COOKIES: ¿LA OPCIÓN DE “SEGUIR NAVENGANDO” ES, REALMENTE, RESPETUOSA CON LA PRIVACIDAD?
Actualmente, hablar de cookies está de moda. Quizás, sea un tema que ya se viene comentando entre los profesionales que están relacionados, de una u otra forma, con el sector online, pero, sin duda, el auge de la protección de datos personales desarrollado a través de las nuevas y estrictas normativas, unido a las últimas sanciones que la AEPD ha impuesto sobre este asunto, han hecho que las cookies estén, nunca mejor dicho, “en boca de todos”.
No obstante, a pesar de la expansión que está experimentando este aspecto (hoy en día, casi todas las webs que utilizan cookies disponen de “pop ups” informativos con los que se encuentran todos los usuarios durante su navegación en internet, a pesar de que, posteriormente, las mismas puedan tener algunas deficiencias jurídicas), es difícil encontrar a una persona media que pueda entender qué son las llamadas cookies. Empecemos, por tanto, por el principio.
Las cookies, conforme se describen en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), así como en la Guía sobre el uso de cookies publicada por la AEPD recientemente, pueden definirse como “…cualquier tipo de dispositivo de almacenamiento y recuperación de datos que se utilice en el equipo terminal de un usuario con la finalidad de almacenar información y recuperar la información ya almacenada…”. Por tanto, no hay duda de que existe un tratamiento de datos de carácter personal relacionado con su finalidad (incluso, del Considerando 30 RGPD parece derivarse que la propia cookie se constituye con un dato personal en sí mismo), y será necesario atender a las obligaciones resultantes de la normativa aplicable. Aunque, si somos honestos, tampoco hay duda de que el potencial comercial de la utilización de las mismas es muy grande, pudiendo configurarse como recursos muy útiles que pueden generar lucro en las empresas. Habrá que “sacar la balanza” para analizar la privacidad y la economía, y adoptar reglas que permitan la convivencia pacífica entre ellas.
En este sentido, entrando ya en la revisión de la normativa y documentación en vigor a nivel nacional en nuestro país y, evidentemente, a la espera del ansiado Reglamento e-Privacy que todavía no ha visto la luz y que se constituirá como una regulación específica, podríamos destacar, con carácter principal, la mencionada LSSI. En esta ley, junto con el apoyo de la legislación en materia de protección de datos, y de todo el conglomerado de soporte, entre el que destaca la reciente Guía sobre el uso de cookies de la AEPD anteriormente mencionada, se contienen las obligaciones que hay que abordar para estar en cumplimiento normativo con esta materia. Son principalmente dos: La transparencia y la recogida de consentimiento.
En relación a la primera obligación de transparencia, conforme comentábamos, es extraño encontrar una página web que no disponga del “pop up” informativo de cookies, aunque puedan existir deficiencias jurídicas adicionales. En seguimiento de la Guía sobre el uso de cookies de la AEPD, la información mínima a transmitir para cumplir con esta obligación será:
- Definición y función genérica
- Información sobre el tipo de cookies utilizadas y su finalidad
- Identificación de quién utiliza las cookies
- Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies
- En su caso, información sobre transferencias internacionales
- Periodo de conservación
- Sobre el resto de información relacionada con el artículo 13 RGPD, es posible aludir a la Política de Privacidad
Además, esta guía expone la manera sobre cómo mostrar dicha información, recomendando que se transmita de forma concisa, sencilla, transparente, inteligible, utilizando un lenguaje claro y permitiendo un fácil acceso a la misma, sugiriendo el modelo de capas como el más adecuado. Es muy ilustradora la lectura de dicha guía, ya que, en la misma, se contienen, además, diferentes ejemplos que dirigen a los obligados al perfecto cumplimiento.
Por otro lado, en relación con la segunda obligación de recogida del consentimiento, la mencionada Guía comienza apuntando varios matices a tener en cuenta para que el consentimiento sea válido, recordando que, en cualquier caso, el consentimiento deberá ser libre e informado. Posteriormente, se muestran distintas modalidades para la obtención del consentimiento citado, señalando como posibles mecanismos, entre otros, la recogida en el momento durante el alta de un servicio, durante el proceso de configuración del funcionamiento de una web, a través de plataformas de gestión del consentimiento o a través del formato de capas. Conforme se puede verificar, las opciones son varias, siendo este último mecanismo “de capas” el más habitual, aunque también, el que mayor polémica genera en alguna de sus posibilidades. Explicamos por qué.
El mecanismo de información y recogida del consentimiento por capas es habitual no sólo en materia de cookies, sino, de forma general, en la recogida de datos personales. No obstante, en lo referente al tema que nos ocupa, la mencionada Guía sobre el uso de cookies de la AEPD contiene varios ejemplos acerca de cómo implementar dicha obligación, dando la posibilidad de disponer de botones de aceptación, rechazo o configuración, o simplemente alertar de que, si se “sigue navegando”, se entenderán autorizadas. Es precisamente sobre esta última posibilidad sobre la que se genera más revuelo una vez que podría incumplir algunas de las condiciones del consentimiento que la propia ley transmite sino se implementa adecuadamente, ya que las anteriores, basadas en recoger el consentimiento de forma expresa y a través de botones, parecen ser muy respetuosas. Veamos la problemática con el desarrollo de la siguiente cuestión, que además, seguro que es la que nos estábamos planteando.
¿Qué se considera “seguir navegando”? Hasta donde alcanza nuestro conocimiento, no existe una definición formal o legal sobre este concepto, pero sí que existen diferentes aproximaciones que nos dan una idea sobre el mismo. Si siguiésemos atendiendo a los materiales que hemos mencionado, conforme se contiene en la Guía sobre el uso de cookies de la AEPD, “seguir navegando”, siempre que se acompañe de la debida información, constituirá un consentimiento cuando se realicen acciones como:
- Utilizar la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de ésta.
- Clicar sobre cualquier enlace contenido en la página distinto del enlace a la segunda capa informativa sobre cookies y del enlace a la política de privacidad.
- En dispositivos como el móvil o la tablet, podrá entenderse que el usuario acepta cuando desliza la pantalla accediendo al contenido.
Ciertamente, son ejemplos claros de lo que podríamos entender por dicho concepto, no obstante, ¿creéis que todos ellos son adecuados, a pesar de qué se refuerce la información?. Y, más concretamente, ¿creéis que teniendo en cuenta que la inmensa mayoría de usuarios que navegan por internet que no saben, ni siquiera, lo que es una cookie, muestran su consentimiento adecuadamente por el simple hecho de acceder a una web y utilizar la barra de desplazamiento, ligeramente, para intentar acceder a los contenidos que buscan, sin haber advertido, en muchos casos, la existencia de información sobre cookies? Transmitimos nuestro punto de vista en las siguientes líneas.
Desde la entrada en vigor del RGPD, como es conocido, el consentimiento no sólo debe ser libre, informado, inequívoco y específico, sino que también debe basarse en una clara acción afirmativa, siendo contrarios a la ley los consentimientos tácitos que sí que se aceptaban con la anterior legislación.
Además, si acudiésemos a otros documentos de soporte, aparte de Guía de la AEPD en aprecio, como, por ejemplo, las Directrices sobre el consentimiento del ya extinto Grupo de Trabajo del Artículo 29, también podríamos obtener conclusiones de qué se considera una recogida adecuada del consentimiento, ya que este documento también contiene diferentes características y ejemplos muy esclarecedores, tanto en el ámbito digital como en el tradicional. Es interesante su lectura, además, porque contiene diferentes supuestos que se adaptan a las nuevas necesidades de la sociedad, proponiendo acciones claras de consentimiento a través de métodos flexibles para cada caso. Y, sin duda, este es el camino a seguir, pero siempre teniendo en cuenta una obligación repetida en todos estos documentos: Reforzar la información que se transmite para que el usuario sepa qué acción le permite mostrar su consentimiento.
Cogiendo ya al “toro por los cuernos”, si hiciéramos un pequeño compendio de toda esta información y, sin ánimo de entrar a discutir si el hecho de seguir navegando se considera una clara acción afirmativa (otro tema que podría generar páginas y páginas), desde nuestro punto de vista podríamos considerar como acciones legítimas que recogen el consentimiento respetuosamente, de entre las destacadas anteriormente en la Guía sobre el uso de cookies de la AEPD y siempre teniendo en cuenta el refuerzo de la información mencionada, las siguientes:
- En dispositivos como el móvil o la tablet, podrá entenderse que el usuario acepta cuando desliza la pantalla accediendo al contenido, siempre que se alerte de esta consecuencia, y sólo se instalen cookies una vez que se desliza la pantalla.
- Clicar sobre cualquier enlace contenido en la página distinto del enlace a la segunda capa informativa sobre cookies y del enlace a la política de privacidad, siempre que se alerte de esta consecuencia, y sólo se instalen cookies una vez que se acceda a otro enlace.
No obstante, no podríamos considerar como una acción respetuosa de recogida de consentimiento, en este ámbito, la siguiente:
- Utilizar la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de ésta.
La razón es que, en la práctica, la configuración de cookies en los equipos terminales, a través de esta opción (y podéis comprobarlo por vosotros mismos), tienen lugar en el momento en el que se accede a la determinada web y se clica, ligeramente, en la barra de desplazamiento, sin haber tenido, ni siquiera, tiempo útil para la consulta de la información al respecto, ni mucho menos, para decidir sobre el consentimiento. Parece objetivo que, esta opción, es contraria a la privacidad, y que nadie podrá justificar que un usuario ha dado su consentimiento, en milésimas de segundo, cuando ni siquiera a podido saber sobré qué lo da.
A pesar de que esta posición es simplemente una opinión jurídica, la misma podría considerarse refrendada por el Grupo de Trabajo del Artículo 29, ya que en las Directrices mencionadas, tratan este caso de forma específica, y comentan, en su Ejemplo 16, que “Desplazarse hacia abajo o navegar por un sitio web no satisface el requisito de una clara acción afirmativa, ya que la advertencia de que seguir moviéndose por un sitio web constituye una manifestación del consentimiento, puede ser difícil de distinguir, o un interesado puede pasarlo por alto cuando se mueve a gran velocidad por un texto extenso, y dicha acción no es lo suficientemente inequívoca.”
En definitiva, aunque pueda derivarse de la reciente Guía sobre el uso de cookies de la AEPD el hecho de que “seguir navegando” puede ser una opción a tener en cuenta en este ámbito, consideramos que la misma podría, en algún caso, romper las características que deben existir en toda recogida de consentimiento en materia de protección de datos personales, pudiendo generar la invalidez de dicho consentimiento o, por lo menos, su recogida poco transparente.
Consultor/Advisor en @govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
