La Agencia Española de Protección de Datos (en adelante, ¨AEPD¨) ha emitido recientemente una resolución sancionando a una entidad, con motivo del incumplimiento tanto del Reglamento General de Protección de Datos (en adelante, ¨RGPD¨), como de la Ley de Servicios de la Sociedad de la Información (en adelante, ¨LSSI¨). Tal y como se argumenta en la resolución, los artículos infringidos son:
- Infracción del artículo 13 del RGPD (infracción leve), por las deficiencias observadas en su “Política de Privacidad”, al no informar correctamente de todos los aspectos estipulados por el artículo en cuestión. Se considera la redacción sobre las finalidades y bases de legitimación ambigua e insuficiente, no contemplando las posibles transferencias internacionales efectuadas por la compañía. Las consecuencias se materializan en una sanción inicial de 2.000 euros, más medidas consistentes en adaptar la política de privacidad a la legislación.
- Infracción del artículo 5.1.a) del RGPD (infracción muy grave), por la utilización de patrones oscuros de sobrecarga (overloading) y de ocultación (skipping), con una sanción inicial de 5.000 euros, más las correspondientes medidas de adaptación.
- Infracción del artículo 22.2 de la LSSI (infracción leve), debido a que la descarga automática de las cookies, se produce independientemente de la decisión de rechazo o aceptación del usuario, así como por no tener ningún efecto la reconfiguración de las mismas. En este caso, la sanción inicial es aumentada por la agravante del artículo 40 de la LSSI, ascendiendo a una cuantía final 5.000 euros.
Entendemos que esta resolución parece sentar el precedente de la posibilidad de aplicar sanciones bajo el RGPD por la utilización de patrones oscuros (dark patterns) en los banners de cookies (par.3 de pág. 21).
