La Agencia Española de Protección de Datos publica una guía sobre el uso de las “cookies”

La Agencia Española de Protección de Datos (“AEPD”) publicó a finales del pasado mes de abril una guía sobre el uso de “dispositivos de almacenamiento y recuperación de datos en equipos terminales” –coloquialmente conocidos como cookies–, con el fin de facilitar el cumplimiento de las últimas novedades legislativas en la materia. Estas tuvieron lugar tras la aprobación de la Directiva 2009/136/CE, incorporada a nuestro ordenamiento a través del Real Decreto-Ley 13/2012 que modificaba, a su vez, el artículo 22 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (“LSSICE”), dejándolo del siguiente modo:

22.2: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Es decir, para el uso de cookies como norma general se requerirá en todo caso que su responsable informe al usuario en cuyo dispositivo van a instalarse con anterioridad a dicha instalación. Pero, ¿qué es exactamente una cookie? Podrían definirse de manera sencilla como herramientas informáticas utilizadas por los responsables de servicios de la sociedad de la información (“editores”), que se descargan en el dispositivo de un usuario con el objetivo de almacenar datos que podrán ser actualizados y recuperados por dichos editores con diversos fines. Entre los más comunes se encuentran:

(i) la validación y diferenciación de los usuarios –que permite, por ejemplo, que una sesión se mantenga abierta o que una cesta de la compra virtual guarde los artículos seleccionados aunque el usuario cambie de página o la cierre–;

(ii) la conservación de elementos de la página web para reducir el tiempo de cargas futuras; o;

(iii) el seguimiento de la actividad del usuario en internet, con el fin de ofrecer la conocida como publicidad comportacional, esto es, anuncios basados en los hábitos de navegación de su receptor.

monstruo de las galletas

Fuente: Fernandez (Gegen Den Strich).

Algunos de estos usos conllevan evidentes peligros desde el punto de vista de la privacidad, ya que los editores reciben un flujo constante de datos acerca de nuestras características personales, gustos, hábitos de consumo, etc. Por otro lado, no son pocos los usuarios que prefieren que la publicidad que se les dirija a través de la red esté relacionada con sus aficiones e intereses. En este contexto, la guía de la AEPD pretende mostrar algunas de las vías a través de las que se puede alcanzar el equilibrio entre el derecho a la privacidad y el desarrollo del negocio publicitario en internet, siempre dentro de la legalidad vigente. Para ello describe con detalle algunas de las formas a través de las que garantizar que el usuario recibe la información adecuada sobre el uso de las cookies, primero, y que el consentimiento posterior de éste ha sido otorgado, después.

En efecto, el editor ha de proporcionar al usuario información visible, clara y completa sobre las cookies que se instalarán al hacer uso de su servicio, los datos que serán recogidos por éstas y la posibilidad de negarse a su instalación. Algunos de los procedimientos más habituales respaldados por la AEPD son los siguientes:

  • El suministro de la información a través de una barra de encabezamiento o pie de página, de forma suficientemente visible.
  • La inclusión de la información junto con la política de privacidad, o en los términos y condiciones de uso del servicio, en aquellos casos en que el usuario solicite el alta en dicho servicio o vaya a descargar un servicio o una aplicación.
  • El empleo de un sistema de información por capas, consistente en mostrar una primera capa con la información esencial y un enlace a la segunda capa, que contiene información mucho más completa y detallada.

La información esencial estaría comprendida por la advertencia sobre el uso de cookies, su finalidad, si se trata de cookies propias o de terceros, y el aviso de que si el usuario ejecuta una determinada acción, se entiende que acepta su uso. En la segunda capa se expondría al detalle la función de las cookies, la posibilidad de desactivarlas o eliminarlas, la forma de revocar el consentimiento prestado o la identificación de las entidades que tratan la información recogida por las cookies, entre otros.

La guía detalla a continuación algunas de las formas más habituales por las que el usuario puede otorgar su consentimiento –ahora sí– debidamente informado: (i) al aceptar los Términos y Condiciones o la Política de Privacidad cuando solicita el alta en un servicio; (ii) al configurar el funcionamiento de la página web o aplicación, o en el momento en que se solicite para la ejecución de una nueva función ofrecida por estas; (iii) al descargar un servicio o aplicación; (iv) a través del mencionado sistema de información por capas, o (v) a través de cualquier otra acción que manifieste por sí misma y de manera inequívoca su consentimiento.

