Guía de la AEPD: uso de cookies y tecnologías similares.
- Escrito por Valentina Maturana Zippelius y Clara Patricio Calvé
I. INTRODUCCIÓN
Recientemente, el pasado 8 de noviembre, la Agencia Española de Protección de Datos (en adelante “AEDP”) lanzó una Guía sobre el uso de cookies y tecnologías similares (en adelante, “Guía”), que viene a actualizar los criterios establecidos por la Agencia hace ya más de 6 años, garantizando el correcto cumplimiento de las distintas normativas vigentes en materia de protección de datos, tales como, el RGPD (Reglamento (UE) 2016/679 de Protección de Datos), la LOPDGDD (Ley Orgánica 3/2018 sobre Protección de Datos Personales) y la LSSI (Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico).
Uno de los principales fundamentos por los que se ha decidido actualizar esta Guía, se relaciona con lo que reconoce la misma AEDP en el mencionado documento, la relevancia de Internet en nuestra sociedad actual. A saber, “Internet juega un papel fundamental en la sociedad y es uno de los pocos sectores de la economía que actualmente continúa creciendo, posicionándose como pionero en la economía local y europea. Internet contribuye actualmente en un 3,8 del PIB de la Unión Europea y, a nivel nacional, representaba ya en el año 2018 el 7%, aportando 81.600 millones de euros al PIB español de forma directa”. A lo anterior debe sumársele la importancia de la publicidad online y en general las contribuciones directas e indirectas de la tecnología a la economía en España.
Una de las novedades introducidas por la LSSI en la materia objeto de la presente Guía, es la aplicación de los criterios introducidos al uso de cookies y tecnologías similares utilizadas (tales como, local shared objects (1) o flash cookies (2), web beacons o bugs (3) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tableta) (4) de una persona, que puede ser tanto física como jurídica, que utiliza un servicio de la sociedad de la información. La norma comentada también resulta de aplicación al empleo de técnicas de fingerprinting, es decir, a las técnicas de toma de la huella digital del dispositivo (y por ejemplo el mecanismo de TouchID que se encuentra disponible en los dispositivos de Apple).
II. RECOMENDACIONES Y ALCANCE NORMATIVO
En primer lugar, para comprender las novedades que trae la nueva Guía, es necesario entender cuáles son los aspectos y recomendaciones que esta introduce y a quién resultan de aplicación. En este sentido, la Guía establece recomendaciones y pautas para garantizar el efectivo consentimiento de los usuarios de sitios web, las cookies no estrictamente necesarias para la comunicación entre usuario-prestador, y demás tecnologías similares. Además, trata el cumplimiento del principio de transparencia ejercido mediante el correcto servicio de información a los usuarios por parte de los prestadores de servicios de la sociedad de la información. Todo ello de conformidad con lo establecido en la correspondiente normativa de protección de datos.
III. NOVEDADES EN EL SISTEMA DE PROTECCIÓN
- La obligación de transparencia supone, conforme con el artículo 22 de la LSSI, que se facilite información clara y completa sobre la utilización de cookies y, particularmente, sobre los fines del tratamiento de datos.
En este sentido, existe una continuación con el sistema de capas tradicional, basado en, una primera capa en la que se incluye la información esencial sobre las cookies y una segunda, en la que se detalla el resto de información necesaria. Así, podemos encontrar la novedad, en el refuerzo del nivel de protección. Como consecuencia, para el correcto cumplimiento de la nueva Guía es preciso establecer una primera y segunda capa como se muestra a continuación:
- La obligación de obtener el consentimiento significa que, para que el mismo sea válido, deberá cumplir los siguientes requisitos. De conformidad con lo establecido en la Guía, el consentimiento otorgado por parte de los usuarios (entendiendo como tal, “el destinatario de los servicios”) para el tratamiento de sus datos debe efectuarse de forma directa, libre y correctamente informado, respetándose siempre la posibilidad de “no aceptación” de las cookies por parte del mismo.
El consentimiento lo debe prestar cualquier destinatario, dependiendo su duración en la finalidad y perdurabilidad de las cookies, entre otros criterios.
La Guía establece que el consentimiento se puede prestar en los siguientes momentos: a) En el momento de solicitar el alta en un servicio, b) Cuando se está configurando el uso de una página web, c) Antes del momento en que se vaya a descargar un servicio o aplicación ofrecido.
A mayores, la Guía establece distintas formas de obtener el consentimiento del usuario. Entre ellas, destacamos el sistema de información por capas (anteriormente explicado), y a través de la configuración del navegador.
Las modalidades de prestación del consentimiento pueden ser variadas. La obtención del consentimiento a través de un clic del usuario o de una conducta similar no cabe duda de que facilitará la prueba de que se ha obtenido. Esta fórmula puede ser la más apropiada para usuarios registrados.
A diferencia de lo que pasaba en la anterior Guía, se introduce la novedad de asociar el consentimiento efectivo de los usuarios al comportamiento de “seguir navegando” por el sitio web entre otros. Ahora bien, la AEPD matiza que para que esta modalidad de consentimiento sea válida, será necesario insertar un aviso que se pueda percibir de forma indudable por el usuario que esté haciendo uso del sitio web, además de una “clara acción afirmativa” del consentimiento por el mismo. Como consecuencia, el usuario tendrá que haber sido informado previamente y con claridad con qué concreta acción suya acepta la utilización de las cookies, como, por ejemplo, si sigue navegando por la página web (entendiéndose que sigue navegando si desliza la barra de desplazamiento, hace clic en un contenido o realiza otras acciones afirmativas similares citadas en la Guía). Es necesario tener en cuenta que la práctica de “seguir navegando” no será aplicable cuando nos encontremos en los supuestos en que se requiera consentimiento explícito por parte del usuario mediante la habilitación de elementos funcionales que permitan la aceptación del tratamiento de los datos personales.
Otro punto relevante y novedoso es el consentimiento por parte de menores de 14 años. En este supuesto la Guía hace un llamamiento a la responsabilidad por parte de los encargados del tratamiento de los datos, que deberán cerciorarse de que el consentimiento del tratamiento fue realizado por el titular de la patria potestad o tutela, cumpliéndose así el principio de minimización de datos. A su vez, también existen obligaciones especiales aplicables cuando un editor busca el consentimiento del usuario en diferentes países.
Con todo, siempre, es necesario hacer mención a la habilitada posibilidad de denegación de acceso al servicio en caso de rechazo de cookies. Para ello, será imprescindible informar de forma correcta al usuario, quedando excluidos del supuesto aquellos casos en los que la denegación de acceso suponga una vulneración del titular de derechos, siendo el acceso al servicio el único medio para ejercerlos.
IV. RESPONSABILIDADES
Si bien la LSSI no define quién será responsable de cumplir con las obligaciones señaladas en materias de cookies, podemos deducir de la presente Guía que los sujetos que participan en la obtención del consentimiento de los usuarios, tienen la obligación de respetar y cumplir las condiciones mínimas establecidas en la misma, a efectos de eludir futuras responsabilidades. En la gestión de cookies y tratamiento de datos obtenidos, se pueden distinguir dos situaciones:
- En aquellos casos en que un editor ofrece a los usuarios un servicio y todas las cookies utilizadas desde su página web se utilizan exclusivamente para las finalidades respecto de las que no es necesario obtener el consentimiento enumeradas más arriba, tanto si son propias como de terceros, no será necesario que informe de su utilización ni que obtenga el consentimiento.
- En este supuesto se puede diferenciar si se usan cookies propias o de terceros.
- En los casos en que el editor, a través de la utilización de cookies propias, trata los datos para alguna de las finalidades que no están exceptuadas de la obligación de informar y obtener el consentimiento, será necesario que informe sobre las finalidades para las se tratarán los datos y obtenga el consentimiento del usuario, a través de alguna de las formas establecidas en la Guía.
- Asimismo, cuando se empleen cookies de terceros para alguna o algunas de las finalidades no exentas, tanto el editor como las otras entidades intervinientes en la gestión de las cookies tendrán la responsabilidad de garantizar que los usuarios están claramente informados acerca de las cookies y de las finalidades para las se utilizarán y de obtener el preceptivo consentimiento.
Finalmente y en cualquier caso, la responsabilidad administrativa exigible ante las autoridades de control por el cumplimiento de las obligaciones derivadas del uso de cookies corresponde a cada parte obligada y no es desplazable contractualmente.
V. FUTURO ESCENARIO
La AEPD deja abierta la posibilidad de una futura modificación de la presente Guía, una vez sea aprobada y traspuesta la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la privacidad y la protección de los datos personales en el sector de las comunicaciones electrónicas por el que se deroga la Directiva 2002/58/CE.
Entre las novedades que introduce la nueva propuesta de Reglamento “ePrivacy” en relación a las políticas de Cookies, la principal consiste en aumentar la eficiencia del sistema actual al considerarse que el requisito de “banner” impuesto, no cumple con las expectativas previstas de “parámetros trasparentes y sencillos”, creando como consecuencia un malestar entre los usuarios que se ven abrumados por las peticiones de consentimiento, desencadenando esto, en la aceptación y consentimiento sin tener en cuenta las consecuencias que derivan de ello.
Además, las políticas de cookies actualmente establecidas fomentan a la aparición de prácticas intrusivas inhabilitadas, sin cubrir nuevas técnicas creadas con el propósito de impedir el seguimiento y almacenamiento de datos personales.
Así, la propuesta de Reglamento propone reforzar y aumentar la seguridad en la manera en que actualmente los rastreadores requieren el consentimiento de establecimiento de cookies y posterior rastreo de los usuarios.
Entre las novedades que presenta el borrador debemos destacar los siguientes puntos;
- En primer lugar, el artículo 8.1 establece como novedad, la prohibición de las capacidades de tratamiento y almacenamiento de los equipos terminales y la recopilación de información del equipo terminal de los usuarios finales con ciertas excepciones tales como; a) Que sea necesario exclusivamente para realizar la trasmisión de una comunicación electrónica, b) Que exista consentimiento del usuario, c) Cuando sea necesario para cumplir el servicio exigido por el usuario y por último, d) Cuando sea necesario para realizar las mediaciones de audiencia de la web, siendo responsable el proveedor del servicio de la sociedad.
- En segundo lugar debemos destacar, es el protagonismo que adquieren los servicios de publicidad, cuyo funcionamiento se basa en la utilización de cookies y de los que se prestan los proveedores de servicios de la información como base de financiación de su modelo de negocio. Así, el reglamento viene a introducir la necesidad de consentimiento del usuario para la utilización de cookies.
Con todo, será necesario estar pendiente durante los próximos meses de las decisiones que tomen las correspondientes entidades de control, en relación a la materia.
Fuente: Agencia Española de Protección de Datos (20 de noviembre de 2019). Guía sobre el uso de las cookies. Recuperado de https://www.aepd.es/media/guias/guia-cookies.pdf
(1) Tipo de cookies que pueden almacenar mucha más información que las cookies tradicionales. Al ser independientes del navegador utilizado son más difíciles de localizar, visualizar o borrar y pueden utilizarse, por ejemplo, para regenerar cookies estándar.
(2) Una colección de datos que se almacenan en el computador del usuario al visitar un sitio web que hace uso de Adobe Flash.
(3) Imágenes, inapreciables a la vista por su tamaño y color, que se descargan al visitar una web pero que están almacenadas en un segundo sitio y que permiten al titular de ese segundo sitio registrar la visita mediante la información que el navegador de éste proporciona al descargar la imagen (dirección IP, sistema operativo, versión de navegador, etc.)
(4)Artículo 22 de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico.