La Agencia Española de Protección de Datos (AEPD), entidad encargada de velar por el cumplimiento de la normativa de protección de datos personales, vuelve a imponer una sanción al titular una página web por carecer de política de privacidad y política de cookies. (Expediente Nº: PS/00404/2021).
Se trata de sanciones muy recurrentes en la actualidad y que suelen venir acompañadas de otro tipo de incumplimientos, como la ausencia de aviso legal, la mala gestión del consentimiento en los formularios de contacto o la falta de implantación de banners advirtiendo del uso de cookies.
Reclamaciones a Webs en la Agencia Española de Protección de Datos
En este caso, la AEPD tuvo conocimiento de los hechos a raíz de una reclamación presentada por un usuario de la web, iniciando el correspondiente procedimiento sancionador y dando traslado a la parte reclamada para que realizara las alegaciones que estimara oportunas.
La empresa se enfrentaba a una sanción de 4.000 € por el incumplimiento del Reglamento General de Protección de datos (RGPD) y la Ley de Servicios de la Sociedad de la Información (LSSI).
Una vez realizadas las comprobaciones oportunas, la AEPD constata que la página web de la empresa reclamada carecía de:
- Política de privacidad. “Infracción del artículo 13 del RGPD, al no existir en la página web reclamada ninguna “Política de Privacidad”, constando la existencia de tratamiento de datos personales, con una sanción inicial de 2.000 euros, (dos mil euros) así como que tomase las medidas necesarias para incluir en la web una página (Política de Privacidad), incluyendo la información requerida sobre el tratamiento de los datos personales acorde a lo estipulado en el artículo 13 del RGPD.”
- Política de cookies. “Infracción del artículo 22.2 de la LSSI, respecto a la inexistencia de “Política de Cookies”, de la página web reclamada, constatando la existencia de cookies no técnicas, con una sanción inicial de 2.000 euros, (dos mil euros)”.
- Banner para la gestión de cookies. “mecanismo que imposibilite la utilización de cookies no necesarias antes de que el usuario dé su consentimiento para ello; incluyendo un mecanismo que posibilite rechazar todas las cookies o realizarlo de forma granular a través de un panel de control e incluir un banner en la página principal sobre cookies acorde con lo estipulado en la normativa, así como una página (Política de Cookies), incluyendo en la misma la información requerida sobre la gestión de cookies.”
En base a estos incumplimientos, y una vez finalizado el plazo de alegaciones otorgado a la parte reclamada, la AEPD resolvió imponer una multa de 2.000€ por infracción del artículo 13 de RGPD y otra multa de 2.000€ por infracción del artículo 22.2 de la LSSI.
Si bien, no hubo sanción por la falta de aplicación de un banner que gestione de forma correcta el consentimiento para la aceptación o rechazo de las cookies, la AEPD requirió a la empresa para que estableciera un mecanismo de gestión de cookies acorde con lo establecido en la normativa y sus directrices.
En ese sentido, no es suficiente únicamente con la implantación de un aviso o banner, además, es necesario que el banner o panel de cookies gestione adecuadamente la implantación de estas, impidiendo que ninguna cookie, que no sea funcional o necesaria, sea descargada en el dispositivo del usuario sin previamente requerir el consentimiento expreso. La inactividad del usuario, hacer scroll o navegar por el sitio web no se considerará como prestación del consentimiento.
Es importante resaltar que las páginas web deben adaptar sus mecanismos de gestión de cookies de conformidad con los requisitos establecidos por la autoridad de control, en caso contrario, las empresas corren el riesgo de enfrentarse a sanciones que pueden alcanzar hasta los 30.000 € por incumplir la Ley de Servicios de la Sociedad de la Información.
¿Qué obligaciones básicas en materia de privacidad debe cumplir mi página web?
Con carácter general y no limitativo una página web debe disponer de:
- Aviso legal.
- Política de privacidad.
- Política de cookies.
- Banner cookies.
- Consentimientos e información en formularios de contacto o newsletters.
Además, el artículo 32 del RGPD impone obligaciones en materia de seguridad. Esto implica que se deban aplicar protocolos seguros o certificados SSL, que cifran la información y evitan que terceros no autorizados puedan acceder a los datos personales que se pudieran compartir a través de la web.
Ninguna web está libre de sanción
En definitiva, ninguna web está libre de ser sancionada ante los incumplimientos de las leyes señaladas, con independencia de que su titular sea una empresa o un autónomo.
Independientemente a las sanciones, hemos de tener en cuenta que la web es nuestra imagen de cara al público, la presencia online de nuestro negocio, un público que cada vez valora más el tratamiento de sus datos personales, por lo que, invertir en privacidad es una gran oportunidad para crear confianza y aportar valor a nuestra web y nuestros servicios.
******
Si necesitas asesoramiento en materia de protección de datos personales o áreas relacionadas ponte en contacto con nuestro departamento de Derecho de Nuevas Tecnologías.