en General, Internet - Sociedad Información

¿Qué sistema para la obtención del consentimiento informado en el uso de cookies debe implementar un sitio web orientado a todo el territorio europeo?

Autor: Eric Gracia. Abogado en Derecho.com


Como es sabido, los sitios web pertenecientes a prestadores de servicios establecidos en España están sujetos al régimen jurídico sobre el uso de cookies contenido en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, “LSSICE”). Además, tal y como dicha norma determina, en términos generales, cuando el prestador de servicios esté establecido en otro Estado Miembro de la UE y el destinatario de dichos servicios radique en España, también deberá observar dicho régimen jurídico.

Por tanto, en el sentido inverso, cuando un prestador de servicios establecido en España dirija su actividad a destinatarios ubicados en otros Estados Miembros de la UE, deberá observar el régimen jurídico sobre el uso de cookies que éstos tengan establecido.

Surge entonces la gran pregunta que da título a este artículo, pregunta que plantea e intenta responder el documento denominado “Working Document 02/2013 providing guidance on obtaining consent for cookies”, publicado el 2 de octubre de 2013 por el Grupo de Trabajo del artículo 29.

Dicho documento establece que aunque el concepto de consentimiento puede ser distinto en cada uno de los Estados Miembros de la UE, el mismo debería revestir siempre los siguientes elementos para considerarse válido:

1) Información específica: El consentimiento debe pedirse específicamente para la finalidad concreta a la que el sitio web destinará la información. Con este fin, la información que se facilite debe ser adecuada, completa y visible (por ejemplo, estando a disposición del usuario en la página web donde inicia su sesión de navegación por el sitio web).

Dicha información debe incluir en relación a las cookies: su finalidad; la indicación de si son de terceros o si habrá terceros que podrán acceder a la información recabada por ellas; su fecha de caducidad y las formas que el usuario tiene para rechazarlas ahora y en el futuro.

2) Recabar el consentimiento a tiempo: El consentimiento debe recabarse antes de que el tratamiento de la información tenga lugar. Por tanto, la inyección de las cookies en el equipo del usuario no debe producirse hasta que éste haya prestado su consentimiento.

3) El consentimiento debe prestarse de forma activa: El consentimiento debe ser inequívoco, por lo que el procedimiento para recabarlo no debe dejar ninguna duda en cuanto a la intención del usuario. En este sentido, si bien hay libertad de forma para obtener el consentimiento, para que éste sea válido debe consistir en una acción del usuario, por mínima que sea (por ej.: marcando una casilla; haciendo clic en un botón o enlace; etc.). La mera inactividad o quietud del usuario no puede considerarse como una prestación del consentimiento.

De forma específica, el Grupo de Trabajo del artículo 29 rechaza que el mero hecho de hacer clic en un botón o enlace del tipo “más información sobre el uso de cookies” sirva como prestación del consentimiento, pues en realidad el usuario sólo está solicitando más información antes de tomar una decisión final acerca del uso de las cookies.

Finalmente, la información sobre el uso de cookies debe permanecer accesible en el sitio web, por lo menos, hasta que el usuario haya prestado el consentimiento para su uso.

4) El consentimiento debe ser libre: El consentimiento sólo puede ser válido si el usuario está en condiciones de decidir realmente si consiente o no la inyección de todas o algunas cookies, sin que exista riesgo de engaño, intimidación, coacción o consecuencias negativas en caso de que no preste su consentimiento.

En este sentido, el Grupo de Trabajo del artículo 29 recomienda que se permita al usuario seguir navegando por el sitio web aún en el caso de haya rechazado la instalación de todas o algunas cookies (evidentemente, sólo en referencia a aquellas que están sujetas al régimen jurídico que regula su uso). Así, se desaconseja adoptar una política del “todo o nada” en cuanto a la inyección de cookies en el equipo del usuario.

Así las cosas, a priori y en vista de todo lo anterior, cabe considerar que un sitio web en el que se hayan implementado correctamente las recomendaciones contenidas en la “Guía sobre el uso de las cookies”, editada por la Agencia Española de Protección de Datos y las asociaciones Adigital, Autocontrol e IAB Spain, debería estar en disposición de cumplir con las distintas legislaciones que los Estados Miembros puedan haber desarrollado en cuanto al uso de cookies.

_____________________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02 o bien accediendo a cualquiera de los siguientes enlaces:

Adaptación protección de datos
Auditoría protección de datos
Revisión textos legales para página web