Dentro de esta última opción se encuentran los supuestos en los que el consentimiento del usuario puede inferirse a partir de las acciones llevadas a cabo por éste, asunción que responde a una necesidad práctica provocada por dos factores. En primer lugar, las advertencias sobre el uso de cookies son generalmente contempladas como una molesta interrupción de la navegación. Por otro lado, no son pocos los usuarios que, ante la incomodidad que provoca el tener que aceptar una ventana tras otra antes de poder acceder al contenido de la página web, abandonan el site en busca de alternativas menos burocráticas.

Así, se entiende que si el usuario, una vez advertido de la presencia de las cookies y de la posibilidad de negarse a su instalación, hace caso omiso y continúa con su navegación, podrá entenderse que acepta su instalación y uso. Debe tenerse en cuenta, sin embargo, que la mera inactividad del usuario no implica, por sí misma, la prestación del consentimiento. Será necesaria alguna acción concreta adicional –utilizar la barra de desplazamiento, clicar sobre cualquier enlace contenido en la página, etc.– para poder asumir con las garantías suficientes que dicho consentimiento ha sido prestado.

Este informe de la AEPD también hace referencia a aquellas cookies para cuya instalación y uso excepcionalmente no se requiere el consentimiento del usuario: aquellas destinadas únicamente a permitir la comunicación entre el equipo del usuario y la red, y las estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario –identificación de sesión, acceso a partes de acceso restringido, conservación de los elementos que integran un pedido de comercio electrónico, entre otros–. La exención, sin embargo, es muy restrictiva: cualquier cookie que se instale con estas finalidades, pero no únicamente con ellas, necesitará igualmente el consentimiento informado y previo del usuario receptor de la misma.

Asimismo, aunque la guía no contiene obligaciones legales, resulta muy esclarecedora en cuanto a las personas que la AEPD considerará responsables de una eventual infracción del art. 22.2 LSSICE. Según la literalidad del texto, el precepto será infringido al utilizar cookies sin haber recabado previamente el consentimiento del usuario. Podría entenderse que este concepto de utilización abarca únicamente a las cookies propias del editor, es decir, a las instaladas desde su servidor y cuyos datos recogidos son tratados por él. Sin embargo, la AEPD considera al editor responsable también de la instalación no consentida de cookies de terceros, esto es, instaladas al visitar su página web pero desde un dominio no gestionado por él y sin que en ningún momento tenga control o trate los datos por ellas recogidos. Y ello porque, aunque el editor no aloja estas cookies en su servidor, la AEPD entiende que dispone de cierta capacidad a la hora de limitar su uso. Además, el usuario perjudicado tenderá a dirigirse al editor por ser éste el proveedor de servicios de la sociedad de la información más identificable, aunque no sea quien realmente se beneficia del uso de estas cookies.

Este editor, por tanto, deberá auditar la totalidad de las cookies que se instalan a través de su página web –ya sean propias o de terceros–, a fin de poder informar debidamente al usuario acerca de su naturaleza y funciones.

Si bien al poco de la entrada en vigor del nuevo art. 22 LSSICE raro era el editor que cumplía al pie de la letra con el precepto, a lo largo de los meses cada vez más páginas web se han ido adecuando a estas nuevas exigencias legales. El incumplimiento de la normativa, sin embargo, aún puede calificarse como generalizado. Las sanciones económicas aplicables, previstas en el art. 39 LSSICE, pueden ascender hasta unos máximos de 30.000 € –leves–, 150.000 € –graves– y 600.000 € –muy graves–, aunque a día de hoy no consta que la AEPD haya iniciado ningún expediente sancionador por este motivo.

Texto original inicialmente publicado en el cuarto número del Boletín de Propiedad Intelectual, Industrial y Nuevas Tecnologías de CMS Albiñana y Suárez de Lezo.

Anuncios

One Response to La Agencia Española de Protección de Datos publica una guía sobre el uso de las “cookies”

  1. Elena says:

    El dibujo del Monstruo de las Galletas… lo mejor. Elena

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: