en General, Internet - Sociedad Información, Protección de datos de carácter personal

Cookies: Por fin existen pautas concretas para que su uso se ajuste a la legalidad

Autor: Eric Gracia. Abogado en Derecho.com


El pasado 29 de abril de 2013 la Agencia Española de Protección de Datos (en adelante, “AEPD”) y las asociaciones Adigital, Autocontrol e IAB Spain presentaron la “Guía sobre el uso de las cookies”, la primera en Europa elaborada conjuntamente por una autoridad de protección de datos y los representantes de la industria.

Dicha guía viene a arrojar algo de luz sobre las pautas que las empresas deben seguir para poder cumplir con las obligaciones establecidas por el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”), que contiene el régimen jurídico aplicable a las cookies en España.

Antes de abordar las principales conclusiones que establece la guía, cabe reflexionar en que, si bien se agradece el esfuerzo hecho tanto por la AEPD como por los representantes del sector, la técnica utilizada para abordar esta cuestión no aporta seguridad jurídica alguna a las empresas afectadas, pues la guía es un instrumento que no tiene por qué vincular las decisiones, resoluciones y cambios de criterio que la AEPD pueda adoptar ante un caso concreto relacionado con las cookies, incluso si la empresa en cuestión actuó conforme a la guía.

Régimen jurídico aplicable a las cookies en España:

El artículo 22.2 de la LSSICE establece lo siguiente:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

¿Qué consecuencias puede acarrear el incumplimiento de dicho régimen jurídico?

El artículo 43.2 de la LSSICE atribuye a la AEPD la competencia sancionadora en caso de incumplimiento de lo previsto en el artículo 22.2 anteriormente citado.

Así, se considera infracción leve, sancionable con multa de hasta 30.000 euros, el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave. Por otro lado, tiene la consideración de infracción grave, sancionable con multa de 30.001 hasta 150.000 euros, el incumplimiento significativo de esas mismas obligaciones.

¿Qué pautas establece la guía para poder cumplir con dicho régimen jurídico?

1.- Cookies sometidas al régimen jurídico de la LSSICE:

a) La norma resulta de aplicación tanto a cookies como a otras tecnologías similares utilizadas para almacenar y recuperar datos de un equipo terminal (por ejemplo: local shared objects, flash cookies, etc.).

b) Tal y como el Grupo de Trabajo del Artículo 29 ya determinó en su Dictamen 4/2012, hay ciertos tipos de cookies que no quedan sometidos a la norma:

– Cookies de entrada del usuario.
– Cookies de autenticación o identificación de usuario (únicamente de sesión).
– Cookies de seguridad del usuario.
– Cookies de sesión de reproductor multimedia.
– Cookies de sesión para equilibrar la carga.
– Cookies de personalización de la interfaz de usuario.
– Cookies de complemento (plug-in) para intercambiar contenidos sociales.

Sobre el uso de dichas cookies no es necesario informar ni obtener el consentimiento.

c) Se recomienda a las empresas realizar periódicamente una revisión interna acerca de las cookies que están utilizando. Dicha revisión debería determinar si se trata de cookies propias o de terceros; de sesión o permanentes y su función, lo que permitirá establecer en cada caso si están o no en el ámbito de aplicación de la norma.

2.- Cumplir con el deber de informar sobre cookies:

a) Se debe facilitar a los usuarios información clara y completa sobre la utilización de las cookies y, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la LOPD.

b) También se debe facilitar información sobre como revocar el consentimiento dado para el uso de cookies y como eliminarlas.

c) Toda la información indicada en los puntos anteriores debe estar a disposición de los usuarios de forma accesible y permanente en todo momento a través la página web desde la que se presta el servicio.

d) La información debe estar redactada teniendo en cuenta el tipo de usuario medio al que se dirige la página web y adecuando el lenguaje y el contenido de la información a su nivel técnico. En este sentido y para mayor seguridad, es recomendable partir de los aspectos más básicos de qué son las cookies y cómo funcionan.

e) Para lograr la accesibilidad y visibilidad de la información sobre cookies en la página web se recomienda:

– Incrementar el tamaño del enlace a la información o utilizar una fuente diferente que distingan ese enlace del texto normal de la página web y de otros enlaces.
– Situar el enlace en zonas de la página web que capten la atención de los usuarios.
– Utilizar una denominación descriptiva e intuitiva para el enlace (por ejemplo: “Política de cookies” en lugar de “Política de privacidad”).
– Utilizar un enlace distinto, por ejemplo, del resto de la información sobre términos y condiciones de uso o política privacidad.
– Otras técnicas como encuadrar o subrayar el enlace, desplegar un aviso cuando el puntero del ratón pase sobre el enlace o utilizar una imagen o icono sobre el que se pueda hacer clic y que anime a buscar más información.

f) Se recomienda el uso de alguno de los siguientes métodos para suministrar la información sobre cookies:

– A través de una barra de encabezamiento o en el pie de página, de forma suficientemente visible.
– Al solicitar el alta en un servicio, o antes de descargar un servicio o una aplicación.
– A través de capas, tal y como se expone en la propia guía.

3.- Cumplir con el deber de obtener el consentimiento para el uso de cookies:

a) Para poder instalar y utilizar cookies es necesario obtener el consentimiento de los usuarios afectados.

b) La forma de obtener dicho consentimiento puede ser expresa (por ejemplo, haciendo clic en un apartado que indique “consiento”, “acepto” o similar) o tácita (mediante la realización de una acción consciente y positiva a partir de la cual pueda entenderse prestado el consentimiento). En este punto, conviene recordar que el artículo 22.2 de la LSSICE no especifica en ningún caso que el consentimiento deba obtenerse de forma expresa.

c) Lógicamente, las formas de obtención tácitas plantean mayores problemas probatorios para la empresa que las utiliza. En este caso, debe informarse de cuál es la acción concreta tras cuya realización se entenderá prestado el consentimiento (por ejemplo: si utilizas el foro de esta página web, entenderemos que consientes la instalación y uso de las siguientes cookies…).

d) Un usuario siempre debe poder rechazar el que se instalen en su terminal las cookies, aunque ello conlleve que no se le pueda prestar total o parcialmente un servicio.

e) Algunos ejemplos de formas de obtención del consentimiento expreso son:

– Aceptación mediante clic de los “términos y condiciones de uso de la página web” o de su “política de privacidad” al solicitar el alta en un servicio.
– Mediante la configuración del funcionamiento de la página web o aplicación.
– Aceptación mediante clic en la primera capa que contiene la información esencial (al utilizar el método por capas para informar sobre las cookies, tal y como se expone en la propia guía).

f) Algunos ejemplos de formas de obtención del consentimiento tácito son:

– Si el usuario ha utilizado la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de ésta.
– Si el usuario ha clicado sobre cualquier enlace contenido en la página web.
– Mediante la configuración del navegador del usuario, tal y como prevé la propia LSSICE.

________________________________________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien accediendo a cualquiera de los siguientes enlaces:

Adaptación protección de datos
Auditoría protección de datos
Revisión textos legales para página web