30.000 euros es el importe de la sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a Iberia por incumplir en su página web la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), en referencia a la política de cookies.  En este post de Conversia te explicamos qué ha motivado a la AEPD a multar a la aerolínea española.

Obligación de aceptar las cookies para seguir navegando

El procedimiento se inició a raíz de una reclamación de una clienta, en octubre de 2019, cuando al consultar la página web de Iberia, para contratar un viaje con la aerolínea, no tuvo la opción de rechazar las cookies y se vio obligada a aceptarlas para seguir navegando. La clienta decidió denunciar la situación a la AEPD que requirió información a la compañía respecto al asunto; sin embargo, la empresa no contestó hasta enero de 2020.

La respuesta de Iberia fue que “desde junio de 2019 estaban trabajando en el diseño de la solución de adaptación de la política de cookies a las exigencias del Reglamento General de Protección de Datos (RPGD) y la Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)». 

No obstante, la Agencia intentó verificar la información suministrada por Iberia y «se comprobó que además de seguir sin ofrecer la opción de rechazar todas las cookies, tal y como se denunciaba, (…) varios puntos de la política de cookies de la página no se ajustaban a las recomendaciones». 

Incumplimiento de la LSSI-CE

La conclusión de la AEPD es que Iberia ha incumplido con el  artículo 22.2 de la LSSI-CE y por este motivo se le aplica una sanción conforme a lo dispuesto en los artículos 39.1.c  y 40  de la misma.

Entre los motivos que menciona la Agencia para establecer la multa, destacan:

  • La primera capa del banner de cookies de la web de Iberia “proporciona información poco concisa, transparente o inteligible (…) ya que inducen a confusión desvirtuando la claridad del mensaje”.
  • Cuando se accede a la página web de la aerolínea, se cargan las cookies antes de contar con el consentimiento de los usuarios, es decir, antes de que el usuario decida hacer clic en “Aceptar” o en “Configuración de las cookies”, todo ello sin informar. Además, la no aceptación de las cookies suponía no poder seguir navegando por la página.
  • En la página web de Iberia no se distingue entre las cookies propias y cookies de terceros, así como no se concreta sobre el periodo de conservación de las cookies en el navegador.

Por su parte, Iberia, alegó que su banner de cookies estaba en plena remodelación en el momento en el que se produjo la denuncia y considera que los hechos reflejados en la denuncia no son base suficiente para un expediente sancionador. Asimismo, la aerolínea comenta algunos de los desafíos técnicos que la normativa de cookies supone para las empresas. En concreto, detalla cómo su sistema de venta a través de “agentes afiliados” precisa de la carga de una cookie de identificación de transacción que es imprescindible para el rastreo de la operación y que no almacena ningún dato personal del usuario.

Puedes leer más noticias sobre cookies en este blog de Conversia.