Primera sanción de la AEPD por no cumplir la normativa respecto a la utilización de cookies en su página web a la compañía Vueling .
Según el usuario denunciante, «la Web de la compañía no permite utilizar las cookies estrictamente necesarias y además huelga una acción afirmativa y positiva que no se pueda malinterpretar el consentimiento y lo asumen simplemente al visitar su página web».
Una vez realizadas las oportunas comprobaciones, según la Agencia, la empresa no cumple con las condiciones que impone la normativa en vigor. En los fundamentos de derecho dice que «si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies».
Además, no facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias.
Los hechos expuestos, prosigue la Agencia, podrían suponer por parte de la empresa reclamada, la comisión de la infracción del artículo 22.2 de la LSSI1, según el cual: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal».
Esta Infracción estas tipificada como leve en el artículo 38.4 g), de la citada Ley, que considera como tal: “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.”, pudiendo ser sancionada con multa de hasta 30.000 €, de acuerdo con el artículo 39 de la citada LSSI.
Finalmente, la Agencia, tras las evidencias obtenidas en la fase de investigaciones previas, considera que procede graduar la sanción a imponer en la cuantía de 30.000€. Como sea que ha habido reconocimiento de la responsabilidad por parte de la empresa, la sanción se ha reducido hasta los 18.000€.
Leer la Resolución completa aquí.
1 LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
