La Agencia Española de Protección de Datos (
AEPD ) multó a
Vueling Airlines LS por € 30,000 por el uso ilegal de cookies.
La empresa fue acusada de usar cookies opcionales sin el consentimiento de los usuarios, y la política de cookies en el sitio no proporciona la capacidad de rechazar el uso de dichas cookies. La aerolínea dijo que el usuario acepta el uso de cookies al continuar usando el sitio, y puede deshabilitar su uso en la configuración del navegador, así como retirar el consentimiento para su uso.
El regulador descubrió que este tipo de consentimiento no es explícito, y la posibilidad de prohibir el uso de cookies a través de la configuración del navegador no significa el cumplimiento de la ley. La multa de 30 mil euros se determinó teniendo en cuenta la naturaleza intencional de las acciones de la empresa, la duración de la violación y el número de usuarios afectados. Dicha decisión del regulador corresponde a una
decisión reciente
del Tribunal Europeo del 1 de octubre de 2019, de la cual se deduce que el uso de cookies requiere el consentimiento activo del usuario, y el consentimiento en forma de una marca preestablecida ("marca de verificación") no es legal.
Requisitos de cookies de GDPR
La agencia de protección de datos, al tomar la decisión, se refirió a las leyes locales de protección de datos de España, pero de hecho las acciones de la compañía violan el art. 5 y 6 GDPR.
Se pueden distinguir los siguientes requisitos clave para el uso de cookies de acuerdo con los estándares GDPR:
- el usuario debe poder rechazar el uso de cookies, que no son necesarias para el funcionamiento del servicio, tanto antes del inicio de su uso como después;
- cada tipo de cookie puede aceptarse o rechazarse independientemente de los demás, sin usar un botón con el consentimiento para todo tipo de cookies;
- consentir el uso de cookies al continuar usando el servicio no se considera legal;
- una indicación de la capacidad de deshabilitar las cookies a través de la configuración del navegador puede complementar los mecanismos para negarse a usarlas, pero no se considera por separado un mecanismo de rechazo completo;
- Cada tipo de cookie debe describirse en términos de funcionalidad y tiempo de procesamiento.
Otros enfoques de cookies
En Rusia, la regulación de las cookies en virtud de la Ley Federal "sobre datos personales" tiene sus propias características. Si consideramos que las cookies son datos personales, su uso requiere notificación y consentimiento del usuario. Esto puede afectar negativamente la conversión del sitio o bloquear completamente el funcionamiento de las herramientas de análisis individuales. En algunos casos, el uso de cookies sin consentimiento y aviso puede considerarse permisible. En cualquier caso, para cada modelo de trabajo con cookies, puede elegir los mecanismos legales con el menor impacto en la efectividad de la interacción entre el sitio y el usuario.
El enfoque más progresivo para trabajar con cookies es un enfoque en el que el sitio no notifica formalmente al usuario sobre su uso, pero explica la necesidad de cookies y motiva a consentir voluntariamente su uso. La mayoría de los usuarios ni siquiera se dan cuenta de que es gracias a las cookies que pueden guardar los datos necesarios al cerrar la página del sitio: formularios completos o cestas con productos de tiendas en línea.
El enfoque en el que los sitios notifican tímidamente a los usuarios sobre las cookies y ni siquiera intentan solicitar el consentimiento no ofrece ventajas ni a los sitios ni a los usuarios. Muchos usuarios de los sitios tienen la opinión de que el uso de cookies en el sitio significa el uso injusto de datos personales que los usuarios deben soportar para utilizar el servicio. Y rara vez es obvio que las cookies funcionan no solo en beneficio del propietario del sitio, sino también para el usuario.
