Supercookies y Cookies: que no sea una cookie no significa que no haya que informar

Cookies y supercookies son dispositivos de almacenamiento y recuperación de datos en equipos terminales del destinatario. Es obligatorio informar y recabar el consentimiento.

Fue en junio de 1994 cuando Lou Montulli tuvo la idea de utilizar las cookies en las comunicaciones web. Por aquel entonces, el empleado de Netscape Communications estaba trabajando en el desarrollo de una aplicación de comercio electrónico. Su cliente no quería que se almacenasen en su servidor datos referentes a transacciones parciales, es decir, el carrito de la compra. Lou Montulli tuvo entonces la idea de utilizar cookies para este propósito.

Poco después, la versión 0.9Beta del navegador de Netscape, publicada el 13 de octubre de 1994, soportaba el uso de cookies. Internet Explorer integró en su versión 2, publicada en octubre de 1995 el uso de cookies. En 1997 ya existían empresas de publicidad que usaban cookies de terceros.

Pese a que las cookies aparecieron hace más de dos décadas, su conocimiento por el público general es relativamente reciente. El uso masivo por parte de los operadores para rastrear al usuario y elaborar perfiles de sus hábitos de navegación y de compra con el objetivo de mostrar publicidad dirigida, provocó que en 2009 el Parlamento Europeo tomase cartas en el asunto aprobando la Directiva 2009/136/CE que modificaba la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, obligando a los estados miembros a trasponer (reflejar el contenido de la Directiva en una ley nacional) la primera en el ordenamiento nacional antes del 25 de mayo de 2011.

Tras ello, el legislador introdujo las modificaciones pertinentes en el artículo 22 de nuestra Ley 34/2002 de servicios de la sociedad de la información de comercio electrónico (en adelante, la “LSSI”).A partir del 1 de abril de 2012 es obligatorio informar y recabar el consentimiento para el uso de cookies.

¿Qué es una cookie?

Una cookie no es otra cosa que un pequeño archivo de texto donde se almacena determinada información. Los navegadores web tienen la capacidad de leer la información contenida en estos archivos y enviar su contenido a una página web cuando ésta lo solicite.

Del mismo modo, los navegadores tienen la capacidad de escribir información en estos archivos cuando una página web lo indique. Podríamos decir, siguiendo la definición legal, que una cookie es un dispositivo de almacenamiento y recuperación de datos en equipos terminales del destinatario.

Obligación de informar y recabar el consentimiento

Nuestra legislación es clara. El artículo 22.2 de la LSSI establece que “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.”

Es por ello que, de acuerdo con las recomendaciones recogidas en la guía sobre el uso de las cookies editada por la Agencia Española de Protección de Datos, Adigital, Autocontrol e IAB, se adopta el modelo actual de información y consentimiento dispuesto en dos capas.

¿Es obligatorio informar y recabar el consentimiento en todos los casos?

No. Están exceptuadas de la obligación de informar las cookies:

a. Usadas al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas.

b. Estrictamente necesarias a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente por el abonado o el usuario.

Otros dispositivos de almacenamiento y recuperación de datos. Supercookies

Desde 2012 el imparable avance tecnológico también ha afectado al ecosistema de las cookies.

Los usuarios, cada vez más conscientes de los riesgos que representa para su privacidad el uso de cookies, han comenzado a bloquear la instalación de determinadas cookies, y prolifera el uso de los llamados bloqueadores de publicidad. Ante esto, asistimos al desarrollo de otras técnicas de almacenamiento y recuperación de datos en el lado del interesado, a fin de evitar el bloqueo al uso de cookies por parte de los usuarios.

A continuación, exponemos algunas de las técnicas más utilizadas:

  1. Flash cookies y local shared objects:Aprovechando que un gran número de terminales de usuario dispone del complemento de reproducción de vídeo de Adobe Flash, un sitio web que utilice esta tecnología podría almacenar y recuperar información del mismo modo que si de una cookie se tratase, incluso en equipos en los que se hubiese deshabilitado el uso de cookies.No obstante, la efectividad de este sistema se ha visto reducida desde la aplicación del estándar HTML5 a la web, ya que éste permite la reproducción de vídeo sin necesidad de ningún complemento externo. A través del siguiente enlace, puede comprobar el funcionamiento de esta tecnología y si su navegador tiene el plugin Adobe Flashplayer instalado.
  2. Etags y enriquecimiento de cabeceras:Etag (etiquetas de entidad) es parte del protocolo HTTP. Se trata de uno de los mecanismos que HTTP utiliza para la validación del caché web. Por ejemplo, si hemos visitado una web con una imagen y dicha imagen no ha cambiado, no se vuelve a “descargar” esta imagen en el navegador del usuario, sino que el usuario verá la versión de la imagen almacenada en el cache de su navegador.Cuando las imágenes difieran, será cuando se produzca la descarga de la nueva imagen. Esto permite optimizar el ancho de banda y realizar peticiones condicionales de contenido. No obstante, mediante el uso de estas técnicas también se puede obtener un identificador del navegador del usuario.
  3. Canvas fingerprinting: Desde la llegada del estándar HTML5 y su soporte por los principales navegadores, existe la posibilidad de aprovechar las capacidades de esta tecnología para identificar el navegador del usuario.En concreto, esta técnica se aprovecha de la capacidad de HTML5 para “dibujar” texto en el navegador.Dado que cada sistema es diferente, la imagen presentará sutiles diferencias que permitirán obtener un identificador muy preciso.Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
  4. Detección de fuentes:Dada la capacidad de muchos sistemas para ser personalizados, las fuentes que pueda tener cada equipo variarán sensiblemente de un equipo a otro. Del mismo modo, dadas las diferencias de cada equipo, las medidas (inapreciables para el ojo humano) entre caracteres y el espacio que ocupa un determinado texto pueden servir para obtener un identificador único de un navegador. Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
  5. Caché del navegador: Como su propio nombre indica, esta técnica consiste en almacenar datos directamente en el cache del navegador. Puede comprobar el funcionamiento de esta tecnología a través del siguiente enlace.
  6. Web GL: Esta técnica consiste en representar una determinada figura en 3D dentro del navegador. Dadas las diferentes configuraciones de hardware de cada equipo, la forma de representar la mencionada figura variará, de tal forma que sería posible obtener una identificación única de un equipo. A través del siguiente enlace puede comprobar el funcionamiento de esta tecnología.

Combinación de varias técnicas

Zombie cookies

Pese a que, a priori, se trata de una cookie corriente, este tipo de cookies tienen la particularidad de que a pesar de que el usuario las elimine de su equipo, éstas reaparecerán. Esto se consigue utilizando un servidor externo que compara las cookies del navegador del usuario con las que envió el sitio.

Para ello, se guarda la cookie utilizando un gran número de técnicas, como almacenamiento local, flash cookies o local shared objects, caché, etc. Evercookie ha sido utilizado, además, por la NSA para tratar de acabar con el anonimato de determinados usuarios de la red TOR. A través del siguiente enlace, puede comprobar el funcionamiento de esta tecnología.

Beaverbird y Fingerprintjs2

Beaverbird y Fingerprintjs2 son dos librerías que permiten obtener una identificación única del navegador del usuario combinando varias técnicas de identificación como las que hemos mencionado. Puede comprobar su funcionamiento a través de los siguientes enlaces:

Posición de la Agencia Española de Protección de Datos

Precisamente por la novedad de estas técnicas, existen relativamente pocas resoluciones de la AEPD sobre el uso de estas técnicas. No obstante, encontramos la resolución R/01753/2016 en la que la AEPD sanciona a Telefónica con 50.000 € por el uso de Etags para identificar a los usuarios que utilizaban su página web.

Del mismo modo, encontramos resoluciones por el uso de flash cookies, como la resolución R/01761/2014 en la que la empresa resultó apercibida por incumplir lo dispuesto en el artículo 22 de la LSSI.

Y es que, a pesar de no ser cookies en el sentido estricto, son dispositivos de almacenamiento y recuperación de datos y, por tanto, a menos que se encuentren exceptuados en base a los criterios que hemos expuesto, será obligatorio informar y contar con el consentimiento del usuario.

¿Y qué ocurrirá con la aplicación del nuevo Reglamento General de Protección de Datos?

Con la aplicación del nuevo Reglamento Europeo de Protección de Datos, a partir del próximo 25 de mayo de 2018, seguirá siendo obligatorio informar, y en su caso, recabar el consentimiento para el uso de dispositivos de almacenamiento y recuperación de datos.

No obstante, hasta que no se apruebe el nuevo Reglamento de e-privacy, no conoceremos con certeza los detalles. El uso de dispositivos de almacenamiento y recuperación de datos en una web no es un asunto baladí. No hacerlo respetando los derechos de los interesados puede conducir a importantes sanciones.

En H&a estamos encantados de ayudar a tu empresa a cumplir con la normativa y evitar eventuales sanciones.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Victor Méndez

Abogado.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios