Primera Sentencia de la Audiencia Nacional sobre la “ley de cookies”

Miniatura noticia

Esta sentencia, de 8 de mayo de 2015, coincide curiosamente con la primera sanción económica que impuso la Agencia Española de Protección de Datos (AEPD), por vulnerar la bautizada como “ley de cookies”.

Antes de comentar la mencionada sentencia, procede analizar brevemente el procedimiento sancionador que tramitó en su día la AEPD.

Concretamente, se imputó un incumplimiento del artículo 22.2 de la Ley 34/2002, de Sociedad de Servicios de la Información (LSSI)

  1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

De esta forma, el artículo 38.4.g) de la LSSI, considera infracción leve: ”g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave.”

En el presente caso, según la AEPD, quedó acreditado que dos entidades utilizaban cookies propias y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad sin informarles, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas. Asimismo, quedó probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

En consecuencia, cada una de las entidades cometió una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) siendo sancionadas con una multa de 3.000 y 500 euros respectivamente.

Sentencia de la Audiencia Nacional

Las partes alegaron en su defensa la falta de intencionalidad en la comisión de la infracción, así como la diligencia en la rectificación de las posibles infracciones y la ausencia de beneficio económico derivado de dichos incumplimientos. Con carácter subsidiario, solicitaron que la cuantía de la sanción impuesta a una de ellas debería ser en el importe mínimo de 500 euros.

Para la Audiencia Nacional, los hechos en que se basa la resolución sancionadora es por la instalación y utilización de “cookies” en los terminales de los usuarios que accedían a los sitios web titularidad de las partes recurrentes, sin haberles facilitado, previamente, información clara y completa sobre el uso y finalidades de dichos dispositivo y sin contar, tampoco, con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

Las sociedades demandantes no discuten los hechos, pero alegan en su descargo la falta de culpabilidad. En relación con la falta de culpabilidad, tenemos que volver a reseñar que es sabido que se puede incurrir en responsabilidad por la infracción que estamos examinando tanto de manera intencionada o dolosa como por descuido, negligencia o aún a título de simple inobservancia – art. 130.1 de la Ley 30/1992, de 26 de noviembre -, tal y como hemos reflejado al analizar la primera infracción. Así las cosas, las partes actoras utilizan “cookies” propios y de terceros en los terminales de los usuarios que aceden a los sitios web de su titularidad, sin informarles de forma clara y completa, sobre el uso de los “cookies” que se instalan y fines del tratamiento de la información recuperada a través de las mismas.

Ciertamente, la Audiencia Nacional sí ha admitido en algún caso la falta de culpabilidad, como en la sentencia de 14 de diciembre de 2006:

El específico y singular caso enjuiciado en este procedimiento ha llevado a esta Sala a concluir que en la referida conducta de la actora reseñada en los hechos probados de la resolución originaria impugnada no concurre el citado elemento de culpabilidad a la hora de determinar si la misma ha incurrido en una falta del deber de secreto del artículo 10 de la Ley Orgánica 15/1999 que se le imputa, pues así se ha de entender cuando dicha recurrente incurre en el mero error de enviar al domicilio de un cliente el contrato suscrito con otro cliente, sin que se aprecie culpa, incluso en ese grado mínimo previsto en la referida Ley 30/1992, en lo que se refiere al dato esencial de revelar a un tercero los datos personales que la misma trata en sus ficheros de ese cliente titular de dicho contrato que ni siquiera fue quien la denunció, sino aquel otro, y, como arriba se ha expuesto, por otras razones. En consecuencia, no se aprecia falta de diligencia en la recurrente en lo que respecta a la conducta imputada de incumplimiento del deber de secreto, dado que sólo incurrió en ese error de enviar el contrato de un cliente a un domicilio que no era el suyo”.

Incluso, en la sentencia de 23 de diciembre de 2013, la Audiencia Nacional afirma, con ocasión del envío de una póliza de seguro a la dirección de correo electrónico de un tercero que:

“el mero error humano no puede dar lugar, por sí mismo (y sobre todo cuando se produce con carácter aislado), a la atribución de consecuencias sancionadoras, pues, de hacerse así, se incurriría en un sistema de responsabilidad objetiva vedado por nuestro orden constitucional”.

En conclusión, la defensa de la no aplicación de la denominada “ley de cookies”, a los efectos de un procedimiento sancionador, no puede ampararse en la ausencia de culpabilidad.


Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*