Archivo de la etiqueta: cookies

La directiva europea sobre cookies y su aplicación en España

Desde hace un año aproximadamente, hemos visto cómo Internet se ha ido llenando de popups solicitando el consentimiento para el almacenamiento de cookies. Son, en su mayoría, pequeñas molestias que casi todos los usuarios ignoran porque no las entienden, pero son necesarias para cumplir la legislación vigente.

Empecemos analizando la propia legislación. En el año 2009 la Unión Europea publicó la Directiva 2009/136/CE, en la que se especifica en su punto 66, que:

Puede que haya terceros que deseen almacenar informa­ción sobre el equipo de un usuario o acceder a informa­ción ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aque­llos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el dere­cho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar infor­mación y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legí­timo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea téc­nicamente posible y eficaz, de conformidad con las dispo­siciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La apli­cación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales.

En marzo de 2012, el Real Decreto 13/2012 modificó el artículo 22.2 de la Ley de la Sociedad de Servicios de la Información (LSSICE) para adecuarse a la directiva europea, y lo dejó con la siguiente redacción:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Aún cuando no se habla de cookies, la definición que da el texto las engloba sin lugar a dudas. Pero con una redacción tan técnica y, al mismo tiempo, tan poco concreta, cuesta imaginar cómo hemos llegado a la situación actual.

La respuesta la encontramos en la Guía sobre el uso de las cookies, publicada por la Agencia Española de Protección de Datos en abril de 2013. En ella, se detalla a partir de la redacción de la ley de qué se debe informar, cuándo y cómo.

Guía sobre el uso de las cookies

Siendo la Agencia Española de Protección de Datos un organismo con competencias para emitir sanciones administrativas con respecto al incumplimiento de la LSSICE, y sobretodo después de que en agosto de 2013 emitieran una primera sanción ejemplar, la gente empezó a preocuparse por seguir las directrices de dicha guía, muchas veces de forma apresurada.

En la guía, de 25 páginas, se establece un procedimiento para informar sobre el uso de cookies de forma adecuada y razonable, mediante lo que denominan capas: una primera que sería el famoso popup, y una segunda que sería una página con una explicación más pormenorizada. Ese es el modelo que siguen prácticamente la totalidad de las páginas web.

En realidad, no todas las cookies están sujetas a esta ley y la AEPD ha definido cuáles quedan exentas exactamente: Cookies de «entrada del usuario», de autenticación o identificación de usuario (únicamente de sesión), de seguridad del usuario, de sesión de reproductor multimedia, de sesión para equilibrar la carga, de personalización de la interfaz de usuario y de plugin para intercambiar contenidos sociales. Algunos nombres son un poco raros, pero se definen en el documento. Quedarían exentas pues, cookies donde se almacena el idioma y otras preferencias de navegación, o cookies donde se almacene un token de sesión.

Normalmente las páginas web incluyen contenido de terceros que sí crean cookies, como botones de redes sociales o reproductores multimedia (YouTube). En ese caso, es necesario informar del uso que esos terceros hacen de las cookies, aún cuando no se tiene el control sobre los posibles cambios que hagan estos terceros en sus políticas de privacidad. Por ello, la guía propone lo siguiente:

Cuando se instalen cookies de terceros se deberían incluir en los contratos que se celebren entre los editores y los terceros, una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de cual se pueda obtener un consentimiento válido para la utilización de las cookies.

Es decir, las redes sociales, Google y demás proveedores de estos contenidos que crean cookies deberían incluir en sus términos de uso una aclaración sobre el uso de estas cookies, que sea inmutable o que notifique si cambia algo en la política de privacidad respecto a las cookies.

Es entendible el objetivo de la ley: proteger los datos personales de los usuarios, intentando evitar que, mediante el uso de cookies, se hagan cosas como rastrear comportamientos sin el consentimiento expreso. Sin embargo, esta ley y la correspondiente guía de la AEPD fallan, porque:

  1. No limitan ni aclaran cómo informar correctamente y de forma asumible y eficaz el uso de cookies por parte de terceros para rastrear comportamientos, el gran (¿y único?) problema de las cookies.
  2. Los mecanismos creados para informar al usuario son ineficaces, porque aún suponiendo que sea de su interés, los usuarios no entienden el mensaje y se presenta de forma molesta.

Dice la ley, tomándolo prestado de la directiva europea, que «cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones». De hecho los navegadores pueden informar sobre la creación de cookies, pero este mecanismo no permite cumplir los requisitos de la ley, porque no se puede incluir junto con las cookies toda la información que la ley requiere.

Sin embargo, debería ser este el camino a seguir: extender el mecanismo de creación de cookies de forma que se permita incluir información adicional sobre qué contiene la cookie y para qué se utiliza. De esta forma, sería el navegador el encargado de interpretar esta información y mostrar al usuario lo que está ocurriendo realmente, si es que quiere verlo.

Quizás, algún día, los navegadores mejoren estos mecanismos y los adopten, pero mientras tanto hay que aguantarse.