Si bien las cookies son necesarias para el normal y correcto funcionamiento de Internet y los servicios que se prestan a través de la red, esto no quita que su uso genere preocupación en torno a la privacidad de los usuarios, ya que, por un lado, permiten obtener información detallada respecto de los intereses y hábitos online, y, por otro lado, su existencia y propósito no se encuentra lo suficientemente divulgado entre aquellos.
Si bien la consideración general de las empresas suele ser que es poco probable se abra un expediente sancionador en materia de cookies, lo que esta sucediendo a nivel nacional y de la Unión Europea con las recientes sanciones, nos demuestra que lejos de ser poco probable las autoridades de control están poniendo el foco cada vez más en esta materia, más aún, cuando el análisis de «El Reglamento ePrivacy y las cookies» y su impacto en la privacidad y en los modelos de negocio actuales está generando un arduo debate.
¿Qué son las cookies?
✓ Las cookies son un tipo de dispositivo de almacenamiento y recuperación de datos. Se tratan de pequeños programas o ficheros que se instalan en los distintos dispositivos (ordenadores, móviles, tabletas …) de los usuarios al acceder o utilizar paginas web, apps, etc., y cuya finalidad principal es almacenar y retirar información de dichos dispositivos.
Régimen legal actual de las cookies
Previo a introducirnos al análisis del uso de las cookies haremos una breve mención a la situación actual del régimen legal.
Podemos distinguir entre aquella normativa «Hard Law» (se refiere a la normativa que es legalmente vinculante y que su incumplimiento genera responsabilidad) y «Soft Law» (se refiere a opiniones, declaraciones, resoluciones, guías, principios, etc… que no son legalmente vinculantes y su incumplimiento no genera «per se» responsabilidad).
Normativa «Hard Law»
- Normativa general: i) Reglamento (UE) 2016/679 (RGPD); ii) Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales (LOPDGDD)
- Normativa específica: i) Art. 5.3 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas); ii) Art. 22.2 de la Ley 32/2002 del 11 de julio (LSSI).
El mentado Art. 22.2 LSSI, que traspone la Directiva sobre la privacidad y las comunicaciones electrónicas, establece como regla general la necesidad del consentimiento informado para utilizar cookies, con arreglo a lo establecido en el RGPD (y la LOPDGDD). La excepción a la regla se da con las cookies técnicas para transmitir una comunicación o prestar un servicio de la sociedad de la información que no requerirá el consentimiento de los usuarios.
Normativa “Soft Law”
- Opiniones de Grupo de Trabajo del Artículo 29
- Guía sobre el uso de cookies (AEPD)*
- Sesiones Anuales (AEPD)
- Informes Jurídicos y resoluciones (AEPD)
La AEPD publicó en el año 2013 la «Guía sobre el uso de cookies», la que especifica como cumplir con el deber de información y con la obtención del consentimiento.
Por su parte, en la «10ª Sesión anual: Información y Cookies» la AEPD establece criterios respecto al contenido mínimo de la información y las formulas para obtener el consentimiento.
A nivel de la Unión y con efectos comparativos podemos mencionar:
- Guías más recientes sobre cookies de las autoridades de control francesa (CNIL) e inglesa (ICO)
*Agencia Española de Protección de Datos.
☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.
☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.
Criterios sobre el uso cookies adoptados por la AEPD en sus resoluciones mas recientes
Con el propósito de poder comparar, de manera posterior a analizar el uso de las cookies, la situación actual con la «Propuesta del Reglamento», se hará una breve mención de las resoluciones más recientes de la AEPD en materia de cookies.
- En la Resolución R/00431/2019 la AEPD vuelve sobre lo indicado – en su guía – respecto de la formula para presentar la información en capas, recordando el contenido de la misma en cada una de las capas.
- En la Resolución R/00434/2019 y R/00433/2019 es destacable la mención a la necesidad de contar con un sistema que posibilite la eliminación de las cookies por tipología. Se establece en la Resolución R/00434/2019 que el sistema de gestión o panel de configuración de cookies «deberá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies y la posibilidad de hacerlo por tipología, y así dar la opción al usuario de poder administrar sus preferencias».
- En la Resolución R/00499/2019, la AEPD entiende que: «el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento o de retirar el prestado, si no es a través de las opciones del navegador». En tal sentido indica que no se ofrece la posibilidad de eliminar las cookies de forma granular a través de un sistema de gestión o panel de control de configuración de cookies.
- En la Resolución R/00465/209, se refiere – retomando los criterios de la 10ª Sesión Anual – a la incompatibilidad de utilizar la doble formula seguir navegando y aceptar, debiendo «ofrecerse al usuario o la modalidad de “Seguir navegando” o el mecanismo de “Aceptar” cookies».
Sentencia del TJUE en el asunto C-673/17
La reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE), que fuera dictada apenas unos días antes a que saliera la ultima versión del borrador de la «Propuesta de Reglamento ePrivacy», viene por un lado a afirmar lo que ya en la practica se consideraba obligatorio y habitual y por otro trae a colación un nuevo aspecto de las cookies (en el sentido de que no necesario estén involucrados datos personales para que se requiera el consentimiento).
El «Tribunal Supremo de lo Civil y Penal alemán» presento una cuestión prejudicial TJUE con respecto de la validez de la utilización de casillas marcadas por defecto para la obtención del consentimiento para la colocación de cookies (con las que se pretendía recabar información para el posterior envió de publicidad).
En tal sentido el TJUE resolvió que la colocación de cookies requiere del consentimiento activo de los usuarios, es decir, las casillas no pueden estar pre-marcadas, sino que a través de la acción afirmativa de marcar la casilla se estaría obteniendo el consentimiento de forma valida.
