LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

05/12/2022. 12:12:32

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Cookies: Regulación legal vs implantación practica

socia de IT & Privacy de ECIJA

Mucho se ha escrito en los últimos tiempos acerca de la regulación legal de las cookies y como hacer efectiva su implantación práctica sin paralizar o mermar el fomento, impacto y éxito del negocio digital y electrónico, clave de desarrollo económico en estos tiempos de crisis.

La palabra internet hecha con galletas

Han pasado ya tres años desde la aprobación de la Directiva 2009/136/CE, de 25 de noviembre, por la que se regulaba el marco comunitario para permitir la utilización de este tipo de archivos informáticos (las comúnmente denominadas cookies) con el objetivo de proteger los derechos de los usuarios, principalmente los relativos a su privacidad y su libertad en el uso de medios y servicios electrónicos; y seis meses desde la aprobación del RD 13/2012 de 30 de marzo, a través del cual se modificaba la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y el Comercio Electrónico, incorporando en la normativa nacional el marco normativo desarrollado por la Directiva 2009/136/CE.

Así, se incorporó al artículo 22 de la Ley de Servicios de la Sociedad de la Información el siguiente apartado:

"2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."

Los principales elementos de la nueva regulación de la utilización de cookies, son claros:

  • Información clara y completa: Hay que facilitar al usuario información clara y completa acerca de; los datos que van a ser almacenados en las cookies y van a ser objeto de tratamiento,  así como los fines de dicho tratamiento de conformidad con la normativa sobre protección de datos de carácter personal.

    Las dudas / divergencias que se plantean en cuanto al cumplimiento de este requisito se basan por un lado en la definición de si ha de facilitarse dicha información específica de todas y cada una de las cookies que pueden ser utilizados por un determinado proveedor de servicios, o bien sería suficiente con una descripción más general por tipo de cookie (de comunicación, de sesión, de diseño, de prestación del servicio, de terceros, de seguimiento, … ).

    Por otro lado; ¿de qué forma ha de facilitarse dicha información? Ha de ser de forma previa (por ejemplo, a través de ventanas emergentes o pop-up que se muestran al usuario en el primer acceso al sitio web), o bien, puede ser facilitada a través de los avisos legales o condiciones generales de uso y de prestación de servicios que los proveedores incluyen en sus sites, siendo esta información de acceso "voluntario" por el usuario, aunque la aceptación de sus términos se considera realizada desde el momento en que el usuario interactúa con el site (consentimiento tácito).
  • Consentimiento: El usuario ha de otorgar su consentimiento a la utilización de las cookies, al igual que la normativa sobre protección de datos personales lo exige para cualquier otra clase de tratamiento, pero; ¿Qué tipo de consentimiento es necesario?

    Se debate acerca de si el consentimiento puede ser tácito o debe suponer una acción expresa del usuario (consentimiento expreso) tal y como recoge el art. 22 de la LSSI en relación con la configuración de los navegadores de forma expresa por el usuario.

Aplicación Práctica

Como comentábamos al inicio del presente artículo, han pasado seis meses desde la entrada en vigor de esta obligación en relación con las cookies a nivel nacional (y tres años desde su aprobación comunitaria), pero en España pocas (o nulas) son las repercusiones que se han tenido a nivel práctico. Así las entidades españoles han ejecutado pocos cambios en sus sitios web tendentes a adaptarse a estos nuevos requerimientos; principalmente han ampliado su información acerca de las cookies que utilizan, pero en el mayor de los casos la información facilitada suele ser generalista, y la obtención del consentimiento requerido suele ser tácito (si accedes a mi site, aceptas mi aviso legal y condiciones de utilización).

Por otro lado, las acciones adoptadas por el organismo encargado de su control y supervisión (la Agencia Española de Protección de Datos) son escasas, aunque tenemos conocimiento de que se está trabajando en ello en colaboración con las principales asociaciones y entidades afectadas por esta normativa. Esta colaboración tiene como objetivo principal hallar un equilibrio entre la protección de la privacidad y la libertad en el uso y consumo de servicios de la sociedad de la información por los consumidores y usuarios; y el desarrollo de la economía digital y electrónica clave en el desarrollo económico nacional en estos momentos de crisis.

En otros países, por ejemplo Reino Unido, el ICO (Information Commissioner´s Office), en Mayo de 2012 público la "Guidance on the rules on use of cookies and similar technologies" o "Guía sobre las normas de uso de cookies y tecnologías similares", donde apuesta por una información específica por cada una de las cookies que vayan a ser utilizadas, y por una tecnología opt in, o consentimiento previo para la instalación de este tipo de archivos, en lugar de la tecnología opto ut utilizada hasta ahora, a través de la cual, el usuario podía manifestar su oposición a la instalación y tratamiento de los datos almacenados, pero ejecutando una acción expresa posterior a la instalación de las mismas.

Y a nivel comunitario, fue el Grupo de Trabajo del Artículo 29 quien el 22 de junio de 2010 publico el "Dictamen 2/2010 sobre publicidad comportamental en línea", aclarando aspectos como; las funciones y responsabilidades de los actores implicados (distintos proveedores de servicios), y sobre la obligatoriedad de facilitar información en el contexto de la publicidad comportamental, y la necesidad de obtener el consentimiento previo de los usuarios.

Conclusión

Deben por tanto acelerarse y fomentarse en España las acciones tendentes a aclarar y definir específicamente este nuevo requerimiento legal que tanto está dando que hablar, pero tendiendo no sólo a la protección de la privacidad del usuario, sino también a la concienciación del mismo respetando su libertad en el uso y consumo de servicios electrónicos y digitales, y fomentando todo lo posible el desarrollo de los servicios y productos que forman parte del mercado español electrónico y digital, que sin duda serán claves a la hora de superar la situación de crisis económica en la que estamos inmersos.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS