Aquesta pàgina requereix tenir activat el javascript per a funcionar correctament

Utilizamos cookies propias y de terceros para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación, así como cookies de complemento de redes sociales. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

Cerrar
Noticias › Transformación Digital

Paradigma sobre las cookies. ¿Es posible obtener una visión clara sobre su situación actual?

29/10/2019
En las últimas semanas se han emitido por parte de la AEPD una serie de pronunciamientos que intentan arrojar un halo de seguridad jurídica en la utilización de 'cookies'.
Paradigma sobre las cookies. ¿Es posible obtener una visión clara sobre su situación actual?

Albert Castellanos Rodriguez
Col. 40492

Como punto de partida del presente artículo, podríamos definir la “cookie” como cualquier tipo de archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación.

Las “cookies” se pueden clasificar atendiendo a los siguientes criterios: según la entidad que las gestione (propias o de terceros); según el plazo de tiempo que permanecen activadas (de sesión o persistentes); o según su finalidad (técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental). Si bien una misma “cookie” puede estar incluida en más de una categoría.

Por un lado, en el ámbito europeo, actualmente, su regulación viene recogida principalmente a través de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, respecto de la que en un breve lapso de tiempo, se producirán sendas modificaciones al respecto, que vendrán motivadas esencialmente por: i) la entrada en vigor del futuro Reglamento e-Privacy;  ii) las nuevas obligaciones derivadas de la aplicación efectiva del Reglamento General de Protección de Datos Personales; y iii) los pronunciamientos emitidos por parte del Grupo de Trabajo del Artículo 29 (ahora denominado, European Data Protection Board –en adelante, “EDPB”, bajo sus siglas en inglés), así como por el propio Tribunal de Justicia de la Unión Europea, que el pasado 1 de octubre, en el marco de su Sentencia sobre el Asunto C-673/17, estableció, según literal de la nota de prensa, que: “el Tribunal de Justicia declara que el consentimiento que el usuario de un sitio de Internet debe dar para la colocación de cookies en su equipo terminal y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto de la que el usuario debe retirar la marca si no desea dar su consentimiento. A estos efectos resulta irrelevante que la información almacenada o consultada en el equipo del usuario esté o no constituida por datos personales. En efecto, el Derecho de la Unión persigue proteger al usuario de toda injerencia en su esfera privada, en particular, contra el riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en su equipo sin su conocimiento. El Tribunal de Justicia subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado con fines promocionales no basta para considerar que éste ha dado de manera válida su consentimiento para la colocación de cookies”.

Por otro lado, en el ámbito español, la regulación viene acotada por lo contenido en artículo 22.2 de la LSSICE, principalmente, así como por los diversos pronunciamientos realizados por parte de la Agencia Española de Protección de Datos (en adelante, “AEPD”), que se refieren a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o una tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.

En todo caso, tal y como viene a señalar la propia AEPD, en aquellos casos en los que la instalación y/o utilización de una cookie conlleve el tratamiento de datos personales, los responsables del tratamiento deberán asegurarse del cumplimiento de las exigencias adicionales establecidas por la normativa sobre protección de datos personales, en particular, en relación con los datos especialmente protegidos.

Asimismo, con la finalidad de determinar el alcance de la normativa, es necesario señalar que quedan exceptuadas del cumplimiento de las obligaciones establecidas en el artículo 22.2 de la LSSICE, las cookies utilizadas para alguna de las siguientes finalidades: i) permitir únicamente la comunicación entre el equipo del usuario y la red; ii) estrictamente prestar un servicio expresamente solicitado por el usuario, -también admitido por el Grupo de Trabajo del Artículo 29 en su Dictamen 4/2012-.

Partiendo del contexto descrito con anterioridad, en las últimas semanas por parte de la referida AEPD, se han emitido una serie de pronunciamientos que intentan arrojar un halo de seguridad jurídica por lo que se refiere a la utilización de cookies, entendidas éstas como archivos o ficheros de uso generalizado que permiten almacenar datos en dichos equipos con diferentes finalidades, así como también al uso de cualquier otra tecnología similar utilizada para almacenar información o acceder a información almacenada en el equipo terminal.

Todo ello, a expensas de que se publique por parte del referido organismo de control, la actualización de la guía que sobre el uso de estas tecnologías publicada en su momento en el año 2014. En las próximas líneas, se han sumarizado las novedades más importantes que se han arrojado hasta el momento a través de las resoluciones aludidas:

  • RESOLUCIÓN: R/00431/2019: nos encontramos ante una resolución de archivo de actuaciones, donde únicamente resulta relevante destacar que, la AEPD realiza nuevamente una exposición detallada sobre el contenido del que debe de disponer el mecanismo de información por capas recomendado para dar cumplimento a los deberes de información y transparencia en aquellos supuestos en los que se ha optado por la utilización de cookies y/o tecnologías similares.
  • RESOLUCIÓN: R/00433/2019 y R/00434/2019 tal y como sucede en el anterior supuesto, en ambas resoluciones de apercibimiento emitidas por parte de la AEPD se realiza una pormenorizada explicación sobre el contenido del que debe de disponer el sistema de información por capas. Pero lo relevante de ambas, radica en los siguientes puntos: i) se indica que el sistema de gestión o panel de configuración de las cookies que aparece en la primera capa informativa, deberá de permitir al usuario tres opciones claramente diferenciadas, esto es, un botón para rechazar todas las cookies, otro para habilitarlas, así como poder habilitarlas según su tipología; ii) se recuerda, con carácter adicional, que la información facilitada a través de los navegadores sería complementaria al sistema de información por capas, pero no excluiría en ningún caso la utilización del mismo.
  • RESOLUCIÓN R/00465/2019: nos encontramos ante una resolución de apercibimiento, donde: i) se realiza una clara exposición del mecanismo de información por capas recomendado para informar sobre el uso de las cookies y tecnologías similares, de modo que la segunda capa complemente a la primera; ii) se recuerda la obligatoriedad de que en el supuesto de que se instalen cookies de tercera parte, antes de su correspondiente instalación, se solicite el consentimiento informado por parte del afectado, dándole a éste la oportunidad de conocer la información contenida en el sitio sobre el uso de cookies y la posibilidad de rechazar o aceptar su utilización mediante una acción libre, específica, informada e inequívoca; iii) adicionalmente, también se indica que la información ofrecida para bloquear o eliminar las cookies a través de las herramientas de configuración proporcionadas por los principales navegadores resulta insuficiente a los efectos pretendidos de permitir al usuario configurar sus preferencias en forma granular; iv) se establece la posibilidad de ofrecer un botón o mecanismo que permita rechazar el consentimiento respecto de la instalación con la misma facilidad con la que se posibilita el consentimiento a su instalación, debiendo ofrecerse al usuario o la modalidad de “Seguir navegando” o el mecanismo de “Aceptar” cookies.
  • RESOLUCIÓN: R/00499/2019: en el último pronunciamiento analizado, nos encontramos ante una resolución de terminación del procedimiento por pago voluntario donde se acuerda la imposición de un sumatorio total de sanción que asciende a los 30.000€ para el sujeto infractor. Lo relevante de la misma radica en la reflexión que se reproduce en la misma, mediante el siguiente tenor literal: “En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.”

Sin perjuicio de todo lo anterior, y como se ha expuesto al inicio, quedamos expectantes sobre la nueva actualización de la guía de cookies que deberá de publicarse en un breve lapso de tiempo por parte de la AEPD, máxime, si tenemos en cuenta, que otras autoridades de control del contexto europeo ya han emitido sus pronunciamientos al respecto. Todo ello, sin tener en cuenta las consideraciones que puedan acontecerse con la aprobación del futuro Reglamento e-Privacy, cuya versión final del texto aún no está claramente definida.

Contactos