La aplicación de la ley de cookies europea en España

“Esta página web utiliza cookies”. Este es un mensaje habitual en Internet. Es con él como los administradores de las páginas web cumplen con la obligación legal de informar sobre el almacenamiento de las llamadas cookiesen los equipos de los usuarios cuando consultan un sitio web. Según la Directivade Privacidad y Comunicaciones electrónicas europea ePrivacy, vigente desde 2002, coloquialmente más conocida como “ley de cookies” por ocuparse ante todo de estos miniarchivos, solo se permite su instalación si el usuario ha proporcionado su consentimiento expreso. En la práctica, sin embargo, se han popularizado formas no expresas de consentimiento (opt out) que una primera sentencia del TJUE consideró inválidas, al menos, en el caso de las cookies de seguimiento.

Con la entrada en vigor del nuevo Reglamento de Protección de Datos europeo (RGPD) en mayo de 2018, debía ponerse también en marcha el Reglamento de Privacidad y Comunicaciones electrónicas o Reglamento de ePrivacy, ya que se trata de una concreción del RGPD en lo concerniente al uso de cookies, pero su desarrollo no avanza.El borrador, presentado oficialmente por la UE el 10 de enero de 2017, sigue hoy pendiente de aprobación en el Parlamento Europeo, pese a que su entrada en vigor se esperaba a lo largo de 2020. En la actualidad, la directiva europea de privacidad en Internet o ley de cookies es por el momento la única normativa vigente.

Nota

¿Cuál es la diferencia entre un reglamento y una directiva? Un reglamento es legalmente vinculante para todos los países de la UE desde su puesta en vigor, mientras que una directiva debe ser incorporada en los marcos normativos de cada país.

El TJUE sobre la instalación de cookies

El 1 de octubre de 2019, el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció sobre el consentimiento de los usuarios a la instalación de cookies en su equipo. En realidad, no hizo más que confirmar el Reglamento en vigencia desde mayo de 2018, que establece la obligación de las empresas de informar debidamente al usuario sobre el uso de cookies en su plataforma y recabar su consentimiento expreso antes de instalarlos.

Según esta sentencia del TJUE, el consentimiento “supuesto” por medio de una casilla marcada por defecto no puede considerarse consentimiento expreso. Correcto es, en cambio, informar al usuario de qué cookies van a instalarse, con qué objetivo, a qué terceros se va a dar acceso a esos ficheros y durante cuánto tiempo estarán activas en el equipo, para que, en base a esta información, el usuario decida de forma consciente, activa y explícita, consentir a su instalación. El TJUE no diferencia si estas cookies tienen acceso a datos personales o no, puesto que considera que todos los archivos contenidos en el equipo de un usuario pertenecen a su esfera privada y la normativa comunitaria protege al usuario de toda injerencia en su esfera privada.

El consentimiento del usuario ha de ser, así, activo y voluntario y basarse en una información previa. Esto significa, en primer lugar, que el usuario ha de marcar la casilla por sí mismo (activo); en segundo lugar, que no puede impedirse la navegación si no se aprueba el uso de cookies en el equipo (voluntario), y, por último, que el usuario ha de saber a qué está consintiendo informándole en un lenguaje claro, sin ocultarse tras textos legales indescifrables para el público mayoritario (informado). Con este fallo, la justicia se posiciona al mismo tiempo en contra de los llamados dark patterns que utilizan un diseño web confuso para obligar a los usuarios a llevar a cabo una acción determinada, como puede ser, precisamente, consentir el uso de cookies con fines publicitarios.

Nota

El fallo del tribunal se refiere a las cookies instaladas con fines publicitarios o de marketing. Las cookies técnicas, necesarias para el buen funcionamiento de los sitios web, como las que hacen posible la función de carro de la compra, quedan fuera del ámbito de la ley.

¿Qué son las cookies y para qué sirven?

Las cookies (galletas) son archivos de texto o dispositivos de almacenamiento que el navegador instala en el equipo del usuario cuando visita una página web. Estos archivos almacenan datos sobre la visita como, por ejemplo, los de acceso o autentificación y los ajustes de idioma, que hacen que las próximas visitas sean más cómodas, al no tener que proporcionar esta información cada vez. A este aspecto de utilidad de las cookies se opone la crítica al considerarlas incompatibles con la protección de la privacidad del usuario. Y es que hay muchas cookies que registran determinados aspectos de los hábitos de navegación, de forma que permiten la individualización de la publicidad en los navegadores. En este sentido, son sobre todo las cookies de seguimiento y de segmentación las que más conflictos generan.

Una cookie contiene generalmente indicaciones sobre su propia durabilidad, así como un número generado por azar que sirve para reconocer al ordenador (o dispositivo que se use). El almacenamiento de datos mediante cookies se produce de forma anónima. Solo se almacenan datos personales cuando la página requiere autenticación, y conviene saber que solamente puede leer estos datos el navegador que ha creado la cookie.

