LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 07:49:03

LegalToday

Por y para profesionales del Derecho

Cookies, alea jacta est!

Responsable Dpto. Tecnología, Medios y Telecomunicaciones (TMT)
Santiago Mediano Abogados

Finalmente, más de un año después de que la regulación europea de los dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios (es decir, el uso de cookies y tecnologías similares) fuera objeto de trasposición al derecho español, en virtud del Real Decreto Ley 13/2012, y tras varios encuentros y reuniones mantenidos con la industria digital española (liderada, entre otros, por la IAB España y Adigital), la Agencia Española de Protección de Datos (AEPD) ha procedido a la elaboración de una guía relativa al uso de cookies por parte de los distintos agentes (entre otros, editores y medios, anunciantes, agencias de publicidad, redes de afiliación y empresas de análisis y medición), que intervienen en el cada día más complejo ecosistema digital.

Galletas con dibujo de @

Con carácter previo, se debe advertir que el objetivo de la guía no es el de fijar un marco legal al que las empresas deban aferrarse como si de una bendición papal se tratase, sino el de trazar unas líneas o criterios de referencia bajo las cuales, caso a caso, cada empresa deberá adoptar las soluciones o medidas que resulten adecuadas a la realidad del tipo de cookies utilizadas, datos personales recogidos y tratamientos a los que dichos datos e información vayan a ser sometidos. Por lo tanto, la guía debe ser tomada como un documento meramente orientativo.

Identificando las cuestiones que mayor debate hicieron nacer entre los agentes directamente afectados por la regulación del uso de las cookies, cabe destacar la relativa al consentimiento informado de los usuarios en cuyos equipos terminales (ordenadores, tabletas o smartphones, entre otros) se desea instalar una cookie.

En este sentido, el art. 22.2º de la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), prevé en su primer párrafo lo siguiente:

Art. 22.2º. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

De manera particular, en lo que respecta al consentimiento informado, surgen dos cuestiones adicionales: i) ¿cómo debe ser la información suministrada?; y ii) ¿cómo deber ser el consentimiento prestado por los usuarios?.

Para responder a lo anterior, la AEPD señala que, en primer lugar, se deberá tener en cuenta el "usuario tipo" o "usuario medio" de una página web, lo que permitirá trazar el nivel de diligencia a seguir según que los usuarios sean más o menos avanzados, desde un punto de vista de "natividad digital" o según que estemos tratando con menores de edad o usuarios con un mayor grado de discernimiento.  

También señala la AEPD que la información relativa al uso de las cookies se debe ofrecer de forma sencilla, fácil y directamente accesible, en lugar de ubicarla en alguna zona de la página web cuyo acceso no sea visible o fácilmente identificable. Por lo tanto, lo mismo que se apuesta por el diseño de una página web para dar relevancia a determinada información o secciones, se debe aprovechar la experiencia del editor para dar predominancia y atraer la atención de los usuarios hacia el lugar o sección donde puedan encontrar, fácilmente, la información relativa al uso de las cookies. Es decir, se debe potenciar la accesibilidad y visibilidad de la referida información.

También recomienda la AEPD que la información relativa al uso de las cookies quede recogida de forma independiente respecto de las Políticas de Privacidad, posicionando los enlaces que permitan el acceso a dichos textos en  un lugar destacado y visible de la página web.

En cuanto a la información y el modo de transmitirla, la AEPD sugiere, por ejemplo, el suministro de información por capas:

  • Primera capa de información
  • Se debe ofrecer información de los aspectos más relevante y esenciales (p.e, informar del uso y utilización de cookies; cuáles son las finalidades; advertencia sobre las acciones que implican un consentimiento; y un enlace a la segunda capa de información).

    Asimismo, esta información debe ser ofrecida durante un tiempo suficiente para que pueda ser apreciada por los usuarios.

    Un modo de ofrecer esta primera capa de información puede ser, por ejemplo, a través de un desplegable que aparezca desde la parte superior de la pantalla o un pop-up emergente que se sitúe en el medio de la pantalla, los cuales sean mostrados hasta que el usuario desee pinchar o acceder a otro área o sección de la página web.

