Derecho digital y nuevas tecnologías: el tratamiento de datos de carácter personal a través de las cookies

29 junio 2022

Aceptar o rechazar las "cookies" tiene más consecuencias de las que pensamos. Analizamos su uso, cómo debe ser el consentimiento y cómo gestionar los datos personales.

29 junio 2022

En un mundo en el que Internet permite que el acceso a la información se encuentre globalizado, debemos tomar consciencia de aquellas herramientas que nos permiten mejorar nuestros servicios y las experiencias de los usuarios cuando navegan vía online. A este respecto, nos encontramos con las ignoradas “cookies” que permiten almacenar y recuperar datos personales de los usuarios cuando acceden a un determinado sitio web.

A partir de ahora, en lugar de limitarnos a leer la palabra “cookies” y aceptar o rechazar su instalación, conviene que tengamos en cuenta las consecuencias de hacerlo, y que tenemos derecho a que se nos proporcione la información relativa a las “cookies” utilizadas en el sitio web que visitemos de un modo sencillo, claro, conciso e inteligible, dado que nuestro consentimiento es esencial para que el proceso de instalación se ponga en marcha.

Además, este consentimiento debe ser debidamente informado, otorgado de forma libre y sin condicionantes, y debemos poder retirarlo tan fácil como lo otorgamos. Pero pongámonos en situación con un caso práctico:

Las “cookies y su razón de ser

¿Necesitas información de forma urgente sobre algún tema? ¿Quieres comprar un producto desde casa o simplemente conocer sus ventajas? Acudes al buscador de Internet y visitas una página web que pueda ayudarte. ¿Qué es lo primero que te encuentras? Un mensaje instantáneo en tu pantalla que habla sobre unas “cookies” y un botón que dice “aceptar” o “rechazar”.

Estas “cookies” han recibido desde siempre un tratamiento residual. Incluso después de la llegada a nuestras vidas del Reglamento Europeo de Protección de Datos (RGPD) en mayo de 2016 y de la Ley Orgánica que adaptaba el Reglamento al panorama nacional (LOPDGDD) en diciembre de 2018, las coloquialmente conocidas como “galletas” continuaron desempeñando un papel secundario en la regulación de esta materia.

Sin embargo, estamos hablando de pequeños ficheros que se instalan en los equipos de los usuarios cuando estos acceden a un determinado sitio web. Su función es permitir a los respectivos responsables o titulares de estas webs almacenar información sobre los usuarios, sus hábitos de navegación o sus preferencias, llegando incluso a reconocer a cada usuario cuando visite la web en el futuro.

En definitiva, su misión es llevar a cabo tratamientos de datos de carácter personal y, como herramienta clave para recabar y almacenar este tipo de datos, su uso por parte de los responsables requiere una regulación adecuada.

Así lo entendió nuestra Agencia Española de Protección de Datos (AEPD) quien, en julio de 2020, lanzó una Guía sobre el uso de cookies, en aras de inculcar a los responsables de sitios web el impacto que puede llegar a tener en la privacidad de las personas el uso de “cookies” en sus portales, y de ayudarles a establecer una hoja de ruta para ello, ofreciendo soluciones a la polémica principal en este aspecto: el consentimiento de los usuarios.

¿Qué ocurre cuando aceptamos las “cookies?

Volvamos al supuesto anterior: accedemos a una web y nos aparece el mensaje automático sobre el uso de “cookies”. ¿Qué hacemos? Seamos sinceros, la inmensa mayoría pulsamos sobre el botón de “aceptar” sin apenas leer este mensaje, que no suele ocupar más de dos o tres renglones. Se trata de una consulta rápida y necesitamos la información de forma urgente. Correcto, pero ¿y si os dijera que simplemente por aceptar van a tratar algunos de vuestros datos personales?

En efecto, ese consentimiento otorgado por el usuario, a veces casi de forma inconsciente, permite a los prestadores de servicios obtener y tratar algunos datos que les servirán para ofrecer sus servicios, publicitarlos o incluso mejorarlos, atendiendo a algunas circunstancias, como pueden ser las preferencias de los usuarios que les visitan y que van a ser rastreadas a través de las “cookies”.

Con anterioridad a la entrada en vigor del RGPD, ya existía por supuesto este uso de “cookies” en Internet. Lo que no estaba regulado, o lo estaba de un modo muy difuso, eran las obligaciones de información al respecto, por lo que en muchas ocasiones los usuarios desconocíamos completamente si la web a la que accedíamos utilizaba “cookies” o no.

En el panorama actual, tras seis años del debut oficial del precepto recogido en el artículo 13 RGPD (el deber de información), prácticamente cualquier portal online proporciona determinada información sobre la utilización de «cookies» en la web.

Para dar cumplimiento a los deberes de información exigidos por el RGPD, la LOPDGDD y la AEPD, lo más acertado es, sin duda, el denominado sistema de “doble capa” formado por:

  1. Un mensaje automático informativo sobre la existencia del uso de “cookies” propias o de terceros en la web, su función principal y su responsable, que permita a los usuarios aceptar o rechazar su instalación, y que incluya un link a la segunda capa y
  2. una política en la que aparezca el resto de información recogida en el artículo 13, así como un panel de configuración, a través del cual el usuario pueda aceptar o rechazar las “cookies” de forma granular.

