Entradas

Google y Facebook sancionadas por no facilitar la gestión del permiso de instalación de Cookies

La agencia reguladora francesa en materia de protección de datos, la CNIL, ha sancionado a Google y Facebook con multas por un total de 210 millones de euros en relación a la manera en la que facilitan la gestión del consentimiento de instalación de cookies a los usuarios de sus servicios.

El consentimiento para el uso de cookies es clave para la normativa de la UE sobre privacidad de datos y una de las principales prioridades de la CNIL.

El organismo de control ha considerado que tanto Google como Facebook dificultan el rechazo de los usuarios a la instalación de ciertas Cookies, dando un plazo de tres meses a dichas empresas para cumplir la normativa o enfrentarse a sanciones de 100.000 euros por cada día de retraso.

La responsable de protección de datos y sanciones de la CNIL, Karin Kiefer, manifiesta que a la hora de aceptar las cookies el usuario simplemente tiene que hacer click en el botón aceptar, siendo un procedimiento realmente sencillo, sin embargo, rechazar las cookies, cuando debiera ser igual de fácil que aceptarlas, no lo es, ya que es preciso ir revisando categoría por categoría de cookies.

En su comunicado, la Comisión Nacional de Informática y Libertades indicó haber comprobado que, si bien los gigantes tecnológicos ofrecían un botón virtual para permitir la aceptación inmediata de las cookies, no había un equivalente para rechazarlas con la misma facilidad.

Google, que ha sido multado con 150 millones de euros, se ha comprometido a trabajar activamente con la CNIL de cara a realizar los cambios pertinentes para simplificar el proceso de denegación de instalación de cookies, poniendo de manifiesto que «la gente confía en nosotros para que respetemos su derecho a la privacidad y los mantengamos seguros. Entendemos nuestra responsabilidad de proteger esa confianza»

Por su parte Facebook, ahora propiedad de Meta, y sancionada con 60 millones de Euros, dijo estar «revisando» la decisión de multarle con 60 millones de euros. Indicando que :»Nuestros controles de consentimiento de cookies proporcionan a las personas un mayor control sobre sus datos, incluyendo un nuevo menú de configuración en Facebook e Instagram, donde las personas pueden revisar y gestionar sus decisiones en cualquier momento, y seguimos desarrollando y mejorando estos controles»

Multas anteriores

Las cookies son muy valiosas para Google y Facebook como forma de personalizar la publicidad, siendo su principal fuente de ingresos.

Desde que la UE aprobó el RGPD en 2018, las empresas de internet se enfrentan a normas más estrictas que les obligan a buscar el consentimiento directo de los usuarios antes de instalar cookies en sus ordenadores.

No es la primera vez que Google, propiedad de Alphabet, recibe fuertes multas por incumplir la ley europea, ya fue objeto de la anterior multa récord de la CNIL, de 100 millones de euros, en 2020.

El gigante estadounidense de la venta al por menor, Amazon, también fue multado con 35 millones de euros por infringir las normas.

En 2020, la CNIL reforzó los derechos de consentimiento sobre los rastreadores de publicidad, indicando que los sitios web que operan en Francia deben mantener un registro de la negativa de los usuarios de Internet a aceptar cookies durante al menos seis meses. También señaló que los usuarios de Internet deberían poder reconsiderar fácilmente cualquier acuerdo inicial sobre las cookies a través de un enlace web o un icono que debería ser visible en todas las páginas del sitio web.

La situación en España

La AEPD, organismo controlador en materia de protección de datos en España, en Julio del 2020, actualizó y puso a disposición de empresas, ciudadanos y profesionales, la guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos. Dando un plazo de tres meses para introducir los cambios necesarios en los mecanismos de obtención del consentimiento de instalación de cookies.

Un año y medio después, las empresas cuyas webs están adaptadas al RGPD en materia de gestión del consentimiento informado de instalación de cookies, son una minoría.En el caso de páginas propiedad de PYMES y autónomos la práctica totalidad no están adaptadas al RGPD y la LOPD, apreciándose irregularidades tales como, el uso del consentimiento tácito, la redacción de una política de cookies incompleta o la configuración errónea del modelo de capas.

Desde Equal, de cara a evitar sanciones y cumplir con el RGPD, siempre recomendamos asegurarnos de que nuestra web está adaptada a la norma, ofreciendo dentro de nuestros servicios de adaptación a la LOPD, la revisión gratuita del estado de gestión del consentimiento de instalación de cookies.

Evita sanciones, déjate guiar por expertos en Adaptación de Protección de datos.

La AEPD apercibe a entidad por no tener adecuadas la política de privacidad y de cookies de su web

En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

“Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

«Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
trasfiere de forma segura (encriptada) (…)”.

Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

«Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

La Agencia Comprueba e inicia Procedimiento Sancionador

Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

  • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

  • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

  • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

La Consejería es Apercibida

Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

  • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
    web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
  • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD da tres meses a las empresas para adaptar las nuevas directrices sobre cookies.

