La Agencia Española de Protección de Datos (AEPD) ha sancionado a la compañía con 30.000 euros de multa por incumplir en su página web la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), con relación a la política de cookies.

Reclamación de una clienta

En octubre de 2019, una clienta realizó una reclamación a la Agencia Española de Protección de Datos (AEPD) porque al consultar la página web de la aerolínea no aparecía la opción de rechazar las cookies. La usuaria se vio obligada a aceptar las cookies para seguir navegando y poder contratar un vuelo. En ese momento, decidió denunciar la situación a la AEPD que requirió información a la compañía respecto al asunto; sin embargo, la empresa no contestó hasta enero de 2020.

Por su parte, Iberia alegó que su banner de cookies estaba siendo modificado en el momento en el que se produjo la denuncia y considera no hay base suficiente para abrir un expediente sancionador. “Llevaba trabajando desde junio de 2019 en el diseño de la solución de adaptación de la política de cookies a las exigencias del Reglamento General de Protección de Datos y la Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales siguiendo, las guías de buenas prácticas emitidas por las autoridades de control y muy especialmente la emitida por la Agencia el pasado mes de noviembre de 2019”.

No obstante, la Agencia intentó verificar la información suministrada por Iberia y «se comprobó que además de seguir sin ofrecer la opción de rechazar todas las cookies, tal y como se denunciaba, (…) varios puntos de la política de cookies de la página no se ajustaban a las recomendaciones».

Incumplimiento de la LSSI-CE

La conclusión de la AEPD es que Iberia ha incumplido con el artículo 22.2 de la LSSI-CE y por este motivo se le aplica una sanción conforme a lo dispuesto en los artículos 39.1.c  y 40  de la misma.

Entre los motivos que menciona la Agencia para establecer la multa, destacan:

  • La primera capa del banner de cookies de la web de Iberia “proporciona información poco concisa, transparente o inteligible (…) ya que inducen a confusión desvirtuando la claridad del mensaje”.
  • Cuando se accede a la página web de la aerolínea, se cargan las cookies antes de contar con el consentimiento de los usuarios, es decir, antes de que el usuario decida hacer clic en “Aceptar” o en “Configuración de las cookies”, todo ello sin informar. Además, la no aceptación de las cookies suponía no poder seguir navegando por la página.
  • En la página web de Iberia no se distingue entre las cookies propias y cookies de terceros, así como no se concreta sobre el periodo de conservación de las cookies en el navegador.

Asimismo, la aerolínea comenta algunos de los desafíos técnicos que la normativa de cookies supone para las empresas. En concreto, detalla cómo su sistema de venta a través de “agentes afiliados” precisa de la carga de una cookie de identificación de transacción que es imprescindible para el rastreo de la operación y que no almacena ningún dato personal del usuario.