaba con una página en la famosa red social, que cerró repentinamente. La página estaba aquí, pero fue retirada dos semanas después de que se le hiciese la pregunta al adjunto al director. Por suerte, todavía quedan pantallazos que demuestran su existencia en la web.

De cualquier forma, a día de hoy son muchas las compañías que se saltan a la torera la normativa y utilizan cookies sin avisar a sus usuarios, además de las que aparecen en redes sociales. Y no son sancionadas. Por lo que parece ser que ni la AEPD ni la normativa vigente estén sirviendo para mucho, excepto para sancionar a pequeñas empresas.

La Agencia ha tenido la oportunidad en este artículo de arrojar un poco de luz sobre todas estas interrogantes que les hemos planteado desde Teknautas y que rodean a la ley de cookies, pero hasta el momento ha preferido no dar ninguna respuesta.

Cómo hacer una auditoría (o la paradoja Epicel)

El despacho de abogados Abanlex por su parte, ha querido hacer una demostración a Teknautas de por qué la polémica ley de cookies es prácticamente imposible de cumplir.

Antes de nada, hay que recordar que una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado. El contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores, etc. El externo está absolutamente fuera de nuestro control. 

Solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las de la web, lo cual es imposible porque su instalación es constante

Según Pablo Fernández Burgueño, "los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastran cookies de las páginas fuente. Algo similar ocurre con los iframes, que son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente".

"Sólo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las de la web, lo cual es imposible porque su instalación es constante, cambiante y descontrolada. Sencillamente, no se puede tener la certeza de haber localizado y descrito todas las que el sitio crea, está preparado para crear o permite crear a otros. Lo que nos lleva a la paradoja de Epicel".

Epicel es el acrónimo de las palabras Es Prácticamente Imposible Cumplir Esta Ley. Esta paradoja demuestra cómo una auditoría de cookies correctamente realizada sólo permite cumplir la ley a medias.

Por último, cabe señalar que las auditorías de cookies pueden parecer sencillas, pero no lo son. Los sitios web pequeños sin apenas cookies requieren entre 10 y 20 minutos de análisis. Los más complejos, con años a la espalda, entre 15 y 25 horas.

Tecnología
Escribe un comentario... Respondiendo al comentario #1
2 comentarios
Por FechaMejor Valorados
Mostrar más comentarios