 

LA AGENCIA ha actualizado su Guía sobre Cookies para adaptarla a las directrices marcadas el pasado mes de mayo por el Comité Europeo de Protección de Datos

El mes de mayo pasado el Comité Europeo de Protección de Datos revisó, en relación a las Cookies, dos cuestiones principales en relación al consentimiento:

1.-Por un lado, el uso de la opción de “seguir navegando” como forma  válida de entender que el usuario ha prestado el consentimiento.

2.-Por otro lado, la posibilidad de usar los conocidos “muros de cookies”, es decir, “limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de las cookies”. Leer más

Primera multa por cookies

Primera multa por cookies

Primera multa por cookies

En esta ocasión, nos encontramos con la primera multa por cookies según la sentencia que dicta una sanción a una web por no informar de manera adecuada de las cookies utilizadas.

Las cookies, esos pequeños pedazos de información que se quedan registrados en nuestro ordenador mientras viajamos por internet, siempre se encuentran rodeados de polémicas.

Cookies sin el consentimiento del usuario

Lolabits.es utilizó cookies sin el consentimiento del usuario, por lo que impuso a Abelhas.Pt. Limited una multa por una infracción del artículo 22.2 de la LSSI, tipificada como leve en su artículo 38.4 g), con 5.000 euros de multa.

Lolabits.es estaba publicitaba como un servicio gratuito de almacenamiento como (al estilo de Dropbox). Sin embargo, la actividad real, era la que los archivos eran públicos con carpetas repletas de música, películas, libros y otros contenidos protegidos por derechos de propiedad intelectual.

Los 5.000 euros de multa, ha sido la sanción impuesta a la web Lolabits.es por la Agencia Española de protección de Datos, por usar cookies sin el consentimiento informado de los usuarios. Esta web, se anunciaba como una página de almacenamiento de archivos, al estilo de Dropbox.

Adaptación LOPD para empresas y autónomos - Información GRATIS

La resolución

Esta resolución de la AEPD imputa a los propietarios de la web, Abelhas.Pt Limited, radicada en Chipre, la infracción del artículo 22.2 de la ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), que dispone que los prestadores de servicios pueden recuperar datos de los equipos terminales de los destinatarios siempre que haya un consentimiento informado.

La web, que era uno de los sitios más populares para el acceso a contenidos pirateados con datos de tráfico de 2,9 millones de usuarios, no ofrecía información por la instalación de estas cookies. Lolabits.es utilizaba dispositivos de almacenamiento de recuperación de datos (DARD) con la finalidad declarada de ser «analítica web de tercera parte» y para la «gestión de redes sociales».

Financiación de los sitios piratas

«La recolección de datos personales es una de las vías habituales de financiación de los sitios piratas, tal como recoge el Observatorio de la Piratería, que detalla cómo un 36,4% de los usuarios de esas web tiene que registrarse y ceder datos de carácter personal, facilitando la creación de bases de datos que alcanzan precios muy elevados en el mercado».

La Coalición estima como «acreditado» que Lolabits.com «no ofrecía información respecto de la instalación de dispositivos de almacenamiento y recuperación de datos» y que era «un gran repositorio de piratería».

El procedimiento, se inició por una denuncia contra la web, interpuesta en 2016, por las entidades Agedi, AIE, Cedro, Egeda, Fedicine y SGAE por vulneración de la ley de Protección de Datos (LOPD).

 

Sanción por uso indebido de Cookies

Sanción por uso indebido de Cookies

[one_second]

Sanción por uso indebido de Cookies

El pasado 8 de  mayo de 2015 se dictó la primera sentencia de la Audiencia Nacional en la que se confirmaba la sanción  por uso indebido de cookies a una empresa, dicha sanción económica fue impuesta por la Agencia Española de Protección de datos. Esta resolución se dictó a una modesta empresa de joyería, propietaria de varias webs y una tienda online, coincidiendo además con el hecho que fue también la primera resolución sancionadora emitida por la Agencia.

Vamos a analizar este procedimiento sancionador previo, que ha dado lugar a la sentencia dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional.

La resolución de la Agencia se dicta en esencia por un incumplimiento del artículo 22.2 de la Ley 34/2002, de Sociedad de Servicios de la Información (LSSI).

  1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

En este punto, la ley se centra en el consentimiento informado previo que tiene que dar el usuario (dentro de lo posible) para que se puedan usar las cookies del sitio web (a no ser que estas resulten indispensables para el funcionamiento de la web).

En continuación a lo anterior, el artículo 38.4.g) de la LSSI, califica como infracción leve: ”g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave.”

En este artículo se clasifica como pena leve, el incumplimiento del anterior derecho al consentimiento informado del artículo anterior.

[/one_second]

[one_second]

En este caso concreto, la AEPD destacó que: “quedó acreditado que dos entidades utilizaban cookies propias y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad sin informarles, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas. Asimismo, quedó probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

En consecuencia, cada una de las entidades cometió una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) siendo sancionadas con una multa de 3.000 y 500 euros respectivamente”.

A continuación, la AEPD  expone, que a pesar de que la conducta no infringe el artículo 38.4.g) de la LSSI, sí se encuentra dentro del el artículo 22.2 sobre el consentimiento informado.

Sentencia de la Audiencia Nacional

La defensa de las partes se basó en la falta de intencionalidad a la hora de  la comisión de la infracción, así como también en la diligencia prestada en la rectificación de las posibles infracciones además de la ausencia de beneficio económico por dichos incumplimientos. De manera subsidiaria, solicitaron que la cuantía de la sanción impuesta a una de ellas fuera dentro del mínimo de 500 euros.

Para la Audiencia Nacional, los hechos en que se basa la resolución sancionadora es por la instalación y utilización de “cookies” en los terminales de los usuarios que accedían a los sitios web titularidad de las partes recurrentes, sin haberles facilitado, previamente, información clara y completa sobre el uso y finalidades de dichos dispositivo y sin contar, tampoco, con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

En relación con la falta de culpabilidad, tenemos que volver a reseñar que es sabido que se puede incurrir en responsabilidad por la infracción que estamos examinando tanto de manera intencionada o dolosa como por descuido, negligencia o aún a título de simple inobservancia – art. 130.1 de la Ley 30/1992, de 26 de noviembre -, tal y como hemos reflejado al analizar la primera infracción.

En resumen, la sentencia determina que en los casos de incumplimiento del consentimiento informado previo del usuario a la utilización de cookies, no puede ampararse en la ausencia de culpabilidad  (aún prestando cierta diligencia para el subsanamiento de errores).

Es por esto que desde Equal, apostamos siempre por una regulación cuidadosa con las cookies, ya que las sanciones pueden llegar hasta los 200.000 euros, incluso para empresas de pequeña entidad.

[/one_second]

Cookies: La mayoría de webs, no dan control total sobre ellas

Cookies: La mayoría de webs, no dan control total sobre ellas

[one_second]

Algunas webs,  instalan cookies por 1000 años

       Las páginas más visitadas por los internautas europeos, meten en sus ordenadores algo más de 34 cookies de media, de las cuales la mayoría ni siquiera son suyas. Un análisis conjunto por parte de varias empresas europeas expertas en protección de datos, revela que gran parte de estos archivos siguen activos en el ordenador hasta dos años, aunque hay algunas que son eternas. El informe también indica, que sólo una minoría de ellas, ofrece al usuario la posibilidad de rechazarlas.

        Las cookies son archivos de texto que se instalan en el ordenador cuando se visita una página. Unas cuantas, son fundamentales para la navegación ya que permite identificarse sin tener que introducir de nuevo el nombre de usuario y la contraseña. Pero muchas otras son muy usadas por empresas de publicidad, porque permiten rastrear la navegación que hace cada usuario.

     Las empresas de protección de datos siempre han estado muy pendientes del uso de las cookies por el impacto que tiene en la privacidad de las personas. Ahora, la AEPD (Agencia Española de Protección de Datos) junto con otras agencias europeas, han analizado las 478 webs (de las cuales 65 eran españolas) de comercio electrónico, medios de comunicación y administraciones públicas más visitadas por los europeos. El análisis quería revisar qué cookies instalan, si se informa al usuario o se pide su consentimiento para instalarlas.

    El informe encontró un total de 16.555 cookies, con una media de 34,6 por página, tan sólo 7 webs, una de ellas española, no instala ninguna cookie en su ordenador. Veinte webs, instalan más de 100 cookies, y algunas webs instalan más de 200. Si analizamos el informe por países, vemos que España se encuentra en tercera posición. Por sectores, vemos que el que más cookies meten en los ordenadores de sus internautas, son los medios de comunicación, con 59 de media.

[/one_second]

[one_second]

    Estos resultados tienen cierta lógica, ya que los medios de comunicación viven de la publicidad, por eso, en sus páginas, no sólo instalan cookies propias, si no las de terceros, de hecho, por cada archivo propio, se cuela en el ordenador, cuatro ajenos. El 70% de las cookies encontradas, son de terceros, la mayoría de ellas empresas publicitarias. Entre las cuatro primeras, aparece DoubleClick, la plataforma publicitaria del buscador Google.

      El análisis revela también, que gran parte de estos archivos, son persistentes en el tiempo, es decir, que una vez cierras el navegador, los archivos continúan en el ordenador. Destacar que en tres webs, las cookies estaban configuradas para durar hasta el año 9999. Otros dos medios españoles, tienen cookies que están configuradas para permanecer en nuestro aparato los próximos 1000 años, aunque el tiempo medio de vigencia, figura entre uno y dos años.

    El objetivo principal del informe, era saber si estas webs respetan las leyes europeas de privacidad. El análisis observó que la mayor parte de las webs informa a sus visitantes de que usan estos identificadores, pero todavía una cuarta parte de ellos ni siquiera cumple el requisito de información y menos aún el de pedir consentimiento, ya que sólo la mitad de las webs lo hacen. Aunque lo peor es que nada más que el 16% de las webs ofrecen al usuario la posibilidad de elegir qué cookies instalar y cuales rechazar.

     Desde Equal Protección de Datos, abogamos por seguir mejorando la privacidad por parte de los usuarios, por eso queremos dar a conocer al usuario, la importancia que tiene el uso de las cookies en el ámbito de la navegación, y lo poco que se respeta, para prevenir al internauta.

[/one_second]