Con más frecuencia de la deseada, saltan a la palestra noticias en los medios de comunicación con titulares tipo “Multada con la máxima sanción (30.000 euros) por incumplir la política de cookies en su página web”, “Instalar cookies sin permiso sale caro” etcétera.
Es mas que evidente que hay algo que no se está haciendo bien, y ello afecta directamente a nuestro derecho fundamental a la protección de datos como usuarios conectados.
Comencemos por el principio.
El 31 de julio de 2002 se publicaba en el Diario Oficial de las Comunidades Europeas la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) en vigor desde el día de su publicación y es apodada como Ley de Cookies.
En su articulo 5.3 exige a los Estados Miembros que únicamente se permita el uso de cookies (almacenamiento de datos) en el terminal de un usuario, cuando el usuario es informado previamente de cómo se utilizan esos datos almacenados (cookies) y dando la posibilidad del usuario a negarse a ese tratamiento. Solo se establece excepción de lo anterior respecto de las cookies necesarias por motivos técnicos.
El 18 de diciembre de 2009 se publicaba en el Diario Oficial de las Comunidades Europeas Diario Oficial la Directiva 2009/136/CE del Parlamento Europeo Y Del Consejo de 25 de noviembre de 2009, por la que se modifica (…), la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (…).
La cual refuerza las exigencias establecidas en el articulo antedicho, estableciendo la obligación de contar con el consentimiento después de que se le haya facilitado información clara y completa.
El 1 de abril de 2012 entra en vigor en España el Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas (…), el cual modifica varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI), a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiéndose destacar la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad.
En 2013 la Agencia Española de Protección de Datos (AEPD) publicaba su primera Guía sobre el uso de la Cookies, la cual ofrecía diferentes opciones para cumplir con las obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. Por aquel entonces la AEPD incorpora el sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.
Las denuncias y sanciones en materia de cookies no se hicieron esperar y en enero de 2014 y por primera vez en la historia, la AEPD sancionaba a dos empresas españolas (con 3.000€ y 500€) por la instalación de cookies (Google Analytics, Google Maps, Youtube etc), sin cumplir con la Ley de Cookies (RESOLUCIÓN: R/02990/2013), la AEPD considera en este caso que la información incluida por ambas entidades no precisa con suficiente claridad si la tipología de cookies descritas en la web se corresponde con las realmente utilizadas en los sitios web de dichas sociedades y con las finalidades descritas en las mismas. Por lo tanto, no contiene una información adecuada sobre el tipo de cookies que efectivamente se utilizan y sus finalidades que permita conocer al usuario de una forma apropiada el uso que se dará́ a la información recuperada, tampoco se asocia claramente su uso con el propio editor o con terceros que también deben ser identificados (…).
Dónde estamos y hacia dónde vamos.
En 2019, la AEPD actualiza su Guía sobre el uso de la Cookies con el fin de incorporar los cambios sobre el consentimiento informado introducido por el RGPD aplicable desde el 25 de mayo de 2018, y a la LOPDGDD, aplicable desde el 7 de diciembre de 2018.
En menos de un año, en julio de 2020 la AEPD vuelve a publicar nueva actualización, para incorporar las aclaraciones realizadas por el Comité Europeo de Protección de Datos (CEPD), sobre la condicionalidad del consentimiento y el consentimiento inequívoco, en sus Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679, adoptadas el 4 de mayo de 2020, que revisan y actualizan las aprobadas por el GT29 el 10 de abril de 2018.
Si bien la Guía mantiene el sistema por capas, indica más modalidades para la obtención del consentimiento tales como:
- Al solicitar el alta en un servicio. Será posible solicitar el consentimiento
para el uso de cookies cuando el usuario solicita el alta en un servicio. Será requisito indispensable que el consentimiento esté separado y no se
agrupe con la aceptación de otros términos y condiciones de uso de la página web. - Durante el proceso de configuración del funcionamiento de una página web o aplicación, se permite al usuario configurar el servicio, pudiendo configurar características como el idioma, el tipo de letra, el color de
fondo de pantalla, etc. La prestación del consentimiento para la utilización de las cookies puede configurarse durante el proceso de elección o especificación por parte del usuario de las características, quedando el consentimiento integrado en la elección del usuario y recordando los ajustes
elegidos por este. - A través de plataformas de gestión del consentimiento, siempre que se cumplan los requisitos que detallaré mas adelante cuando hable del contenido mínimo por capas que por otro lado es el sistema más utilizado.
- Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido en la página web por ejemplo un juego, un video, imagen etcétera
El formato de información por capas[1] es el más utilizado por ello y para un correcto cumplimiento de la normativa actual se debe tener en cuenta los siguiente:
Primera capa. Previamente a la instalación de cookies se utilizará esta capa para:
- Incluir información básica pero clara y transparente sobre el tipo de cookies incluyendo la indicación si se trata de cookies propias, de terceros o ambas.
- Solicitar el consentimiento inequívoco del interesado, mediante la incorporación de un panel de botones, tipo [SOLO ACEPTAR COOKIES NECESARIAS] [ACEPTAR TODAS LAS COOKIES] [ACEPTAR SELECCIÓN] a través de un sistema de checkbox previamente desmarcado, tipo:
[] preferencias
[] estadísticas
Etcétera
- Enlace a la segunda capa. Un enlace claramente visible dirigido a una segunda capa informativa en la que se incluya una información más detallada, utilizando, por ejemplo, el término “Cookies”, “Política de cookies” o “Más información, pulsa aquí”.
Segunda capa. Debe contener mínimo la siguiente información o epígrafes.
- Definición y función genérica de las cookies, definición de lo que son las cookies y para que sirven.
- Información sobre el tipo de cookies que se utilizan, su finalidad, titular de estas y periodo de conservación.
- Identificación de quién utiliza las cookies, si la información obtenida por las cookies es tratada solo por el titular de la página web y/o también por terceros con los que se haya contratado la prestación de un servicio para el cual se requiera el uso de cookies, con identificación de estos últimos.
- Información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies.
- Si aplica, información sobre las transferencias de datos a terceros países realizadas.
- Cuando la elaboración de perfiles implique la toma de decisiones automatizadas con efectos jurídicos para el usuario, será necesario que se informe sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento
- En relación con el resto de información exigida por principio de transparencia RGPD y que no se refiera de forma específica a las cookies (por ejemplo, los derechos de los interesados), se podrá remitir a la política de privacidad.
¿Cuál es el futuro próximo? El ya famoso Reglamento ePrivacy.
En enero 2017 la Comisión Europea publicaba su Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas(Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas).
Si bien estaba previsto que estuviera listo en la fecha de plena aplicación del Reglamento General de Protección de Datos, esto es mayo de 2018, se ha alargado durante años y el 10 de febrero 2021, el Consejo de la UE acordó un texto final que empuja al Reglamento ePrivacy hacia una totalmente nueva fase de negociaciones.
¿Qué cambios introduce el nuevo Reglamento e-Privacy?
- Al regularse vía Reglamento Europeo todos los ciudadanos y las empresas de la UE disfrutarán del mismo nivel de protección de sus comunicaciones electrónicas y por ende las empresas también disfrutarán de un único conjunto de normas en toda la UE.
- Se amplía el ámbito de aplicación: los nuevos proveedores de servicios de comunicaciones electrónicas, como WhatsApp, Facebook Messenger, Skype, Gmail, etcétera tanto los actuales como los futuros.
- Se incorporan los metadatos de comunicaciones electrónicas: son datos utilizados para rastrear e identificar el origen y destino de una comunicación, los cuales se deberán anonimizar o suprimir si los usuarios no han dado su consentimiento, excepto cuando existan motivos legales para mantenerlos.
- Prohibición de las comunicaciones electrónicas no solicitadas por cualquier medio, si los usuarios no han dado su consentimiento, que conjugando esta obligación con la exigencia de un consentimiento conforme al artículo 4 del RGPD: libre, específico, informado e inequívoco por parte del interesado ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen, el consentimiento tácito no es posible y por tanto expresiones que todavía hoy seguimos viendo en algunas páginas webs tipo “si continua navegando consideramos que acepta nuestra política de cookies” no es válido.
- Se detallan los recursos, responsabilidades y sanciones que pueden derivarse del incumplimiento pudiendo llegar hasta los veinte millones de euros.
- Y se establecen autoridades de control independientes encargadas de su supervisión.
A pesar de lo esperado de tener el texto definitivo del Reglamento ePrivacy, hoy no es una realidad palpable, por lo que sólo nos queda esperar y estar atentos a los pronunciamientos del Parlamento Europeo para ver como evoluciona el texto actualmente sometido a debate.
Mientras esto sucede, no debemos perder de vista todo lo indicado en el presente articulo si no queremos tener problemas con nuestra Autoridad de Control.
[1]Fuente:Guía sobre el uso de las Cookies (julio 2020) AEPD
