Las cookies, esos pequeños archivos de texto almacenados en nuestros equipos que permiten múltiples funcionalidades relacionadas con el seguimiento e identificación de dispositivos, propició una respuesta del legislador para garantizar que dichos usos se realizaban con el consentimiento del usuario. Es por esta razón que ahora, al acceder a multitud de páginas web, nos aparecen avisos emergentes sobre el uso de cookies en dichas páginas, pidiendo que aceptemos su política de uso.

El problema es que, aunque no se trata ya de una materia nueva, siguen produciéndose multitud de errores en la aplicación de los requisitos que las normas contemplan. Los prestadores de servicios, a veces por desconocimiento propio, o por falta de formación específica de los asesores a que acuden, acaban con avisos legales que no les protegen de sanciones. ¿Cuáles son los aspectos esenciales que debemos tener en cuenta si trabajamos con cookies?

No hay ley de Cookies

Aún a fecha de hoy, cuando se habla de las posibles modificaciones futuras de los requisitos aplicables, se sigue hablando de una Ley de cookies. La realidad es que no existe una norma diferenciada que se encargue de regular este tipo de dispositivos de almacenamiento y recuperación de información en equipos de usuarios. De hecho, la inclusión de esta materia en una norma dedicada a una serie de materias concretas en el caso español puede provocar dudas respecto al ámbito subjetivo que le será de aplicación.

La regulación que coloquialmente algunos llaman «ley de cookies» tiene su origen en la Directiva 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 que, en su Considerando 66 nos indica que

Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario.

Por lo tanto, las previsiones que se tuvieron iban dirigidas a la importancia que para la prestación de un determinado servicio puede tener el almacenar información en un equipo para posteriormente recuperarla. Este tipo de servicios permiten realizar estadísticas y análisis de navegación, gracias a la capacidad de identificación que podemos obtener a partir de estas cookies.

De momento, lo que ya podemos entender es que:

  1. Facilitar la información y permitir el derecho de negativa debe realizarse no solo antes de la obtención de acceso a la información almacenada en el equipo del usuario, sino que este trámite debe ser realizado antes de proceder al almacenamiento de los datos.
  2. Las cookies son utilizadas como un ejemplo de almacenamiento de información con fin legítimo, pero la regulación no se va a limitar exclusivamente a éstas

Ahora bien, dicha funcionalidad va acompañada de una serie de obligaciones que, al menos en teoría, van encaminadas a proteger a los usuarios de un tratamiento de datos que se realiza a partir de información existente en sus equipos.

La norma habla de mecanismos de almacenamiento y acceso a información en equipos de usuarios, que van más allá de las cookies
Esta Directiva modificó, entre otros, el Art. 5.3 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), estableciendo una obligación dirigida a los Estados Miembros de garantizar que se facilitará dicha información, y obligando a que dicho uso conlleve de manera necesaria que se facilite a dicho abonado o usuario información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE y de que el responsable del tratamiento de los datos le ofrezca el derecho de negarse a dicho tratamiento. Por lo tanto, del tenor literal de este artículo, ya podemos extraer que no bastará con una información genérica sobre la existencia de cookies, sino que debe prestarse una especial importancia a la información que se facilita a la persona afectada, y dado que debemos dar la posibilidad de negarse a dicho tratamiento.

Dicho lo anterior, hay un aspecto importante a tener en cuenta, que es el ámbito subjetivo de esta obligación.

¿Quién debe poner el aviso?

A la hora de consultar con un experto en estos temas, resulta importante que éste tenga claro cuáles son las obligaciones que resultan de aplicación en un caso concreto. En particular, y respecto a los avisos de cookies, es importante saber no solo qué poner, sino quién tiene la obligación de facilitar dicha información a sus usuarios.

