Inicio > Comercio Electrónico > La falta de consentimiento para el uso de “cookies” no podrá ser sancionada

La falta de consentimiento para el uso de “cookies” no podrá ser sancionada

Martes, 3 de abril de 2012

Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”. 

¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.

El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley [...]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley [...]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.

En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.

Muchas gracias y mi reconocimiento a Jose, comentarista de la anterior entrada, que fue quien me puso sobre la pista de este hecho.

Comercio Electrónico

  1. Martes, 3 de abril de 2012 a las 17:53 | #1

    Excelente apreciación David. La verdad que más claro el agua!

    Ahora la duda que tengo yo: En el procedimiento de convalidación en Las Cortes, ¿cabría alguna modificación, para solucionar esa “incongruencia”? Los conceptos de derecho constitucional los tengo un poco “oxidados”, pero creo recordar que no, pero igual se podría tramitar mediante Proyecto de Ley por el procedimiento de urgencia, que lo que no permitía eran las enmiendas a la totalidad (pero si parciales)

  2. Alberto Galan
    Martes, 3 de abril de 2012 a las 18:06 | #2

    Pudiera ser que este Real Decreto no sea más que un parche, para evitar una sanción de la Comisión por retrasarse (aún más) en la trasposición del paqute normativo del 2009. Creo que se necesita una LGTel nueva enterita (y de paso otra LSSI).

    • Martes, 3 de abril de 2012 a las 18:13 | #3

      Hola, Alberto. Efectivamente, no es más que un parche, y los problemas de técnica legislativa vienen seguramente por las prisas. Para unas nuevas LGT y LSSI creo que podemos esperar sentados…

      Un saludo y gracias por tu comentario.

  3. Martes, 3 de abril de 2012 a las 18:11 | #4

    @Gontzal Gallo

    Hola, Gontzal, muchas gracias. Supongo que podría arreglarse de la forma que dices, lo que no sé es si se darán cuenta :P

    Un saludo.

  4. María González @meryglezm
    Martes, 3 de abril de 2012 a las 18:49 | #5

    Excelente post y apreciación..
    Coincide con la opinión q emití hace un par de semanas ante consulta… XD
    Y ahora lanzo pregunta “al vuelo”; se dejaran algún día de hacer chapuzas y parches legislativos y tendremos leyes en condiciones?

  5. jose
    Martes, 3 de abril de 2012 a las 18:56 | #6

    Gracias a ti, David… yo también he escrito el mío… un poquito más beligerante, por hacer las cosas tarde, con prisas y mal (y por jorobarnos la semana santa:)

  6. Martes, 3 de abril de 2012 a las 18:58 | #7

    @María González @meryglezm
    Muchas gracias, María.
    Respondiendo a tu pregunta: No ;)

  7. Martes, 3 de abril de 2012 a las 19:07 | #8

    @jose
    Jajaja, bueno, creo que a los que más quebraderos de cabeza les va a dar es los de la AEPD, tienen dos toros con los que lidiar para ver cómo lo interpretan. Esperaremos…
    Un saludo.

  8. Maria Loza
    Martes, 3 de abril de 2012 a las 19:28 | #9

    Enhorabuena David por el post
    Deseando estoy ver una resolución de la AGPD en este aspecto..que vislumbro no tardará..
    Creo que impondrán sancion con las herramientas existentes y por tanto, por falta de informacion. Después, pueden imponer sanción por tratamiento sin obtencion del consentimiento, haciendo un giro en el sentido de que las cookies permiten tratar datos personales del usuario..todo un ‘concurso medial’….

  9. Martes, 3 de abril de 2012 a las 20:22 | #10

    @Maria Loza
    Gracias, María. No estaría de más que la AEPD, cómo han hecho otras autoridades de control, fijara su posición o emitiera recomendaciones.
    Un saludo.

  10. Xavier Ribas
    Martes, 3 de abril de 2012 a las 23:16 | #11

    Enhorabuena por detectar el fallo del legislador.

    Asumiendo el incómodo papel, en este caso, de abogado del diablo, aprecio una novedad importante en el nuevo artículo 22.2: la remisión a la LOPD.

