La aplicación de la ley de cookies europea en España

El 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció sobre el consentimiento de los usuarios a la instalación de cookies en su equipo. En realidad, no hizo más que confirmar el Reglamento en vigencia desde mayo de 2018, que establece la obligación de las empresas de informar debidamente al usuario sobre el uso de cookies en su plataforma y recabar su consentimiento expreso antes de instalarlos.

Según esta sentencia del TJUE, el consentimiento “supuesto” por medio de una casilla marcada por defecto no puede considerarse consentimiento expreso. Correcto es, en cambio, informar al usuario de qué cookies van a instalarse, con qué objetivo, a qué terceros se va a dar acceso a esos ficheros y durante cuánto tiempo estarán activas en el equipo, para que, en base a esta información, el usuario decida de forma consciente, activa y explícita consentir a su instalación. El TJUE no diferencia si estas cookies tienen acceso a datos personales o no, puesto que considera que todos los archivos contenidos en el equipo de un usuario pertenecen a su esfera privada y la normativa comunitaria protege al usuario de toda injerencia en su esfera privada.

El consentimiento del usuario ha de ser, así, activo y voluntario y basarse en una información previa. Esto significa, en primer lugar, que el usuario ha de marcar la casilla por sí mismo (activo); en segundo lugar, que no puede impedirse la navegación si no se aprueba el uso de cookies en el equipo (voluntario), y, por último, que el usuario ha de saber qué está consintiendo. Esto se consigue ofreciendo información en un lenguaje claro, sin ocultarse tras textos legales indescifrables para el público mayoritario (informado). Con este fallo, la justicia se posiciona al mismo tiempo en contra de los llamados dark patterns que utilizan un diseño web confuso para obligar a los usuarios a llevar a cabo una acción determinada, como puede ser, precisamente, consentir el uso de cookies con fines publicitarios.

Las cookies son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página web. Estos archivos almacenan datos sobre la visita como, por ejemplo, los de acceso o autentificación y los ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez. A este aspecto de utilidad de las cookies se opone la crítica al considerarlas incompatibles con la protección de la privacidad del usuario. Y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.

Una cookie contiene generalmente indicaciones sobre su propia durabilidad, así como un número generado por azar que sirve para reconocer al ordenador (o dispositivo que se use). El almacenamiento de datos mediante cookies se produce de forma anónima. Solo se almacenan datos personales cuando la página requiere autenticación, y conviene saber que solamente puede leer estos datos el navegador que ha creado la cookie.

La Directiva 2009/136/CE de 25 de noviembre de 2009, dictada en 2009 y prevista su adopción por los Estados miembro para 2011, fue puesta en marcha por aquel entonces por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo integrarse en los respectivos marcos legales de los Estados miembro.

La Directiva de privacidad electrónica y protección del consumidor prevé que el usuario que visite una página sea informado de una forma clara e inequívoca sobre el uso de cookies. Esto puede hacerse mediante una política de cookies o incluirse en la política de privacidad o en el aviso legal. Además, el usuario debe aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que desde un punto de vista técnico son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.

Todas las demás, es decir, todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las de seguimiento, que se usan en el marco del retargeting, las de análisis o las de redes sociales, requieren la aprobación del usuario. La directiva europea no indica, sin embargo, cómo deben aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios, la directiva deja un amplio margen de aplicación a los países.

Por medio de la directiva, la Unión Europea brinda una mayor protección a los datos personales de los usuarios de Internet y distingue entre las cookies técnicamente necesarias y las no necesarias:

1. Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son clave para el funcionamiento de una web. Esto significa, por ejemplo, guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión (que se borran cuando se cierra el navegador).
2. Cookies técnicamente no necesarias: como integrantes de este grupo se consideran los archivos de texto que no solo no sirven para la funcionalidad de la página web, sino que recogen otros datos:

• Cookies de seguimiento, que recogen datos sobre los usuarios como, por ejemplo, su ubicación
• Cookies de segmentación, que adaptan los anuncios a los usuarios de Internet
• Cookies de análisis, que aportan información sobre el comportamiento de los usuarios en la web
• Cookies de redes sociales, que vinculan una web con plataformas como Facebook, Twitter, etc.

De acuerdo con la directiva de 2009, las cookies necesarias se pueden instalar desde un principio, es decir, sin el consentimiento previo del usuario. En cambio, los visitantes de una página web deben dar su consentimiento antes de que las cookies guarden datos innecesarios. Por lo tanto, la directiva sobre cookies de la UE requiere una solución opt in para las cookies innecesarias.

Esta es la diferencia entre el opt out y el opt in:

• Opt out: las cookies se instalan desde el principio; los usuarios solo pueden objetar el almacenamiento más tarde.
• Opt in: las cookies no se instalan desde el principio, sino solo cuando el usuario está de acuerdo con el almacenamiento de datos.

