Anatomía de una sanción: desglose técnico de las multas de la AEPD por cookies

El expediente PS-00040-2024 de la AEPD contra Local Verticals (Motorpasión): cómo un banner de cookies activa rastreadores antes, durante y después del rechazo del usuario.

Sunt mala quae libas, ipse venena bibas.

La Acusación

En 2024, la AEPD impuso 242 sanciones por más de 27 millones de euros. Uno de esos expedientes, cerrado en marzo de ese año, no es relevante por su importe —6.000 euros tras las reducciones aplicables, una cifra modesta dentro del conjunto— sino por el nivel de detalle con el que documenta algo que rara vez se ve por escrito en una resolución administrativa: el instante exacto, cookie por cookie, en el que un sistema de gestión de consentimiento deja de cumplir su función.

El expediente PS-00040-2024 no sanciona un banner mal diseñado. Sanciona un banner que, en cada una de las cinco formas en que un usuario puede interactuar con él, hace exactamente lo contrario de lo que dice hacer.

El Cuerpo del Delito

El expediente PS-00040-2024: cinco hallazgos bajo un mismo banner

La Agencia sancionó a Local Verticals, S.L. (CIF B02789808) —identificada en la propia resolución por el mensaje de bienvenida de su banner, "Bienvenido a Motorpasión"— tras la inspección técnica realizada por su Subdirección de Inspección el 10 de enero de 2024. El método: limpiar por completo el navegador de historial y cookies, y registrar qué ocurre en cada paso, antes de tocar nada y después de cada decisión posible del usuario.

a) Antes de cualquier clic. Con el navegador recién limpiado y sin haber pulsado ningún botón, la web ya tenía activas dos cookies de YouTube —YSC y VISITOR_INFO1_LIVE—, destinadas a registrar la reproducción de vídeos incrustados. El banner de bienvenida ni siquiera había acabado de renderizarse.

b) El banner. La primera capa informaba al usuario de que la web y sus "795 socios" tratan sus datos, varios de ellos sin solicitar consentimiento porque invocan su interés legítimo comercial. Ofrecía dos botones: "Configuración" y "Aceptar y Cerrar". Ningún botón de rechazo en esta capa.

c) El botón pensado para proteger la privacidad. Al pulsar "Configuración" —la opción diseñada, en teoría, para que el usuario gestione sus preferencias— la web activa, antes de que el panel termine de desplegarse, una nueva tanda de cookies de terceros sin consentimiento alguno: entre ellas, IDE, el identificador publicitario de doubleclick.net que Google usa para retargeting. El control de privacidad es, en sí mismo, un punto de entrada para más rastreo.

d) El rechazo que no rechaza. Dentro del panel, las casillas no aparecen premarcadas: en ese aspecto concreto, cumple. Pero al pulsar "Rechazar todo", la inspección constató que las cookies de youtube.com y doubleclick.net detectadas en los pasos anteriores seguían activas. El botón existe. La función que ese botón anuncia, no.

e) Sin política, sin salida. No hay ningún documento de política de cookies en la web, ni un enlace que conduzca a uno. Y una vez cerrado el banner inicial, no existe ninguna vía para volver a abrir el panel y retirar un consentimiento ya prestado.

La AEPD calificó los cinco hallazgos como infracción del artículo 22.2 de la LSSI, recordando que solo quedan exceptuadas del deber de informar y obtener consentimiento las cookies estrictamente técnicas —las que enumera el Dictamen 4/2012 del Grupo de Trabajo del Artículo 29: cookies de entrada de usuario, autenticación, seguridad, sesión de reproductor multimedia, equilibrio de carga o personalización de interfaz—. Ni YSC ni VISITOR_INFO1_LIVE figuran en esa lista. Tampoco IDE.

La reincidencia: por qué "leve" no significa pequeña ni primera vez significa primera vez

Esta infracción está tipificada como "leve" en el artículo 38.4.g) de la LSSI —la categoría más baja del régimen sancionador— y, aun así, expone hasta 30.000 euros conforme al artículo 39. Lo que agrava la sanción en este expediente no es la gravedad nominal de la infracción, sino dos circunstancias que la AEPD hace constar de forma explícita al graduar la cuantía conforme al artículo 40: la intencionalidad —entendida, según jurisprudencia de la Audiencia Nacional, como el grado de culpabilidad de quien no diseñó un sistema de consentimiento adecuado— y la duración de la infracción, porque estos mismos hallazgos ya habían sido detectados siete meses antes, en el marco de un expediente sancionador previo contra la misma entidad por los mismos hechos.

No es la primera vez. La empresa ya sabía, desde junio de 2023, exactamente qué estaba mal. En enero de 2024 seguía exactamente igual.

La empresa pagó 6.000 euros el 19 de marzo de 2024 —acogiéndose a las dos reducciones del 20% disponibles por reconocimiento de responsabilidad y pago voluntario—, dieciocho días después de notificado el inicio del procedimiento. Sin alegaciones. Sin recurso. El expediente se cerró antes de que pudiera discutirse.

Ningún ajuste dentro de un panel de configuración puede corregir lo que el navegador ya ejecutó antes de que el panel existiera. Y cuando el propio botón de "Configuración" es el que activa el siguiente rastreador, el problema no es qué casillas vienen premarcadas. Es que la pieza diseñada para proteger la privacidad fue construida por el mismo ecosistema que la pone en riesgo.

La Sentencia

En ningún momento de este expediente la AEPD encontró una casilla marcada de antemano a favor de aceptar cookies —el defecto de diseño más citado en la prensa especializada—. El fallo aquí es más profundo: un sistema en el que media docena de componentes independientes —el reproductor de vídeo incrustado, la red publicitaria, el propio gestor de consentimiento— deciden, cada uno por su cuenta, cuándo llamar a un servidor externo, sin que exista ningún punto del código con autoridad real sobre los demás. Sustituir el proveedor del banner por otro no cambia esa arquitectura. Solo cambia el nombre que aparecerá en la siguiente resolución.

Si esto le ocurre a un medio digital con 795 socios publicitarios y, presumiblemente, un proveedor de consentimiento contratado y configurado por profesionales, vale la pena preguntarse qué garantías ofrece el plugin gratuito instalado hace tres años en la web de tu despacho, sin que nadie haya vuelto a revisarlo desde entonces.

La única arquitectura que no genera este expediente es la que no tiene nada que ejecutar antes de que exista consentimiento: sin reproductor incrustado que dispare su propia cookie, sin red publicitaria escuchando de fondo, sin un panel de configuración que sea, él mismo, un tercero más pidiendo acceso.

El Cuervo es el archivo de diagnóstico de PRIBECY_