La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a una Asociación por infringir la normativa de protección de datos y la normativa reguladora de la prestación de servicios de la sociedad de la información a través de su página web.
Se pueden dividir los motivos de la sanción en dos: por un lado, la infracción de las normas relativas al uso de las cookies y, por otro, la infracción de los requerimientos en relación con las medidas de seguridad a implantar según el RGPD.
En el caso de las cookies, los siguientes problemas fueron detectados:
- En el momento en que el usuario accedía a la página web de la Asociación sancionada, de forma automática recibía la instalación en su navegador de cookies que pueden considerarse no necesarias por no tratarse de cookies técnicas (por ejemplo, _ga, de Google Analytics).
- En el banner de cookies disponible en la página web, se leía el mensaje de que, en el caso de que el usuario continuara navegando sin pronunciarse sobre su aceptación o rechazo de las cookies, se entendía que las aceptaba. Esta es una práctica que está prohibida, ya que el consentimiento tácito en este ámbito no es válido en ningún caso.
- Se daba la opción de aceptar o rechazar las cookies pero, en el caso de rechazarse, se detecta que igualmente cookies no necesarias eran instaladas en el navegador de los usuarios.
- No se cumple con la información mínima a proporcionar a los interesados en relación con las cookies, pues no se encuentra información relativa a las finalidades del tratamiento de los datos a partir de las mismas, así como tampoco el tiempo que permanecen instaladas, ni si son propias o de terceros.
Estos hechos constituyen una infracción del artículo 22.2 de la LSSI, tipificada como leve en la norma, pudiendo sancionarse con multas de hasta 30.000 euros.
En relación con las medidas de seguridad adecuadas, la AEPD concluye lo siguiente:
El hecho de que la página web incluya formularios a través de lo que se recaban datos personales (nombre, email, teléfono) implica un riesgo que debe ser tenido en cuenta. Considerando la AEPD que el “código HTTP es un protocolo de comunicación que permite la transferencia de información en Internet, pero totalmente inseguro, estando sujeto a ataques que permiten obtener fácilmente la información que se está transfiriendo de un sitio web a otro”, entiende que su uso implica una infracción del artículo 32.1 del RGPD. Este artículo exige a los responsables del tratamiento la adopción de las medidas de seguridad técnicas y organizativas necesarias, adaptada al riesgo concreto.
En este caso, la infracción es considerada como grave por la LOPDGDD, pudiendo ser sancionada con multas de hasta 10.000.000 de euros.