    Ello significa que la obtención del consentimiento informado debería realizarse con arreglo a la LOPD, y que, de no ser así, la AEPD podría invocar el régimen sancionador de esta norma directamente.

    Es cierto que la no modificación del régimen sancionador de la LSSI, ofrece posibilidades claras para una buena defensa, pero también es cierto que la remisión a la LOPD da argumentos a la Agencia para sancionar directamente, en su propio campo.

    Un saludo.

  11. Miércoles, 4 de abril de 2012 a las 08:18 | #12

    @Xavier Ribas
    Muchas gracias, Xavier.
    Es cierto que si se considera que hay un tratamiento de datos de carácter personal (las cookies son “medios para el tratamiento de datos” y a la vez datos de carácter personal, valen para todo, oiga :p) se aplicará directamente la LOPD, puede que la Agencia tire por ahí.
    Un saludo.

  12. Lunes, 9 de abril de 2012 a las 10:52 | #13

    Sobre el tema de la sanción seguramente aplicarían la LOPD directamente, aunque se podría invocar el régimen de la LSSI como norma especial.
    Una duda que me surge es si puede exigirse sin el previo desarrollo reglamentario que esta previsto en el RD 13/12, DF 7ª aunque parece que es solo una posibilidad, se habla de “las disposiciones reglamentarias necesarias” y no esta claro cuando sería necesario.

  13. Martes, 10 de abril de 2012 a las 10:26 | #14

    @Roberto L. Ferrer Serrano
    Hola, Roberto, gracias por tu comentario.

    Probablemente apliquen la LOPD para el consentimiento, más que nada para no dejar sin sancionar. En cualquier caso, es una chapuza: si falta el consentimiento, se aplica la LOPD, si falta la información, se aplica la LSSI. Un disparate.

    Un saludo.

  14. Álvaro Del Hoyo
    Jueves, 19 de abril de 2012 a las 22:34 | #15

    Buenas, David

    Estoy de acuerdo con Xavier, pero hay un caso que ya va haciéndose viejo en el que ocurre lo que apuntas en el post: el canal de interlocución telemática de la Ley 56/2007.

    Cómo se va a impulsar algo en este país sin régimen sancionador! Vamos, hombre!

    Es interesante también la dualidad de sanciones por ejemplo en el campo de la privacidad electrónica, donde por un lado está el régimen sancionador de la LOPD, pero también el de la Ley General de Telecomunicaciones. Se hace bueno eso de que se aplicará la mayor de las sanciones. Si uno compara ambos regímenes da por pensar “y nos quejamos de la LOPD”, qué manda….viva honduras!!! ;-p

    A ver si hacemos otra cena de esas lopedé

    Un saludo

  15. Lunes, 23 de abril de 2012 a las 10:56 | #16

    Gracias por tu post, David. Ciertamente, esto evidencia que se trataba de sacar la transposición por la vía express y falta aún tocar la LGT. En cualquier caso, aquí hemos añadido algunas recomendaciones prácticas desde el ámbito que nos atañe (la medición digital): Gracias por tu post, Edu. Es un muy buen punto esto del procedimiento sancionador que concede cierto margen extra. Sobre las fórmulas para el consentimiento, lo cierto es que ya hay más transposiciones nacionales en vigor con algunas pistas (República Checa, Hungría, Finlandia…), aunque faltan algunos de los países más grandes. He metido una compilación de lo que me han parecido las mejores prácticas en este post (y su secuela): http://www.analiticaweb.es/como-cumplir-con-la-nueva-ley-de-cookies-parte-i/ – Por si sirve de ayuda. Al menos el lector evitará estaré en primera fila cuando lleguen las sanciones. Buen lunes. Saludos

  16. Martes, 24 de abril de 2012 a las 23:36 | #17

    @Álvaro Del Hoyo
    Hola, Álvaro, efectivamente hay mucho despropósito en la normativa, como bien sabes y bien apuntas. Tenemos régimen sancionador en comunicaciones electrónicas (y similares) en la LOPD, en la LSSI y en la LGT. En fin…
    Pues sí, a ver si nos vemos pronto en otra “cena lopedé” :)
    Un saludo y gracias por comentar.

*