febrero 24

La utilización legal de las “cookies”

Sobre los “dispositivos de almacenamiento y recuperación de datos en equipos terminales”, que así es como la redacción actual de la LSSICE define a las cookies, se ha hablado mucho y desde hace tiempo, y desde luego no siempre de forma pacífica. Otra definición se puede encontrar en la página de la Agencia Española de Protección de Datos a las que se refiere como “ficheros que se almacenan en el ordenador del usuario que navega a través de Internet y que, en particular, contiene un número que permite identificar unívocamente el ordenador del usuario, aunque éste cambie de localización o de dirección IP.”

En el caso de España, es el artículo 22 de la LSSICE el que se ocupa del asunto y su regulación ha cambiado desde su previsión original, en la que sólo se requería informar al afectado, hasta la actual en la que , dando cumplimiento a la Directiva 2009/136/CE, se exige el consentimiento previo del internauta, con el siguiente tenor:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Esta regulación no está exenta de polémica. La normativa europea ha sido calificada como “la enésima demostración de incompetencia política regulando la red”. En 2011, el ICO (Information Commissioners Office) del Reino Unido, mostraba su preocupación por la implantación de la normativa europea sobre las cookies augurando un descenso en el número de visitas. Y en fechas muy recientes se ha hecho público que el aviso legal de su página web ha cambiado de requerir el consentimiento del internauta a meramente informarle del uso de las cookies, aquí pueden consultar las explicaciones a esta modificación.

Lo cierto es que la implantación práctica de esta normativa no es una cuestión que resulte clara, pues caben diversas posibilidades técnicas y no se sabe muy bien donde van a poner el límite las autoridades encargadas de velar por el cumplimiento de esta normativa y lo acontecido con el ICO es una muestra de ello.

En síntesis, a lo que obliga la Ley es, en primer lugar, a informar, con carácter previo a la instalación de la cookie, especialmente, sobre la finalidad de su utilización. En segundo lugar, es preciso que el usuario preste el consentimiento para esa instalación. Se discute si este consentimiento puede ser tácito, circunstancia que se daría, por poner un caso, si se indica en las condiciones generales que el acceso a la web implica la prestación del consentimiento para la instalación de la cookie, o expreso, como parece pretender la normativa, al decir que para prestar el consentimiento se requiere “una acción expresa a tal efecto”, en cuyo caso el sistema comentado anteriormente sería insuficiente.

Finalmente, en cuanto a la exclusión de la obligación de recabar el consentimiento, cuando la única finalidad de la cookie sea efectuar la transmisión de una comunicación o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario, tampoco puede decirse que el panorama esté claro, cuando ha dado lugar a un extenso dictamen del denominado Grupo de Trabajo del Artículo 29 fechado en junio de 2012. Entre las cookies que se puede considerar exentas de esta obligación se mencionan como ejemplo, las cookies de “entrada del usuario” (que se emplean para realizar un seguimiento de los datos introducidos por el usuario cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por un usuario).

Cabe indicar también que el uso de las cookies se tiende siempre a asociar con el mundo de los ordenadores personales y la utilización de navegadores, pero la definición que se usa es susceptible de utilizarse para otras plataformas, como tabletas o teléfonos inteligentes. En estos entornos serían de aplicación también estas previsiones legales.

Para acabar recomiendo este artículo que analiza el tema intentando huir, en la medida de lo posible, de términos legales, donde se comenta la existencia de herramientas que permitan cumplir las exigencias legales y que pueden suponer una ayuda.