La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en el artículo 22 de la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico (LSSI) en 2014. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos mediante la instalación en su terminal de dispositivos de almacenamiento, tales como cookies, y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.

Un año después de la publicación del Decreto-Ley, en 2013, la Agencia Española de Protección de Datos (AEPD) publica la Guía sobre el uso de cookies, la primera en Europa elaborada en conjunto por la autoridad de protección de datos y los representantes de la industria. En julio de 2020, la AEPD publica junto a IAB Spain y las asociaciones Autocontrol, anunciates y adigital, otra versión de la Guía para presentar las Directrices sobre consentimiento que el Comité Europeo de Protección de Datos (CEPD) había modificado en mayo de ese mismo año. Además, esta guía pretende servir de orientación para el correcto cumplimiento del artículo 22 de la LSSI, del RGPD y de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

El documento remarca la obligación del consentimiento informado del usuario antes de que se produzca la instalación de los miniarchivos. Asimismo, presenta el rechazo del CEPD al uso del botón “seguir navegando” y puntualiza el empleo de los “muros de cookies”.

Este documento también hace hincapié en la transparencia a la hora de informar sobre el uso de las cookies, que ha de estar disponible y accesible. En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario de una forma clara e inequívoca tras haberle informado sobre el uso que tienen, qué información almacenan, si se transfieren sus datos a terceros, si pueden identificar o no al usuario y sobre el periodo de conservación de los datos (para cumplir con el art. 13 del RGPD).

La Guía también aborda la actualización del consentimiento, considerando como buena práctica que tenga una validez de 24 meses para una determinada cookie, plazo durante el cual se mantengan las preferencias del usuario y no se le solicite un nuevo consentimiento cada vez que visite la misma página.

Por último, si bien las cookies técnicas están exentas del ámbito de aplicación del artículo 22.2 de la LSSI y, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso, la Guía recomienda informar sobre su uso de todas formas por razones de transparencia. La Agencia recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.

Según el mandato del Consejo, el reglamento ePrivacy abarcará tanto contenido como metadatos de comunicaciones electrónicas que se producen “mediante servicios y redes accesibles al público”. Además, también se aplica a la comunicación entre dos máquinas transmitida por una red pública.

El Reglamento de ePrivacy también afectará a los proveedores internacionales de servicios de comunicación, ya que estipula que sus normas se aplicarán a todos los terminales que se encuentren dentro de las fronteras de la UE. En este sentido, es irrelevante dónde tiene lugar el tratamiento de datos de estos servicios.

Por ejemplo, en el caso de EE.UU., la normativa relativa a la protección de datos es mucho menos estricta. Dado que el ámbito de aplicación del reglamento sobre privacidad electrónica se extiende a todos los terminales que accedan a los servicios de comunicación en Europa, las empresas norteamericanas deberán considerar si adaptan sus ofertas para Europa siguiendo la nueva normativa, lo que limitaría sus opciones de colocar publicidad segmentada, o si obligan a sus clientes a “pasar por caja”.

El primer borrador de la directiva de privacidad online preveía que el nivel de seguridad de los navegadores estuviera configurado de fábrica en el más elevado, con el cual no se aceptan cookies de terceros. Esto significaría la desaparición de los banners tan usados en la actualidad, ya que los usuarios tendrían que configurar el programa conscientemente para aceptar las cookies. Esta regla se basaba en el principio de “privacidad por diseño” (privacy by design) que en la actualidad ya está integrada en el RGPD. Además, para evitar la fatiga de las cookies, en el Mandato del Consejo se propone la posibilidad de usar listas blancas que incluyen los proveedores admitidos por el usuario.

En la normativa también se prohíbe que el uso de un sitio web quede determinado por el consentimiento del usuario al uso de cookies o la falta de él. Pero hay ciertos propósitos legítimos que permiten su almacenamiento. A la hora de verificar a un usuario en la banca online o de usar el carrito de la compra de una tienda electrónica, por ejemplo, son necesarias ciertas cookies. Si se informa a los usuarios de forma transparente sobre su propósito, no habría nada que lo impidiera.

Los administradores de sitios web deberán seguir de cerca la evolución de la aplicación de la conocida como ley de cookies, ya que la situación jurídica cambiará definitivamente con el Reglamento de ePrivacy. Aunque todavía no está claro cuán estricto será, este nuevo reglamento contiene más disposiciones acerca de la seguridad de los datos personales de los usuarios. Pero mientras la regulación de la privacidad electrónica no sea todavía legalmente vinculante, las cookies caen dentro de la esfera de los datos personales definidos en el capítulo 1 del RGPD, ya que recolectan datos que hacen al usuario identificable de cualquier manera (número de identificación, perfil de usuario, etc.).

En este video, te enseñamos cómo eliminar las cookies en Chrome: