Como resultado de la reclamación formulada por un interesado ante el Comisionado de Protección de Datos y Libertad de Información de Berlín (Alemania) a través del “Sistema de Información del Mercado Interior” (IMI), la Agencia Española de Protección de Datos (AEPD) emite un nuevo procedimiento sancionador imponiendo a una entidad con la cuantía de 3.000 euros y el requerimiento para que adecúe su Política de cookies a la normativa vigente en el plazo de un mes.
La AEPD comprueba que la entidad reclamada es titular de tres páginas web en distintos idiomas (castellano, francés y alemán). Respecto a la Política de cookies se observa que:
-En la página de inicio, el banner sobre cookies proporciona información poco concisa o inteligible. Al utilizar expresiones como, “Nuestra tienda usa cookies para mejorar la experiencia de usuario” (…), inducen a confusión, desvirtuando la claridad del mensaje.
-Al acceder Política de cookies, a través del enlace, “más información”, se redirigen a una página dividida en varios apartados. En el relativo a las “cookies” únicamente se ofrece información sobre qué son o los tipos de cookies que existen, pero no se hace mención a las cookies que se cargan en el equipo terminal, si son propias o de terceros, la función que realizan, el tiempo que permanecen activas en el equipo terminal ni se pone a disposición del usuario un mecanismo que permita rechazar todas las cookies.
-Para la gestión de las cookies, solamente se indica: “El usuario tiene la posibilidad de evitar la instalación de «cookies» en su disco duro. El navegador debe configurarse para que se le notifique antes de guardar las cookies en el disco duro o eliminar las que ya están almacenadas. El usuario puede establecer en su navegador qué cookies están permitidas y cuáles no. Además, el usuario puede permitir las llamadas cookies de sesión, que se eliminan automáticamente una vez finalizada la sesión. También es posible eliminar las cookies manualmente en cualquier momento”. Sin embargo, no se ofrece información sobre cómo eliminar las cookies manualmente o el modo de gestionarlas mediante un enlace a los diferentes navegadores.
La Agencia estima que estos hechos son constitutivos de una infracción tipificada como “leve” por vulneración del artículo del artículo 22.2 de la LSSI. Tras graduar la cuantía de sanción teniendo en cuenta la existencia de intencionalidad y el tiempo durante el que se ha venido cometiendo la misma, acuerda imponer a la entidad una sanción de 3.000 euros. Además, requiere a la misma para que en el plazo de un mes incluya en sus páginas web un mecanismo que permita rechazar todas las cookies, informar de cuáles se instalan y no instalar cookies sin aceptar previamente el consentimiento.