SEAT multada por una mala gestión de las cookies
En el entorno digital actual, el cumplimiento de la normativa sobre protección de datos se ha convertido en una exigencia ineludible para cualquier empresa que opere a través de canales online. El reciente caso de SEAT, sancionada por la Agencia Española de Protección de Datos (AEPD) por una incorrecta gestión de las cookies en su sitio web, es un ejemplo claro de los riesgos a los que se exponen las organizaciones cuando no implementan adecuadamente los requisitos legales en esta materia.
La sanción impuesta a SEAT pone de relieve la creciente vigilancia de los reguladores sobre la forma en que las compañías obtienen y gestionan el consentimiento de los usuarios para el uso de tecnologías de seguimiento. Esta situación sirve como advertencia no solo para grandes corporaciones, sino también para pequeñas y medianas empresas que aún no han adaptado completamente sus sitios web al Reglamento General de Protección de Datos (RGPD) y a la Ley de Servicios de la Sociedad de la Información (LSSI).
¿Qué es lo que gestionó mal SEAT?
La AEPD identificó diversas deficiencias en el sistema de gestión de cookies del sitio web de SEAT. En concreto, se detectó que:
- Se instalaban cookies no esenciales sin el consentimiento previo del usuario, en clara contravención del artículo 22.2 de la LSSI.
- El banner inicial de cookies no ofrecía una información clara, accesible y equilibrada sobre las finalidades del tratamiento, especialmente respecto a las cookies de personalización y de publicidad comportamental.
- No existía una opción real y sencilla para rechazar todas las cookies con la misma facilidad que para aceptarlas, lo que contraviene los principios de transparencia y libertad de elección del usuario.
Además, algunos enlaces a la política de cookies o al centro de configuración no funcionaban correctamente, dificultando el ejercicio efectivo del derecho a configurar las preferencias de navegación. Estas prácticas fueron consideradas por la AEPD como una vulneración del principio de licitud del tratamiento de datos personales.
Aspectos que deben modificar para cumplir con la normativa
Para corregir estas deficiencias y evitar nuevas sanciones, SEAT, y cualquier empresa en una situación similar, debería implementar una serie de medidas técnicas y organizativas acordes a la normativa vigente:
- Consentimiento explícito y previo: no se pueden instalar cookies que no sean técnicas o estrictamente necesarias sin que el usuario haya dado su consentimiento libre, informado y específico.
- Igual facilidad para aceptar o rechazar: el banner debe incluir botones o enlaces claramente visibles que permitan tanto aceptar como rechazar todas las cookies de forma sencilla y simétrica.
- Información completa y accesible: la política de cookies debe detallar el tipo de cookies utilizadas, su duración, finalidad y terceros que puedan acceder a los datos.
- Gestor de preferencias funcional: debe habilitarse un centro de configuración de cookies que permita al usuario modificar su consentimiento en cualquier momento.
- Registro de consentimientos: es recomendable implementar mecanismos que acrediten de forma fehaciente cuándo y cómo se prestó el consentimiento.
¿Cómo evitar sanciones?
La mejor forma de evitar sanciones como la recibida por SEAT es adoptar una estrategia proactiva de cumplimiento en materia de cookies y protección de datos. Para ello, se recomienda:
- Realizar una auditoría periódica de todas las cookies que utiliza el sitio web.
- Actualizar el aviso y política de cookies en función de los cambios tecnológicos o legislativos.
- Formar al equipo técnico sobre las exigencias del RGPD y la LSSI en relación con el tratamiento de datos personales mediante cookies.
- Contratar herramientas de gestión de consentimiento (CMP) que estén certificadas y que garanticen el cumplimiento legal.
- Consultar con expertos legales en protección de datos como Letslaw, especialmente en procesos de desarrollo o rediseño de sitios web.
En definitiva, la sanción a SEAT demuestra que la gestión de las cookies no es un aspecto menor dentro del cumplimiento normativo, sino una parte esencial de la responsabilidad digital de cualquier empresa que interactúe con usuarios a través de internet.
Midiala Fernández es abogada especialista en propiedad intelectual, derecho de las nuevas tecnologías y protección de datos.
Desde 2019 asesora en materias como comercio electrónico, marketing digital, publicidad, competencia desleal y ciberseguridad. Es graduada en Derecho por la Universidad Complutense de Madrid y cuenta con formación de posgrado en derecho y compliance TIC por la Universidad Camilo José Cela.
Artículos Relacionados
Alternativas a las cookies de terceros
Cookies y marketing digital: cómo adaptarse a las nuevas normativas sin perder alcance
Implementación y regulación de cookies de terceros
El futuro sin cookies: ¿qué significa?
Cobrar para acceder a páginas webs sin cookies, ¿es legal?
Entra en vigor la Guía actualizada sobre el uso de cookies