Estas son las empresas del Ibex 35 que violan la ley de 'cookies'

En el año 2012 se modificó la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico, en lo relativo al modo en que los prestadores de servicios de la información españoles deben recabar el consentimiento de los usuarios en cuyos dispositivos se instalancookies.

Las cookies son archivos de texto que recopilan información. Pueden ser usadas para gestionar el flujo de usuarios de un sitio web y mejorar su experiencia de navegación. Pero también son herramientas con las que se puede conseguir información sobre sus hábitos de navegacióny utilizar los datos personales obtenidos sin su consentimiento con fines comerciales. Según la normativa, los editores web están obligados a informar sobre su uso, además de obtener el consentimiento de los usuarios para su instalación.

En concreto, el artículo 22.2 establece que: "Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal".

El pasado mes de enero, la Agencia Española de Protección de Datos(AEPD) impusola primera multa a dos páginas web por no informar adecuadamente sobre el uso que hacían de lascookies.Las víctimas fueron dos pequeñas empresas españolasque fueronsancionadaspor usar Google Analytics, Google Maps, YouTube, WordPress y Zopim, entre otros, instalandocookiesde estos servicios sin cumplir la citada ley.

En concreto, en la resolución (disponible en PDF) se especificó que se las sancionaba porno informar adecuadamente a los internautas sobre su uso de las cookies, hecho por el cual fueron multadas. Tampoco requerían el consentimiento para hacerlo, pero no fueron castigadas por esto porque el órgano entendió que se trataba de una infracción leve (artículo 38.4.g), y no grave (artículo 38.3.i).

Al margen de esta interpretación, lo curioso esquiénes fueron losafectados por esta resolución:Navas Joyeros Importadores S.L. y Privilegia Luxury Experiencie S.L. Es decir, dos comercios de barrio que sufrieronen sus carnes la primera multa de estas característicasen toda Europa.

Los expertos consultados coincidenen clasificar esta sancióncomo una medida ejemplar por parte de la AEPD para que cunda el ejemplo. Pero en lo que no se ponen de acuerdo es en por qué cayó sobre estos dos sujetos jurídicos. Sobre todo, cuandoson muchas más las grandes compañías que violan la famosa ley de cookies en España.

Una ley imposible de cumplir

Un análisis realizado para Teknautas por expertos juristas ha desvelado que laswebs de las principales empresas del Ibex 35 tampoco cumplen con los requerimientos básicos de la normativa española, arriesgándose de esta forma a ser multadas.

(Sitúe el cursor sobre cada casilla para obtener una explicación de la infracción)

De esta forma, páginas webs o sitios secundarios vinculadosa compañías comoBBVA, Telefónica, Iberdrola, Bankia, Abertis o Ferrovial incumplen algunos apartados, ya sea el aviso legal, los banners o la ley en general.

Como podemos apreciar en la tabla, un gran número de estas empresas utilizan banners que engañan a los internautas. Es decir, les hacen creer que cerrándolos están aceptando su política de cookies cuando en realidad ya se las han instalado. Otros directamente los rastrean instalándoles cookies propias y de terceros.

Esto último se debe a que la mayoría de páginas que existen muestran contenidos de terceros. Y estos incluyen cookies, que por si fuera poco van cambiando y son incontrolables para las websque los alojan.

Según ha explicado a Teknautasel abogado Pablo Fernández Burgueño, "la ley de cookies estáhecha para sancionar. No se puede cumplir porqueobliga a poner en el aviso legal todas las cookies que se instalan en la página web. Y eso es prácticamente imposible para la mayoría. Sólo las que no incrusten en sus webs nada de terceros sí podrán cumplirla íntegramente. Y son muy pocas".

Un ejemplolo tenemos en compañías como el Banco Popular, la página web del Santander (que no sus secundarias vinculadas) oRepsol. "Estas sólo utilizan material propio, y no de terceros", ha añadido Burgueño.

La AEPD se dispara en el pie con la ley de 'cookies'

Por si estos requisitos no fueran prácticamente imposibles de cumplir, la ley tampoco permite usar plataformas extranjeras que no cumplanla mencionada normativa. Sin embargo, por razones de marketing, muchas marcasespañolas utilizan Facebook y otras redes sociales como Twitter, que instalancookies de rastreo.

La forma de contratación por parte de las empresas en las redes sociales es aparentemente gratuita. Perola realidad es que las compañías extranjeras ofrecen el espacio y el sitio prediseñado a condición de que puedan recabar datos de los usuarios que visitan los sitios que las empresas gestionen en dichos espacios.

A este respecto y en el foro de Denaesobre "Publicidad basada en el comportamiento", el propio Jesús Rubí Navarrete, adjunto al director de la AEPD, respondió a la pregunta (disponible en audio) de si puede una empresa española elegir tecnología que no le permita cumplir la ley española, dejando a Facebook, Twitter y a otras empresas rastrear y monitorizar a los usuarios: "El editor al que le van a crear una página de empresa en Facebook es responsable de los dispositivos cuya instalación posibilite para terceros. La gratuidad de los servicios de internet tiene un precio. Si alguien quiere optar por esa solución, así, a palo seco y sin más, se estará poniendo en una importante situación de riesgo".

Se da la casualidad de que la propia AEPD contaba con una página en la famosa red social, quecerró repentinamente. La página estaba aquí, pero fue retirada dos semanas después de que se le hiciese la pregunta al adjunto al director. Por suerte, todavía quedan pantallazos que demuestran su existencia en la web.

De cualquier forma, a día de hoyson muchas las compañíasque se saltan a la torera la normativa y utilizan cookies sin avisar a sus usuarios, además de las que aparecen en redes sociales. Y no son sancionadas. Por lo que parece ser que ni la AEPD ni la normativa vigente estén sirviendo para mucho, excepto para sancionar a pequeñas empresas.

La Agencia ha tenido la oportunidad en este artículo de arrojar un poco de luz sobretodas estas interrogantes que les hemos planteado desde Teknautas y que rodean a la ley de cookies, pero hasta el momento hapreferido no dar ninguna respuesta.

Cómo hacer una auditoría (o la paradoja Epicel)

El despacho de abogados Abanlexpor su parte, ha querido hacer una demostración a Teknautas de por qué la polémica ley de cookies es prácticamente imposible de cumplir.

Antes de nada, hay que recordar que una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado. El contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores, etc. Elexterno está absolutamente fuera de nuestro control.

Solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las de la web, lo cual es imposible porque su instalación es constante

Según Pablo Fernández Burgueño, "los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastrancookiesde las páginas fuente. Algo similar ocurre con losiframes, que son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente".

"Sólo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las de la web, lo cual es imposible porque su instalación es constante, cambiante y descontrolada. Sencillamente, no se puede tener la certeza de haber localizado y descrito todas las que el sitio crea, está preparado para crear o permite crear a otros. Lo que nos lleva a la paradoja de Epicel".

Epicel es el acrónimo de las palabras Es Prácticamente Imposible Cumplir Esta Ley. Esta paradoja demuestra cómo una auditoría de cookies correctamente realizada sólo permite cumplir la ley a medias.

Por último, cabe señalar que las auditorías de cookies pueden parecer sencillas, pero no lo son. Los sitios web pequeños sin apenas cookies requieren entre 10 y 20 minutos de análisis. Los más complejos, con años a la espalda, entre 15 y 25 horas.