El Garante per la Protezione dei Dati Personali —autoridad de control italiana en materia de protección de datos— ha publicado una resolución paradigmática (doc. n.º 10132048) que pone de relieve los riesgos legales asociados al uso inadecuado de cookies y otras tecnologías de seguimiento sin el consentimiento válido del usuario. Se trata de una intervención que, pese a su origen nacional, tiene importantes implicaciones a nivel europeo, especialmente en lo que respecta al cumplimiento del RGPD, la Directiva ePrivacy y los criterios del Comité Europeo de Protección de Datos (CEPD).
El caso: cookies sin consentimiento y transparencia opaca
La actuación del Garante se centra en una empresa que instalaba cookies —incluidas cookies de terceros con fines publicitarios y de elaboración de perfiles— desde el primer acceso del usuario al sitio web, sin un consentimiento previo, informado y específico.
Entre las principales deficiencias detectadas:
- La ausencia de un mecanismo válido de consentimiento granular, conforme a los principios de privacy by design y privacy by default (art. 25 RGPD).
- Información incompleta o ambigua en la política de cookies.
- La imposibilidad práctica de rechazar todas las cookies no necesarias con la misma facilidad que aceptarlas(vulnerando el principio de equidad recogido en el considerando 42 del RGPD).
El Garante impuso una sanción económica, junto con una orden de modificación inmediata de la interfaz y del sistema de gestión del consentimiento.
Enseñanzas clave para los responsables de tratamiento
Esta resolución confirma la tendencia de las autoridades europeas a reforzar la vigilancia sobre la transparencia en los sitios web y apps, exigiendo el cumplimiento estricto de los requisitos para una recogida válida del consentimiento digital:
- Consentimiento libre, específico, informado e inequívoco (art. 4.11 RGPD).
- Configuración clara y equilibrada del panel de preferencias, evitando los llamados “dark patterns” o patrones oscuros.
- Documentación demostrable del consentimiento obtenido, incluso si se externaliza a través de plataformas CMP (Consent Management Platforms).
Además, el caso se alinea con los criterios orientadores del CEPD sobre consentimiento (Guidelines 05/2020) y con la reciente jurisprudencia del TJUE en casos como Planet49.
Este tipo de resoluciones confirman que el cumplimiento del RGPD en materia de cookies no es meramente formal. La recogida de datos en el entorno digital exige un enfoque proactivo y técnico-jurídico, especialmente cuando entran en juego tecnologías intrusivas como el seguimiento publicitario o la elaboración de perfiles.
En este contexto, la figura del DPO, la revisión periódica de políticas y banners, y la correcta implementación de sistemas de gestión del consentimiento son hoy, más que nunca, cuestiones estratégicas de compliance digital.