Por otro lado, el TJUE considera irrelevante que la información almacenada o consultada en el dispositivo del usuario contenga o no datos de carácter personal, toda vez que lo que el «Derecho de la Unión» persigue es proteger a los usuarios de las injerencias en su esfera de privacidad, y más aún cuando puedan incluirse en su dispositivo identificadores ocultos sin su consentimiento.
Finalmente, establece que el proveedor del servicio debe facilitar información respecto a la duración de las cookies y la posibilidad de que terceros accedan a ellas.
Propuesta de Reglamento ePrivacy y cookies
En el presente apartado se analizarán las cuestiones relevantes en materia de «cookies y el reglamento ePrivacy» en la versión de su último borrador.
Con fecha 04 de octubre ha salido a la luz del nuevo borrador de la «Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO» sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se derogará la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas).
En versiones anteriores del Reglamento, aplicando el principio de privacidad desde el diseño (privacy by design) se estableció que fueran los proveedores de los servicios de búsqueda, acceso y recopilación de datos (navegadores de internet) quienes establecieran los niveles más altos de privacidad en la configuración de los navegadores, evitando por defecto la presencia de «cookies de terceros», debiendo ser los usuarios quienes activamente optaran por aceptar las cookies cada vez que instalen un programa.
Ahora bien, esta tendencia fue suavizándose y en la versión actual el usuario será quien deba en cada página web decidir si acepta o no, y en qué términos, las cookies.
Las principales modificaciones que nos encontramos en este nuevo borrador en materia de cookies surgen del exponendo 20 y 21 y del Art. 8 del mentado documento.
El Art. 8.1 establece la regla general de que el uso de cookies en los equipos terminales (ordenadores, móviles, tabletas …) de los usuarios está prohibido, para a continuación establecer las excepciones que se mencionaran a continuación.
Como excepción a la regla general mencionada en el párrafo que antecede se establecen las siguientes:
-
- Se obtiene el consentimiento del usuario.
- Es necesario para prestar el servicio requerido por el usuario (es interesante remarcar que en la actual versión se eliminó la mención de que el servicio deba ser de la sociedad de la información).
- Es necesario para realizar mediciones de audiencia (se eliminó el termino web) por el proveedor del servicio de la sociedad de la información requerido por el usuario, o de un tercero, que actúe en nombre del proveedor (como encargado de tratamiento, de acuerdo con lo establecido en el exponendo 21.a) para no requerirse el consentimiento en este supuesto, no debe identificarse a los usuarios del sitio web.
- Es necesario para el mantenimiento o para restaurar la seguridad de los servicios de la sociedad de la información, para prevenir el fraude o detectar fallos técnicos, solo por el plazo necesario para cumplir con dichos fines.
- Es necesario para actualizar el software siempre que: i) sea necesario por cuestiones de seguridad y no implique modificar la configuración de privacidad del usuario; ii) se le informe previamente al usuario sobre la instalación de la actualización; iii) se le otorgue la posibilidad al usuario final de posponer o desactivar la instalación automática de las actualizaciones.
Otros asuntos de interés y que han sido motivo de debate se abordan en los exponendo 20 y 21 de la «Propuesta de Reglamento». Entre ellos especial interés suscitan los siguientes:
El exponendo 20 se refiere a la posibilidad de utilizar por parte de los proveedores el denominado «muro de consentimiento» (consent wall), por el cual el usuario deberá optar, si quiere utilizar los servicios ofrecidos por el sitio web, entre prestar su consentimiento para la instalación de cookies no exceptuadas o una oferta equivalente para los mismos servicios que no exija la prestación del consentimiento (por ejemplo: la suscripción de pago).
Esta posibilidad se encuentra restringida o prohibida en los casos que pueda considerarse desproporcionado, tales como si los servicios son prestados por autoridades públicas, donde el usuario se encontraría teniendo pocas o ninguna alternativa.
Del mismo modo, en el exponendo 21, se menciona los proveedores de servicios de la sociedad de la información cuya financiación proviene total o principalmente de la publicidad. En tal caso las cookies con finalidad publicitaria podrán instalarse previa autorización del usuario al que se le debe proveer información clara y precisa sobre estas.
En el caso de uso del uso del formato «consent wall» se le deberá dar la opción al usuario que no desee autorizar la instalación de cookies no exceptuadas, como ser las publicitarias, de poder obtener el mismo servicio mediante otra modalidad (por ejemplo, mediante el pago de un precio).
Conclusiones
En primer término podemos concluir que la última versión de la «Propuesta de Reglamento» se establece un delicado equilibrio entre la postura adoptada por los medios digitales y la postura de los defensores de los derechos de la privacidad.
Por un lado, el «muro de consentimiento» ha logrado imponerse en el presente borrador, por otro se menciona los proveedores de servicios de la sociedad de la información cuyo modelo de negocio esta basado total o principalmente en la publicidad y por lo tanto requieren como una necesidad para el funcionamiento básico del servicio el uso de cookies publicitarias, mencionándose tímidamente en el exponendo 21 la necesidad de aceptación por parte del usuario para dichas consecuencias.
Respecto a las excepciones para la instalación de cookies, se incorpora de manera expresa supuestos que ya son considerados por las autoridades de control, como ser las cookies necesarias para el mantenimiento o para restaurar los servicios, como para efectuar actualizaciones.
Finalmente, habrá de quedar a la espera de ver como se conjugan los criterios de las diferentes autoridades de control (AEPD, CNIL, ICO) y las resoluciones del TJUE con el futuro «Reglamento ePrivacy», sin contar con los cambios que probablemente todavía vayan a realizarse en este documento debido a los debates que continua suscitando en materia de cookies entre otras.
Apreciado lector, ¡gracias por su atención!