Un año después de la entrada en vigor del Real Decreto 13/2012 que modificó la regulación sobre cookies de la Ley 34/2002 (art. 22.2) ha visto la luz en España la primera guía sobre el uso de cookies. En ella han trabajado con intensidad tanto la Agencia Española de Protección de Datos (autoridad competente para sancionar el incumplimiento del art. 22.2 de la Ley 34/2002) como la industria, en particular, IAB Spain, Adigital, Autocontrol y la Asociación Española de Anunciantes.
El Real Decreto 13/2012 incorporó en España las modificaciones que introdujo la Directiva 2009/136/CE para aquellas cookies que no fueran estrictamente necesarias para la comunicación electrónica o facilitar el servicio/contenido previamente solicitado por el usuario. La modificación más importante consistía en que ya no sólo había que informar de la existencia de las cookies, de un procedimiento sencillo y gratuito para desactivarlas y de las consecuencias de tal desactivación sino que había que obtener un consentimiento que no podía inferirse de la mera inactividad del usuario.
Como siempre ocurre con los cambios tecnológicos, primero se demoniza a la tecnología para después llegar a la conclusión de que el reproche debe proyectarse respecto de los usos que se le dan a esa tecnología y, además, sólo de algunos usos (no todos). Las reflexiones iniciales, tanto estériles como simplistas, partían de dos grandes máximas: el usuario debe poder elegir y ello sólo puede asegurarse a través de un click en un "acepto" y si se pide el consentimiento, la puesta a disposición "gratuita" de contenidos en Internet ya no será posible y supondrá un freno a la innovación.
Afortunadamente, los retos son más complejos. Sin embargo, la Directiva europea no ha estado a la altura. Y, por ello, contamos con una normativa nacional (bueno, con tantas normativas nacionales como Estados Miembros hayan incorporado la directiva a sus ordenamientos) que crea no sólo un quebradero de cabeza a titulares de páginas web y anunciantes para cumplir los requisitos normativos y seguir contando con una vía (importante, sino a veces la única) de financiación o de mejora de su negocio sino también una preocupación en los usuarios (que no quieren/suelen leer nada que suene a "jurídico") sobre unos dispositivos con nombre de galleta y facultades de espía.
En este contexto, ve la luz ahora una guía sencilla y útil, que facilita ejemplos y reflexiones para que las organizaciones puedan construir la forma en qué pueden dar cumplimiento a los requisitos legales. En mi opinión, la mayor virtud del documento es que, desde un análisis contextual, admite que un consentimiento válido a efectos del art. 22.2 de la Ley 34/2002 no siempre consiste en un click sobre un botón afirmativo, cobrando mayor importancia la calidad, visibilidad y accesibilidad de la información sobre (i) las cookies según su finalidad (primera cuestión que hay que determinar, previo análisis del tipo de cookie que la organización tiene/quiere utilizar), (ii) cómo desactivarlas y (iii) las acciones del usuario de dónde se va a inferir la existencia del consentimiento. Su mayor defecto es que no delimita, en el caso de las cookies de terceros, la responsabilidad del editor y del tercero en caso de información defectuosa por el tercero (o de inexistencia de procedimientos de opt-out fáciles y gratuitos del tercero), dejándolas únicamente descansar en la regulación del contrato entre las partes implicadas (cuyos términos, en general, no pueden en la práctica ser negociados con el editor, que es quien tiene la interacción primigenia con el usuario).
Se puede acceder a la guía de cookies en el siguiente enlace.
