La Agencia Española de Protección de Datos (AEPD) sanciona a RIUSA II, S.A, responsable del sitio web riu.com, por incumplir las obligaciones derivadas del RGPD y la LOPDGDD en materia de cookies. La infracción principal radica en la ausencia de un mecanismo efectivo de rechazo, así como en la instalación automática de cookies sin consentimiento informado del usuario.

Los hechos fueron puestos en conocimiento de la AEPD a través de la reclamación de un usuario, que denunció ante esta Agencia que el banner dispuesto en la mencionada página web no permitía la opción de rechazar o configurar las cookies.

Durante la investigación, la AEPD comprobó además que al entrar en la página web se instalaban cookies analíticas y publicitarias, con independencia de las opciones marcadas por el usuario en el banner. En definitiva, advirtió que el banner de cookies carecía de una opción para “rechazar” y únicamente ofrecía un “aceptar”, aunque se cargaban cookies no necesarias de forma automática, sin haber obtenido previo consentimiento válido del usuario.

Un marco jurídico estricto

El RGPD exige que el consentimiento sea libre, informado, específico e inequívoco. La práctica sancionada (donde no existe posibilidad de rechazo y el banner es ambiguo) incumple estos requisitos, pues el consentimiento debe otorgarse mediante un acto afirmativo, no implícito ni obligatorio para acceder al sitio web. Además, el hecho de omitir información clara sobre los terceros implicados y sus finalidades contraviene el principio de transparencia y el deber de información consagrados en el RGPD.

Por todo lo anterior, la AEPD calificó los hechos como una infracción del RGPD por tratar datos personales sin un consentimiento válido y no cumplir con las obligaciones de información. La sanción prevista fue de 5.000 euros, aunque finalmente se redujo a 3.000 euros tras aplicas las reducciones por pago voluntario de la sanción y reconocimiento de la responsabilidad.

Recomendaciones para un correcto cumplimiento de la normativa

• El responsable de la página web debe ofrecer mecanismos activos a los usuarios para aceptar o rechazar cookies, claramente diferenciados. Además, el usuario debe tener la capacidad de rechazar las cookies según sus finalidades y en bloque.
• No se deben instalar cookies hasta que el usuario acepte expresamente su uso. La mera navegación no constituye un consentimiento válido.
• Es imprescindible contar con una “primera capa” informativa que permita al usuario conocer la información básica del tratamiento, con un enlace al resto de información.
• Se debe garantizar la revocabilidad del consentimiento en todo momento, es decir, el usuario debe poder revocar o modificar su consentimiento de manera clara y sencilla.

La importancia de realizar una auditoría legal en el sitio web

La resolución PS‑00108/2021 es una llamada de atención para todas las webs que utilizan cookies. La AEPD aclara que el consentimiento no puede ser implícito, ambiguo o irreversible, y que el derecho a la privacidad exige herramientas técnicas y legales robustas que respeten los principios del RGPD.

Por todo lo anterior, se hace cada vez más necesario que las empresas se doten de un servicio de consultoría en esta materia que realice auditorías periódicas en la página web, especialmente tras cambios o actualizaciones en su estructura, contenido o funcionalidades. La web suele ser el primer punto de contacto entre la empresa y sus usuarios, y también el principal canal de recogida de datos personales (formularios, cookies, áreas privadas, etc.). Por ello, cualquier modificación puede tener implicaciones legales que deben ser evaluadas cuidadosamente. Una auditoría web permite verificar el cumplimiento de las últimas exigencias legales, identificar posibles incumplimientos (por ejemplo, en el uso de cookies, políticas de privacidad obsoletas o mecanismos inadecuados de obtención del consentimiento) y aplicar las medidas correctoras necesarias.

Desde Microlab Hard, ayudamos a empresas a adaptar su sitio web a las exigencias legales sobre cookies y consentimiento. Auditamos tu página para asegurar que el banner cumple con el RGPD, que no se instalan cookies sin autorización y que la información al usuario es clara, accesible y completa.

Si no estás seguro de si tu web respeta correctamente la normativa sobre cookies, contáctanos. Evaluaremos tu configuración actual y te propondremos mejoras técnicas y legales para evitar sanciones y garantizar una experiencia transparente para tus usuarios.