La transposición al ordenamiento jurídico español se realiza a través de una modificación del art. 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) realizada por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. La redacción del apartado 2 de este artículo, que es el que nos interesa ahora, queda así

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por lo tanto, la normativa española añade un nuevo requisito para que resulte aplicable esta obligación, al introducirla en la LSSI, y referirse expresamente a prestadores de servicios. Este requisito no aparece en la Directiva 2009/136/CE, ni en la Directiva 2002/58/CE que modificó, sino que es fruto de la transposición de estos textos al ordenamiento español a través de su inclusión en la LSSI. Tal y como indica su art. 1

Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

Este ámbito de aplicación lo podemos comparar con el existente en los Privacy and Electronic Communications (EC Directive) Regulations 2003 de Reino Unido

6.—(1) Subject to paragraph (4), a person shall not use an electronic communications network to store information, or to gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met.

(2) The requirements are that the subscriber or user of that terminal equipment—

(a)is provided with clear and comprehensive information about the purposes of the storage of, or access to, that information; and

(b)is given the opportunity to refuse the storage of or access to that information.

Podemos observar que:

  1. En ambos casos se contempla la necesidad de contar con información clara y comprensiva de las finalidades del almacenamiento y acceso a la información, así como la necesidad de poderse negar a los mismos.
  2. Existe una diferencia importante, dado que en este último caso la norma no limita su aplicación a prestadores de servicios, sino que lo amplía a cualquier persona que vaya a utilizar dicho mecanismo.

¿Por qué es importante esta diferencia?

Dado que en el caso español la LSSI establece la obligación de facilitar dicha información a Servicios de la Sociedad de la Información, nos encontramos con que (al menos aparentemente) se limita de manera injustificada el ámbito que la Directiva contemplaba. Para poder entender mejor dicha limitación, debemos analizar qué es un Servicio en el sentido de la LSSI.

El concepto de Servicio ya venía recogido en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información y en la Directiva 98/84/CE del Parlamento Europeo y del Consejo, de 20 de noviembre de 1998, relativa a la protección jurídica de los servicios de acceso condicional o basados en dicho acceso. El considerando 17 de la Directiva sobre Comercio Electrónico se hace eco de qué consideraban servicio de la sociedad de la información

se refiere a cualquier servicio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el almacenamiento de datos, y a petición individual de un receptor de un servicio

El concepto de «prestado normalmente a cambio de una remuneración» proviene de la interpretación del concepto de Servicio realizada por el Tribunal de Justicia Europeo en el marco de los Tratados constitutivos. Dentro de la jurisprudencia de este Tribunal podemos poner como ejemplo la Sentencia del caso Bond van Adverteerders y otros contra el Estado neerlandés , en la cual se analiza, entre otras circunstancias, si la difusión por medio de empresas que se dedican a explotar redes de cables establecidas en un Estado miembro de programas televisados emitidos desde otros Estados miembros y que contienen mensajes publicitarios específicamente destinados al público del Estado de recepción constituye efectivamente prestación de servicios en el sentido de los artículos 59 y 60 del Tratado de las Comunidades Europeas. En lo que respecta al caso que nos interesa, el carácter de la remuneración existente en los servicios del Tratado, la Sentencia hace referencia de forma expresa a que en la actividad objeto del litigio el prestador no recibe una remuneración directa por parte de los beneficiarios, pese a lo cual se sigue observando la existencia de remuneración

Los dos servicios de que se trata también se prestan a cambio de una remuneración en el sentido del artículo 60 del Tratado. Por una parte, las empresas que se dedican a explotar redes de cable cobran los servicios que prestan a las emisoras mediante los cánones que perciben de sus abonados. Poco importa que, por lo general, estas emisoras no paguen por sí mismas a las empresas que se dedican a explotar redes de cable para dicha transmisión. En efecto, el artículo 60 del Tratado no exige que el servicio sea pagado por sus beneficiarios.

De acuerdo con la interpretación del Tribunal, nada impide que se utilice un criterio como el de la obtención de ingresos indirectos por vía de publicidad para apreciar la naturaleza económica que lleva a cabo una determinada página web. Resulta así pacífica la interpretación de que dentro del concepto de servicio de la sociedad de la información quedarán englobadas determinadas actividades que no son remuneradas directamente por los usuarios pero sí revisten carácter económico, como son las analizadas con ocasión de los casos Metropolitan v Google , en el que un tribunal del Reino Unido aceptó el argumento de que Google, el motor de búsqueda, cumplía las condiciones necesarias para ser calificado como un servicio de la sociedad de la información, o el caso Mulvaney & Ors -v- The Sporting Exchange Ltd trading as Betfair , en el que se llegó a la conclusión de que el servicio de chat que ofrecía Betfair constituía un servicio de la sociedad de la información.

as the service provided by Betfair, through its Chatroom, clearly falls within the meaning of “relevant service” as defined by the 2003 Regulations, it follows that Betfair, in providing this service, is a “relevant service provider” and so an “intermediary service provider” within the meaning of the 2003 Regulations. Betfair is, therefore, entitled to the benefits of Regulations 15 and 18 of the 2003 Regulation

El mismo Considerando 18 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)

Los servicios de la sociedad de la información cubren una amplia variedad de actividades económicas que se desarrollan en línea; dichas actividades en particular consisten en la venta de mercancías en línea. Las actividades como la entrega de mercancías en sí misma o la prestación de servicios fuera de la línea no están cubiertas. Los servicios de la sociedad de la información no se limitan únicamente a servicios que dan lugar a la contratación en línea, sino también, en la medida en que representan una actividad económica, son extensivos a servicios no remunerados por sus destinatarios, como aquéllos que consisten en ofrecer información en línea o comunicaciones comerciales, o los que ofrecen instrumentos de búsqueda, acceso y recopilación de datos.

Por lo tanto, y atendiendo al tenor la norma española, aquellos casos en los que la actividad no representa una actividad económica no quedarían sujetos y, por tanto, no quedan obligados por las previsiones de esta norma.

Es posible argumentar que esta inclusión en la LSSI proviene de la interpretación que, en caso de no representar una actividad económica, nos encontraríamos ante el ámbito exclusivo de una actividad personal o doméstica. Ahora bien, también es cierto que pueden existir supuestos que revistan especial dificultad a la hora de determinar si resultan de aplicación estas obligaciones.

Un posible caso serían las páginas web de Administraciones Públicas, con la salvedad de las pertenecientes a aquellos organismos públicos que realicen una actividad económica (que entrarían claramente dentro de la definición de Servicio de la Sociedad de la Información). Resulta llamativo que en la redacción original de la política de cookies del Ministerio de Industria, Energía y Turismo (de agosto de 2013) encontráramos lo siguiente:

El Ministerio de Industria, Energía y Turismo tiene la obligación por el Real Decreto-ley 13/2012 que modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de informar y obtener el consentimiento del ciudadano acerca del uso de las cookies en sus páginas web.

En cambio, si acudimos a la redacción actual de dicho aviso la referencia a dicha obligación desaparece

El Ministerio de Industria, Energía y Turismo informa acerca del uso de las cookies en sus páginas web.

Esto parece dar a entender que las Administraciones (salvo excepciones, como hemos mencionado) quedan fuera del ámbito de aplicación de esta norma. Este criterio es compartido por la Agencia Española de Protección de Datos, pudiendo indicar por su relevancia el Informe 0083/2014, referido al ámbito subjetivo de estas obligaciones.

Se plantea cuál es el ámbito subjetivo de aplicación de este artículo 22.2 LSSI, básicamente cuestionándose si se aplica sólo a los prestadores de servicios de la sociedad de la información o en el ámbito de cualquier servicio de comunicaciones electrónicas que instale cookies

Como hemos indicado anteriormente, la Agencia reconoce que la introducción de dichas obligaciones en la LSSI tiene su importancia

literalmente el art. 22.2 comienza delimitando quiénes serán los obligados por la norma, que podrán utilizar dispositivos de almacenamiento y recuperación de datos, hablando de “los prestadores de servicios”. Se trata, por tanto, de conceptos propios de la LSSI, que cuentan todos ellos con una definición establecida en la propia norma

En este caso concreto, referido a Universidades, de nuevo se analiza la posibilidad de que pueda suponer una actividad económica como requisito para existencia de la obligación

En definitiva, en la práctica, las Universidades en la medida que no realicen actividades económicas por medio de las comunicaciones electrónicas – sirviendo únicamente los sitios web para auxilio en la prestación del servicio público de educación superior – no serán prestadores de servicios de la sociedad de la información, por lo que no serían sujetos obligados por el artículo 22.2 LSSI. Sin embargo, cuando la actividad de una Universidad sí tenga un carácter económico (por ejemplo, la venta de libros o la oferta de títulos propios con sus correspondientes emolumentos), le será aplicable la LSSI.

La Agencia ahonda más en esta cuestión, rechazando absolutamente el criterio (que aún a fecha de hoy algunos intentan sostener) que el mero uso de cookies implica una obligación de información

el mero hecho de utilizar cookies de análisis para realizar un análisis estadístico de las visitas no implica, per se, la consideración de que quien lo realice adquiera la consideración de prestador de servicios de la sociedad de la información. La actividad consistente en el análisis del comportamiento de los usuarios al visitar el sitio web no implica que quien la realice esté desarrollando una actividad económica, y desde luego no se realiza a petición individual del destinatario.

Por lo tanto

  • En España, y de acuerdo con el tenor literal de la norma, solo los prestadores de servicios quedan sujetos a las obligaciones de información que la LSSI contempla
  • El mero uso de cookies no implica de manera automática que nos encontramos ante un prestador de servicios.
  • Tendrá que analizarse si la actividad tiene carácter económico. En caso contrario, no podrán exigirse las previsiones de información respecto a dispositivos de almacenamiento y recuperación de información.

Por lo anterior, debemos desconfiar de aquellos expertos que hablen de obligaciones vinculadas al mero uso de cookies, sin tener en cuenta las características de la persona que las use, y que no tengan en cuenta los requisitos que la norma contempla para que sean aplicables.

¿Cómo debe ser el aviso?

Si analizamos los avisos de cookies que existen en multitud de prestadores de servicios, nos encontramos (por desgracia) con multitud de errores que pueden llevar a comportar una sanción. Actualmente, la mayor parte se centra en un aviso de dos capas, formado por un popup que se muestra al acceder a la página web, y una política de cookies incluída en el aviso legal. El problema aparece cuando observamos que

  • Muchos intentan ser humorísticos, como pueden ser «usamos cookies, y qué?» y similares
  • No contienen la información mínima necesaria (muchas veces simplemente hablan de «usamos cookies para mejorar la experiencia de usuario»)
  • Otros omiten directamente el aviso en primera capa, entendiendo que basta con la política de Cookies.
  • Debe ser previo al almacenamiento o recogida de información. De nada sirve informar al usuario para que dé su consentimiento, si ya hemos almacenado antes en su equipo la información a la que nos referimos.

El Informe 0093/2014 de la Agencia deja claro algunos aspectos. En primer lugar, rechaza que la información previa al consentimiento y facilitada al usuario a través de la mera inclusión de una sección de «Política de cookies» sea válida

Para esta Agencia, el aviso de cookies contenido en la primera capa ha de ser suficientemente visible, es decir aparecer a primera vista y de forma destacada, y no puede entenderse cumplida dicha “primera capa” con la existencia de una política de privacidad, o incluso política de cookies en el sitio web en cuestión. Es decir, no se entiende cumplido un sistema de información por capas en el que la página principal del sitio muestre únicamente una Política de cookies.

Por lo tanto, nos encontramos con que podemos utilizar dos capas (con tal de poder enlazar hacia la parte más extensa de la información desde esta primera capa), pero es importante que aparezca a primera vista y de manera destacada. Es por esta razón que muchos avisos de cookies son considerados molestos por los usuarios, que los aceptan únicamente para que desaparezcan de su ventana del navegador. Podría discutirse la efectividad real de estos avisos, en particular respecto a la información obtenida por el usuario antes de dar su consentimiento, pero ahora mismo dichas obligaciones son plenamente vigentes por criticables que puedan ser.

¿Hay algún requisito para la primera capa?

El mismo informe incluye qué requisitos debe cumplir esta primera capa, que ya fueron mencionados con oportunidad de la Resolución 02990/2013, que fue la primera sanción por tema de cookies. De acuerdo con los criterios de la Agencia, esta primera capa debe incluir

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
  • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
  • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional. Por lo tanto, los avisos que omitan alguno de los requisitos indicados no serán válidos y, por tanto, podrían ser sancionados por no haber obtenido el consentimiento informado que requiere la norma con carácter previo al almacenamiento y recuperación de información.

En resumen, el clásico aviso de «utilizamos cookies para mejorar la experiencia de usuario» (sin añadir nada más al respecto, salvo un enlace a segunda capa) no cumpliría con los requisitos exigidos, y el consentimiento para la instalación de cookies no resultaría válido por no tratarse de un verdadero consentimiento informado.

¿Y la segunda capa?

También existen una serie de requisitos mínimos para la segunda capa, aunque su incumplimiento no es tan generalizado como los existentes para la primera capa:

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
  • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
  • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.

Respecto a la segunda capa en sí, no es necesario crear una sección diferenciada exclusivamente para facilitar información sobre las cookies, pero sí que existen una serie de requisitos para que sea fácilmente identificable

sea identificable, es decir, que indique claramente que contiene información sobre cookies, y que sea accesible, es decir, que pueda consultarse. Desde este punto de vista, es válida tanto una segunda capa denominada “Política de cookies” como una denominada “Política de privacidad y cookies”, con el correspondiente contenido. En la segunda capa, en definitivo, lo esencial no es que conste únicamente la política de cookies, sino que dicha segunda capa sea identificable como tal, de forma que su denominación incluya el término “cookies” u otro equivalente que permita determinar su contenido

Muchas veces se indica como obligatorio el contar con una sección diferenciada para cookies, pero la realidad es que (aunque resulte posible) no es un requisito esencial.

¿Es aplicable a todas las Cookies?

No, igual que existe una limitación al ámbito subjetivo, existen una serie de cookies que se exceptúan de esta obligación de información. En el caso español, esta excepción se encuentra asimismo en el art. 22 LSSI

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

El Grupo de Protección de Datos del Artículo 29 (GT29) hace referencia a las mismas en su Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies. Por lo tanto, y mientras no se utilicen para otros fines adicionales, quedarían exentas las siguientes:

  1. Cookies de entrada del usuario (identificador de sesión) para la duración de una sesión o cookies persistentes limitados a unas horas en ciertos casos.
  2. Cookies de autenticación utilizados para prestar servicios autenticados para la duración de una sesión.
  3. Cookies de seguridad centrados en el usuario que se utilizan para detectar abusos de autenticación para una duración limitada y persistente.
  4. Cookies de sesión de reproductor multimedia, tales como los flash player cookies, para la duración de una sesión.
  5. Cookies de sesión para equilibrar la carga, para la duración de la sesión.
  6. Cookies persistentes de personalización de la interfaz de usuario, para la duración de una sesión (o algo más).
  7. Cookies de terceros para compartir contenidos sociales por los miembros conectados a una red social.

Son asimismo importantes las directrices indicadas por el GT29

  • Es importante considerar lo que es estrictamente necesario desde el punto de vista del usuario, no del prestador de servicios.
  • Un cookie que se utilice para varios fines sólo estará exento del requisito del consentimiento informado si cada fin individual disfruta individualmente de una exención de este tipo.
  • Probablemente, los cookies de origen de sesión estarán exentos del requisito del consentimiento en mucha mayor medida que los cookies de origen persistentes. Ahora bien, el criterio básico para determinar si la exención es aplicable debería ser siempre la finalidad del cookie más que una de sus características técnicas.

Por lo tanto, si eres uno de los sujetos obligados, presta atención al aviso. Si vas a acabar con un texto incompleto, corres el riesgo de ser sancionado. Ahora bien, si únicamente utilizas cookies exentas, o no eres un prestador de servicios de la sociedad de la información, no estás obligado a informar en los términos que he indicado en el presente artículo. Es obligación de tu asesor analizar las características de tu caso concreto antes de dar una respuesta.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.