  • Segunda capa de información 

Esta segunda zona, que puede corresponder con la política de uso de cookies, es donde se el detalle del tipo de cookies y descripción de las mismas; si son propias y/o de terceros; detalle sobre las finalidades de uso; información sobre los mecanismos/procedimientos para deshabilitar las cookies y explicar las consecuencias de lo anterior, así como identificar a los titulares de cookies de terceros.

En lo que respecta al consentimiento propiamente dicho, y vinculado a que previamente se haya ofrecido la información anterior, la AEPD sugiere distintas opciones:

  • Consentimiento expreso. Por ejemplo, mediante un check box que el usuario deba marcar obligatoriamente, de manera que si no lo marca, las cookies no se implanten aunque el usuario haya accedido a la página web.
  • Consentimiento tácito, derivado de una conducta activa del usuario de la que quepa inferior el consentimiento. Por ejemplo, el hecho de que un usuario continúe navegando en un sitio web o continúe haciendo uso de una app (entorno Smartphone), después de haber sido informado de que la continuación en la navegación o el uso del app conlleva la aceptación de las cookies.
  • También se puede obtener el consentimiento del usuario durante el proceso de configuración del navegador en el equipo del usuario. En este caso, se debe tratar de una selección activa o voluntaria del usuario, no pudiendo venir dicha configuración implantada por defecto. Esta opción está prevista expresamente en el párrafo 2º del art. 22.2º LSSI, donde se indica lo siguiente:

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

También aclara la AEPD que el consentimiento sólo se debe recoger una vez; esto es, no es necesario recabarlo en cada visita del usuario a la misma página web. Sin embargo, sí será necesario recabar un nuevo consentimiento en caso de que, por ejemplo, sean implantadas nuevas cookies o si cambian las características/funcionalidades de las cookies, por ejemplo.

Y el consentimiento prestado por un usuario debe ser revocable en cualquier momento. Por ello, los usuarios deben ser informados de qué procedimientos tienen a su disposición para poder hacer "opt-out" respecto del uso de cookies. Asimismo, se debe informar con claridad de cuáles son las consecuencias de la revocación (impacto en la funcionalidad de la web y/o en el uso de los servicios ofrecidos). En este sentido, señala la AEPD que la opción de un usuario por revocar el consentimiento para el uso de cookies nunca podrá significar una denegación del servicio cuando el acceso vía web sea el único medio facilitado por el prestador para que el usuario pueda ejercitar sus derechos (p.e, solicitar la baja en un servicio).

En último lugar, con relación a las cookies que se ven afectadas por la regulación contemplada en la LSSI (y, por extensión, por la normativa de protección de datos), aclara la AEPD que se trata de aquellas cookies que tengan una incidencia directa en el ámbito de privacidad de los usuarios, lo que en principio afecta, entre otras, a las cookies que estén destinadas a personalización de los servicios, al análisis de la navegación, así como al desarrollo de acciones publicitarias y de publicidad comportamental (del inglés, behavioural targeting), quedando excluidas las cookies cuyo uso responda a una finalidad meramente técnica (p.e, cookies de sesión o las cookies de ID), tal y como reza el párrafo 3º del art. 22.2º LSSI.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por lo tanto, a la vista de la guía elaborada por la AEPD, es de esperar que una vez clarificadas algunas de las principales cuestiones de orden práctico, los distintos agentes del ecosistema digital que se ven afectados por la regulación del uso de las cookies empiecen (si no lo han realizado ya) a adoptar los mecanismos y procedimientos encaminados a dar cumplimiento a una regulación cuyo objetivo debe ser el de dotar una mayor transparencia e información a los usuarios, así como crear una "cultura digital" en torno al uso de las cookies y otras tecnologías que, por otro lado, tan importantes y necesarias resultan para el desarrollo de los nuevos modelos de negocio basados en Internet.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.