Las “cookies y la concienciación pendiente

Aunque los usuarios cada vez poseen un mayor conocimiento teórico sobre lo que son las “cookies”, la sensación es que debemos insistir para ampliar este conocimiento desde el punto de vista técnico y concienciar a los consumidores sobre las posibles consecuencias de su instalación.

Y, lo más importante, hacerles sabedores de que tienen derecho a conocer las posibles consecuencias de su aceptación o su rechazo, y que debe ser el responsable quien les facilite toda esta información.

Por ello, el objetivo principal de la Guía de “cookies” de la AEPD, es resaltar la importancia de que el consentimiento sea explícito, debidamente informado y libre, así como los requisitos para que lo sea, en concordancia con el artículo 22.2 de la Ley 34/2002, de 11 de julio (LSSI), prohibiendo los denominados “muros de cookies”, sin que pueda negarse el acceso a los contenidos a aquellos usuarios que no acepten las “cookies”.

Asimismo, esta Guía ayuda a los responsables a comprender qué aspectos deben recogerse en la Política de Cookies, y ser facilitados al usuario de un modo conciso, transparente, inteligible, claro, sencillo, y fácilmente accesible, yendo más allá de la mera definición de las “cookies”, sus funciones o los diferentes tipos utilizados en el sitio web, e incluyendo información adicional relativa a los plazos de conservación, la existencia de transferencias internacionales de datos, o la elaboración de perfiles a través de los datos recabados por las “cookies”.

Conviene aclarar que, para aquellas “cookies” cuya única función sea prestar el servicio solicitado por el usuario, o permitir la comunicación entre el usuario y la red, no sería necesario solicitar el consentimiento, aunque la AEPD recomienda informar sobre su uso.

El Grupo de Trabajo del artículo 29 (GT29), por su parte, enumeró en su Dictamen 4/2012 otras “cookies” que no entrarían en el ámbito de aplicación del art. 22.2 LSSI, y cuya instalación no requiere consentimiento. Concretamente, las que tengan por finalidad alguna de las siguientes:

  • Las “cookies” que permitan la “entrada del usuario” al sitio.
  • Las “cookies” que permitan identificar al usuario únicamente mientras no expire su sesión.
  • Las “cookies” de reproductor multimedia mientras no expire su sesión.
  • Las “cookies” de personalización de la interfaz de usuario.
  • Aquellas que sirvan de complemento para intercambiar contenidos sociales, mientras no se cierre la sesión.

Para cualquier otra “cookie” cuya función no aparezca entre las que acabamos de mencionar, existe la obligación de informar y recabar el consentimiento para ello, que debe ser, como ya hemos adelantado, explícito, informado y libre.

Con respecto a las “cookies”, no cabe el consentimiento tácito, por lo que, para ser debidamente otorgado, debe implicar una clara acción afirmativa por parte del usuario, siendo insuficiente la práctica de continuar con la navegación sin aceptar o rechazar su uso.

Además, al facilitar estas opciones de aceptación o rechazo al usuario, se debe permitir tanto hacerlo de un modo global, es decir, aceptarlas o rechazarlas todas a la vez, o hacerlo de forma granular, una por una.

A este respecto, juega un papel fundamental el panel de configuración, en el que deben incluirse todas y cada una de las «cookies» utilizadas, con su función y plazo de conservación y que debe ser facilitado al usuario en la propia Política de Cookies, o a través de un enlace que redirija a su ubicación.

A la hora de aceptar o rechazar las “cookies” de forma granular, la AEPD establece que estas podrán ser agrupadas en función de su finalidad, para evitar el grado máximo de granularidad y el exceso de información.

¿Cómo debe ser el consentimiento de las “cookies?

Tal y como mencionábamos anteriormente, el consentimiento debe ser, además de explícito e informado, completamente libre. En este sentido, no es posible denegar el acceso al contenido de un sitio web a aquellos usuarios que rechacen la instalación de las “cookies”, salvo se haya informado previamente de ello al usuario y se le ofrezca una solución alternativa al consentimiento que le garantice el servicio de un modo equivalente, y siempre que dicho servicio sea ofrecido por el propio editor, nunca por un tercero.

Por otra parte, la duración de este consentimiento no puede ser indefinido, recomendando la AEPD que sea renovado cada dos años, como máximo. Y, por último, pero no menos importante, el consentimiento debe poder ser revocado por el propio usuario en cualquier momento y a través de un sistema igual de sencillo al utilizado para otorgarlo.

La aceptación de las “cookies” cuando accedemos a un sitio web no es, como hemos explicado, una cuestión secundaria, sino una acción muy sencilla, que puede tener consecuencias complicadas y perjudiciales para nuestros datos de carácter personal. Existe, por lo tanto, la necesidad de concienciar, tanto a los responsables, -en el sentido de que deben cumplir sus obligaciones de facilitar al usuario toda la información pertinente relativa al uso de «cookies» y al tratamiento de datos que su instalación implique-, como a los usuarios, -en el sentido de que tienen derecho a que se les proporcione esta información y que deberían prestar más atención y leer las cuestiones relativas al uso de «cookies» en la web, antes de otorgar su consentimiento de forma casi automática. En definitiva, transmitir a los sujetos de Internet la importancia que pueden llegar a tener las “cookies”.

5/5 - (1 voto)

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios