La palabra cookies ha adquirido carta de naturaleza por sí misma, perdiendo todo el sentido original que en los años setenta y ochenta le dábamos al anglicismo. Hoy todo el mundo sabe, incluido el jurista más reluctante, que se trata de un archivo que se deposita en el ordenador cuando nos conectamos a sitios web.
Esta tecnología ha crecido como herramienta de perfilado del usuario y sumada a las disponibles en entornos de red social, hizo saltar las alarmas de los reguladores a uno y otro lado del Atlántico. Así en Estados Unidos se discute en torno a soluciones basadas en la llamada do not track rule[1], y en la Unión, al esfuerzo de estudio del Grupo de Trabajo del art. 29 sobre el análisis comportamental, se sumó la regulación mediante Directiva de ciertos deberes asociados al uso de cookies.
El RD-ley 13/2012, de 30 marzo, la traspuso modificando el art. 22.2 de la Ley 34/2002 (LSSI) estableciendo la necesidad de obtener un consentimiento precedido de una información adecuada clara y completa sobre su utilización y en su caso sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la LOPD. Se admite un consentimiento prestado de modo automatizado por navegadores o aplicaciones si dispusieren de parámetros adecuados que además se configuren por el propio usuario y se autorizan sin restricciones los usos meramente técnicos.
Esta regulación aparentemente sencilla ha dado lugar a discusiones interminables y a provocar más dudas que certezas. Para tratar de resolverlas, el sector impulsó una Guía sobre el uso de Cookies, validada por la AEPD[2]. Resulta interesante considerar siguiendo su guión algunos elementos como mínimo conflictivos.
¿Quién debe aplicar esta norma? La Guía remite a la delimitación del ámbito de aplicación por el Capítulo II de la LSSI, que subraya el concepto de "destinatario" y da por supuesto que editores, anunciantes o terceros aplicarán la norma cuando sean "prestador de servicios de la sociedad de la información". Así que todo el mundo ha instalado el aviso sobre cookies "por si acaso". La clave de la cuestión parece residir en lo que la Guía denomina empresas de análisis y medición. En cuanto se instala Analytics o herramienta equivalente, procedería aplicar la norma aun cuando la nuestra no sea una actividad sometida a la LSSI. Por otra parte, puesto que se exige «asegurarse contractualmente que esas otras entidades o terceros no tratan los datos con ninguna otra finalidad que no sea la prestar el servicio al usuario», y como eso es hoy imposible en Internet, no quedará más remedio que informar y obtener el consentimiento.
En segundo lugar, la información debe ofrecerse de modo accesible y sobre todo «suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán», amén de poder revocarla. Además, puede ofrecerse de distintos modos, siendo la más usual la denominada información por capas, con un primer impacto sencillo, y un segundo más detallado, para el que se nos recuerda que el Grupo de Trabajo recomienda adecuar el lenguaje y el contenido de los mensajes al nivel técnico del usuario «evitando terminología técnica poco comprensible».
En este complejo contexto se dicta por la AEPD la Resolución R/02990/2013, en la que se sanciona con 3000 € por incumplir el art. 22.2 LSSI. El texto, prolijo, técnico y farragoso, merecería un análisis extenso. Baste subrayar algunas notas distintivas y singularmente preocupantes. Primero, la metodología seguida en la inspección pasó por realizar una auditoría de cookies con tres navegadores y sobre uno se instaló «Firebug (versión 1.11.3) que permite mostrar una lista de las cookies descargadas así como su exportación». Además, para documentar una determinada cookie sobre la que Google Inc. no proporciona información, se acudió a "una conocida web sobre programación", que «explica en uno de sus artículos que el dominio en cuestión y sus subdominios son utilizados para almacenar el contenido estático». Web, por cierto anonimizada en la resolución publicada.
Por otra parte, tras un prolijo examen del segundo nivel de la información por capas implantada por el sancionado durante el procedimiento, -páginas 28 a 30-, se concluye que la información no es suficiente ni adecuada y es necesario que exista una correspondencia precisa entre la tipología de cookies incluidas y las realmente utilizadas. De hecho en el caso concreto el usuario hubiera debido saber además que estas pertenecían a Google Analytics, Automattic Inc, Quantcast, You Tube LLc, Zopim Technologies Pte Ltd, y Seevolutión Inc.
La conclusión es evidente. Hay que proteger al usuario, eso es indudable pero el legislador y los reguladores han equivocado el método por completo y seguramente los destinatarios de la norma. Ni ud. ni yo, ni la mayoría de PYMES de este país, tenemos las habilidades auditoras de la inspección. El contenido de la información y la determinación de los sujetos obligados pertenecen al territorio de los arcanos indescifrables. La información que proporcionan los terceros a proveedores podría ser insuficiente y toca bucear en la blogosfera. Eso sí, podemos realizar análisis estadístico sin cookies desde el servidor y no hay necesidad de cumplir ley alguna.
Además, en un ordenador familiar un adulto puede estar consintiendo y en la siguiente media hora ser sustituido en caliente por un menor, y, perdónenme la crudeza, al 99% de los usuarios les da absolutamente igual y le dan al botón de aceptar. El refranero castellano es sabio y nos ofrece una conclusión muy sencilla y comprensible: «para este viaje no es menester alforjas».
[1] Véase http://donottrack.us/.
[2] Véase http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf.
Si quieres disponer de toda la información y la opinión jurídica para estar al día, suscríbete a
Actualidad Jurídica Aranzadi 