Hecho

Los datos almacenados en un archivo de texto solo pueden ser leídos por el servidor web que instaló la cookie.

Ley de cookies de la Unión Europea

La Directiva 2009/136/CE de 25 de noviembre de 2009, fue puesta en marcha por aquel entonces por el Parlamento Europeo con la intención de garantizar y fortalecer la protección de los datos personales de los usuarios, debiendo integrarse en los respecticos marcos legales de los Estados miembro.

La directiva de privacidad electrónica y protección del consumidor prevé que el usuario que visite una página sea informado de una forma clara e inequívoca sobre el uso de cookies y que deba aceptar explícitamente el registro de sus datos personales. La única excepción la constituyen aquellas cookies que técnicamente son necesarias para el funcionamiento de la página, como pueden ser aquellas requeridas para la implementación de un servicio solicitado por el usuario. Estas son, por ejemplo, las cookies de sesión para el ajuste del idioma, los datos de acceso y del carrito de la compra o las de flash para la reproducción de contenidos multimedia.

Todas las demás, es decir, todas aquellas cookies que técnicamente no son necesarias para el funcionamiento de la página web, como las de seguimiento, que se usan en el marco del retargeting, las de análisis o las de redes sociales, requieren la aprobación del usuario. La directiva europea no indica, sin embargo, cómo deben aplicarse estas instrucciones. En especial en los aspectos referentes a la declaración de conformidad por parte de los usuarios, la directiva deja un amplio margen de aplicación a los países.

Contenido de la actual ley de cookies europea

Por medio de la directiva, la Unión Europea brinda una mayor protección a los datos personales de los usuarios de Internet y distingue entre las cookies técnicamente necesarias y las no necesarias:

  1. Cookies técnicamente necesarias: el almacenamiento de datos necesario incluye las cookies que son clave para el funcionamiento de una web. Esto significa, por ejemplo, guardar los datos de inicio de sesión, la cesta de la compra o la selección del idioma mediante las llamadas cookies de sesión (que se borran cuando se cierra el navegador).
  2. Cookies técnicamente no necesarias: como integrantes de este grupo se consideran los archivos de texto que no solo no sirven para la funcionalidad de la página web, sino que recogen otros datos:
  • Cookies de seguimiento
  • Cookies de segmentación
  • Cookies de análisis
  • Cookies de redes sociales

De acuerdo con la directiva de 2009, las cookies necesarias se pueden instalar desde un principio, es decir, sin el consentimiento previo del usuario. En cambio, los visitantes de una página web deben dar su consentimiento antes de que las cookies guarden datos innecesarios. Por lo tanto, la directiva sobre cookies de la UE requiere una solución opt in para las cookies innecesarias.

Esta es la diferencia entre el opt out y el opt in:

  • Opt out: las cookies se instalan desde el principio; los usuarios solo pueden objetar el almacenamiento más tarde.
  • Opt in: las cookies no se instalan desde el principio, sino solo cuando el usuario está de acuerdo con el almacenamiento de datos.
Nota

La sentencia del 1 de octubre de 2019 del TJUE desmantela de facto esta diferenciación, al considerar al opt in obligatorio incluso si no se manejan datos personales. No está claro aún si también será obligatorio en el caso de las cookies técnicas.

Aplicación de la ley de cookies en España

La ley de cookies se encuentra contenida en el Real Decreto-ley 13/2012 de 30 de marzo de 2012, publicado en el BOE el 31 de marzo de 2012 y en vigor desde el 1 de abril del mismo año (es de cumplimiento obligado bajo pena de sanción). Reflejo de la Directiva europea de 2009, este decreto-ley se integra en el artículo 22 de la Ley 34/2002 de 11 de julio de servicios de la sociedad de la información y de comercio electrónico (LSSI) en 2014. En él queda clara la necesidad de contar con la conformidad del usuario respecto al uso de sus datos mediante la instalación en su terminal de dispositivos de almacenamiento, tales como cookies, y la necesidad de avisar al usuario previamente. Solo se excluyen aquellas cookies necesarias para el funcionamiento de la página.

Un año después de la publicación del Decreto-Ley, en 2013, la Agencia Española de Protección de Datos (AEPD) publica la Guía sobre el uso de cookies, la primera en Europa elaborada en conjunto por la autoridad de protección de datos y los representantes de la industria. En noviembre de 2019, la AEPD presenta junto a IAB Spain y las asociaciones Autocontrol, aea y adigital, una segunda versión de la Guía actualizada a la nueva normativa de protección de datos vigente desde mayo de 2018. Con ella se pretende servir de orientación para cumplir con el artículo 22 de la LSSI, con el RGPD y con la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

El documento remarca la obligación del consentimiento informado del usuario antes de instalar los miniarchivos y de la transparencia en la forma de informar sobre su uso, que ha de estar disponible y accesible antes y después de dar o rechazar el consentimiento. En general, el almacenamiento de las cookies no necesarias para la página ha de ser consentido por el usuario de una forma clara e inequívoca tras haberle informado sobre el uso que tienen, qué información almacenan, si se transfieren sus datos a terceros países, si pueden identificar o no al usuario y sobre el periodo de conservación de los datos (para cumplir con el art. 13 del RGPD).

