Hace unos días se ha hecho pública la resolución R/02990/2013 de la Agencia Española de Protección de Datos (EAPD), por la que se imponen las primeras sanciones por falta de información a los usuarios sobre las “cookies”.
Hasta hace poco, no eran muchos los que sabían que las "cookies" no solo eran galletas, sino también dispositivos de almacenamiento y recuperación de datos, que se instalan en los equipos terminales de los usuarios que acceden a Internet, susceptibles de actualización y recuperación posterior con distintas finalidades.
La propia resolución define la "cookie" como un fichero de texto que se descarga en el equipo terminal (pc, móvil, tablet, etc.) del usuario, para almacenar, durante la navegación en Internet, ciertos datos con una o varias finalidades. Partiendo de esta definición las "cookies" se pueden clasificar de diversa forma.
Así, hay "cookies" propias o de terceros, dependiendo de la entidad que las gestione. En función de su finalidad, pueden ser técnicas (permiten al usuario la navegación a través de una web, plataforma o aplicación y el uso de las diferentes opciones o servicios de la misma); de personalización (permiten al usuario acceder al servicio con algunas características generales predefinidas en función de una serie de criterios en el terminal del usuario); analíticas (permiten al responsable de las mismas el seguimiento y análisis del comportamiento del usuario del sitio web al que está vinculada); publicitarias (permiten la gestión de los espacios publicitarios incluidos en la página web) y de la publicidad comportamental (permiten desarrollar un perfil específico para mostrar publicidad personalizada al usuario). En función del plazo durante el cual están activas, pudiendo ser de sesión o persistentes.
Debido a que muchos usuarios que utilizan los servicios de Internet desconocen que el simple acceso a los mismos puede conllevar la instalación de "cookies" es por lo que la legislación pretende garantizar que la utilización de tales dispositivos se realice respetando la privacidad de los usuarios, de modo que los afectados puedan manifestar su consentimiento o negativa a la utilización de dichos dispositivos teniendo previamente conocimiento del tipo de cookies que se pretenden instalar y las finalidades perseguidas con ello por el prestador de servicios de la información.
En nuestro ordenamiento tal obligación viene impuesta por el artículo 22.2 de la LSSI, que establece la obligación, a los prestadores de servicios de Internet que utilicen "cookies", de recoger el consentimiento debidamente informado de los usuarios, debiendo facilitar a tal fin información clara y completa sobre la utilización y finalidad de las "cookies".
Si bien el artículo citado establece la doble obligación de informar y recabar el consentimiento de usuario, el apartado tres del mismo, precepto establece dos exenciones. La primera requiere que la utilización de las cookies sirva sólo para permitir la comunicación entre el equipo del usuario y la red (lo que se relaciona con la capacidad de enviar información a través de la red, el intercambio de datos en su orden previsto y la detección de errores en la transmisión o pérdida de datos). La segunda, requiere que la instalación de las cookies sea necesaria para la prestación de un servicio de la sociedad de la información expresamente solicitado por el usuario.
Hay que tener en cuenta que los prestadores de servicios, además de informar y obtener el consentimiento de los usuarios para el uso de las "cookies", deberán dar cumplimiento a la normativa sobre protección de datos personales cuando la utilización de cookies suponga un tratamiento de datos de carácter personal de los usuarios. Así, el artículo 19. 2 de la LSSI remite expresamente a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en lo referente a la obtención de datos personales, información a los interesados y creación y mantenimiento de ficheros de datos personales, que realicen los prestadores de servicios de la sociedad de la información.
En conclusión y a la luz de la resolución de la AEPG, los prestadores de servicios de la sociedad de la información están obligados a informar, de forma clara y completa, de la utilización de "cookies" en su web, plataforma o aplicación, pero además, si dichas "cookies" pueden recabar datos de carácter personal del usuario (persona física), dichos prestadores de servicios deberán cumplir la LOPD y su normativa de desarrollo; el incumplimiento de cualquiera de estas obligaciones será sancionado por la AEPD.
