Desde el año 2012 hemos visto cómo en nuestra navegación diaria por Internet han proliferado los carteles de advertencia de cookies. Para la mayoría de usuarios son una molestia, pero su existencia, lejos de ser voluntaria, viene determinada por las últimas reformas legales en materia de protección de datos. Hoy en Intellectualis nos ocupamos de este tema, que podría parecer ajeno a la propiedad intelectual, pero que no lo es tanto gracias a las nuevas tecnologías. En cualquier caso, el estudio de la normativa de protección de datos, tanto la europea (atención porque viene un nuevo reglamento) como la nacional, puede producir delirio y esquizofrenia ante las enormes garantías ofrecidas al usuario, y las inasumibles obligaciones impuestas a los prestadores de servicios. Una moderada dosis de realismo basta para darse cuenta de que el conjunto de la normativa de protección de datos está condenada al incumplimiento generalizado. Son demasiadas exigencias. El campo de las cookies, pese a todo, resulta más fácil de abordar.
Recientemente se ha publicado el estudio sobre cookies desarrollado a escala europea y en el que ha participado la Agencia Española de Protección de Datos (AGPD). Analizados 478 sitios web, se han identificado unas 16.500 cookies (35 de media por web), de las cuales el 70% son de terceros. La media de caducidad de las cookies está entre uno y dos años. Estos datos se corresponden con páginas de comercio electrónico, medios de comunicación y servicios públicos. Aproximadamente un 30% de las páginas no ofrecen ninguna información sobre las cookies, y en el 40% de los casos la información podría ser mejorada. Esta es la foto fija a comienzos de 2015.
Las cookies no son un fenómeno reciente, ni este blog tiene como objeto sumergirse en profundidades tecnológicas. Para lo que nos ocupa, interesa simplemente indicar que las cookies están definidas en la ley 34/2002, de 11 de julio, sobre servicios de la sociedad de la información, y comercio electrónico., que por otra parte determina también quiénes son exactamente los obligados.
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios
Como se trata de un mecanismo por el que el prestador del servicio puede obtener información sobre la navegación del usuario, es lógico que se requiera su consentimiento previo. Así está recogido en el artículo 22.2 de la citada ley. Pero el otorgamiento del consentimiento tiene unas reglas. En primer lugar, que se haya informado al usuario sobre la utilización de las cookies, especialmente su tratamiento a efectos de protección de datos. En segundo lugar, que el uso de cookies se acepte de manera expresa, cuestión sobre la que la AGPD ya se ha tenido que pronunciar detalladamente a través de una resolución.
INFORMACIÓN
La información sobre las cookies deberá tener en cuenta el usuario de la web sobre la que se instalan, deberá ser clara, y fácilmente accesible. Una de las fórmulas más extendidas es la del faldón en la página de inicio, con un enlace al aviso sobre cookies. La AGPD se ha pronunciado en el sentido de que es posible usar el sistema de doble capa, es decir, una primera advertencia sobre el uso de cookies (bien visible, sea faldón o no) y su información esencial, y el enlace al apartado antes indicado, que a su vez podrá ser independiente o no de la política de privacidad.
CONSENTIMIENTO
Este punto ofrece mayores dificultades, ya que el artículo 22.2 de la LSSI no define en qué forma se ha de otorgar el consentimiento, y especialmente, si cabe darlo de forma pasiva, por ejemplo, ignorando el aviso sobre cookies y continuando con la navegación, o en expresión de la AGPD, infiriéndolo de las acciones del usuario. Las dificultades probatorias pueden ser notables. Aunque tácitamente esté aceptado, normativamente no es una cuestión cerrada, porque la inactividad no puede equivaler a consentimiento. Sobre este punto es interesante acudir al artículo 1.262 del Código Civil, sobre contratos efectuados telemáticamente, en el que se pide que el consentimiento se manifieste. La AGPD exige, en todo caso, alguna acción consciente y positiva del usuario, la información previa, y la posibilidad de negarse a aceptar las cookies. La reforma de 2012 preveía que el consentimiento se pudiera hacer a través de los propios ajustes del navegador; desde el año pasado se pide que dichos ajustes se hagan de manera expresa. La recomendación básica de la Agencia es que el consentimiento se recabe marcando la correspondiente pestaña, de manera que, además, quede el registro de dicha acción.
Por último, conviene señalar que el consentimiento debe poder ser revocable. Para una visión pormenorizada de los tipos que existen, se puede visitar, entre otros, el sitio de la AGPD. Pero realmente lo que importa desde un punto de vista jurídico es la función que cumple la cookie según los criterios legales. Que sea de una clase o de otra da igual. En definitiva, con las cookies sólo podemos esperar tener un empacho de aquí al futuro. Se trata de un tema cada día más importante, y no se puede negar, muy de moda.
Intellectualis 