La Guía también aborda la actualización del consentimiento, considerando como buena práctica que tenga una validez de 24 meses para una determinada cookie, plazo durante el cual se mantengan las preferencias del usuario y no se le solicite un nuevo consentimiento cada vez que visite la misma página.

Por último, si bien las cookies técnicas están exentas del ámbito de aplicación del artículo 22.2 de la LSSI y, por lo tanto, no es necesario informar ni obtener el consentimiento sobre su uso, la Guía recomienda informar sobre su uso de todas formas por razones de transparencia. La Agencia recoge el siguiente ejemplo de cláusula informativa: “Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo”.

¿Qué cambiará con el nuevo Reglamento ePrivacy

El nuevo Reglamento de Privacidad y Comunicaciones electrónicas se ocupará de regular la aplicación de dichas instrucciones. El borrador actual prohíbe todas las cookies que no sean técnicamente necesarias, salvo aprobación previa del usuario. En el primer borrador solo se habla de aplicaciones web, pero en la nueva versión de 22 de marzo de 2018 se incluyen todos aquellos tipos de comunicación basada en máquinas, tales como aplicaciones, correo electrónico y la recopilación de metadatos para llamadas VoIP. Además, también se aplica a la comunicación entre dos máquinas, llamada M2M.

El Reglamento de ePrivacy también afectará a los proveedores internacionales de servicios de comunicación, ya que estipula que sus normas se aplicarán a todos los terminales que se encuentren dentro de las fronteras de la UE. En este sentido, es irrelevante dónde tiene lugar el tratamiento de datos de estos servicios.

Por ejemplo, en el caso de EE.UU., la normativa relativa a la protección de datos es mucho menos estricta. Dado que el ámbito de aplicación del reglamento sobre privacidad electrónica se extiende a todos los terminales que accedan a los servicios de comunicación en Europa, las empresas norteamericanas deberán considerar si adaptan sus ofertas para Europa en base a la nueva normativa, limitándose así sus opciones de colocar publicidad segmentada, o si obligan a sus clientes a “pasar por caja”.

El primer borrador de la directiva de privacidad online preveía que el nivel de seguridad de los navegadores estuviera configurado de fábrica en el más elevado, con el cual no se aceptan cookies de terceros. Esto significaría la desaparición de los banners tan usados en la actualidad, ya que los usuarios tendrían que configurar el programa conscientemente para aceptar las cookies. Esta regla se basaba en el principio de “privacidad por diseño” (privacy by design) que en la actualidad ya está integrada en el RGPD, pero que en un nuevo borrador se suavizó, de modo que el usuario tendría que consentir el uso de cookies en cada dominio.

En la normativa también se prohíbe que el uso de un sitio web quede determinado por el consentimiento del usuario al uso de cookies o la falta de él. Pero hay ciertos propósitos legítimos que permiten su almacenamiento. A la hora de verificar a un usuario en la banca online o de usar el carrito de la compra de una tienda electrónica, por ejemplo, son necesarias ciertas cookies. Si se informa a los usuarios de forma transparente sobre su propósito, no habría nada que lo impidiera.

Cookies y protección de datos: ¿qué pasará en el futuro?

Los administradores de sitios web deberán seguir de cerca la evolución de la aplicación de la conocida como ley de cookies, ya que la situación jurídica cambiará definitivamente con el Reglamento de ePrivacy. Aunque todavía no está claro cuán estricto será, este nuevo reglamento contiene más disposiciones acerca de la seguridad de los datos personales de los usuarios. Pero mientras la regulación de la privacidad electrónica no sea todavía legalmente vinculante, las cookies caen dentro de la esfera de los datos personales definidos en el capítulo 1 del RGPD, ya que recolectan datos que hacen al usuario identificable de cualquier manera (número de identificación, perfil de usuario, etc.).

Por favor ten en cuenta el aviso legal relativo a este artículo.

En este video, te enseñamos cómo eliminar las cookies en Chrome:

Para proteger tu privacidad, el vídeo se cargará tras hacer clic.


Porque la unión hace la fuerza. En IONOS
#estamoscontigo
y por eso que queremos ayudarte a seguir impulsando
tu negocio. Diseña la tienda de tus sueños con:

eCommerce
Gratis durante los primeros 3 meses.