Cookies: lege ferenda de la UE y recomendaciones prácticas

Por Pablo Reinoso Lozano.

Introducción

El contexto jurídico de las sociedades occidentales está afectado por dos fenómenos interinfluyentes: por un lado lo que la doctrina ha venido llamando la sociedad del miedo, y por otro lado la ventana que las tecnologías han abierto a nuestra privacidad.

El “adelantamiento de las barreras de protección”, concepto clásicamente penal, se está reflejando en materia civil también a la hora de proteger a los ciudadanos (interesados, de ahora en adelante) no adelantando una barrera, sino aumentando los requisitos necesarios para que una cesión de la privacidad sea legítima. Podríamos hablar de un reforzamiento de las barreras de protección.

Asimismo, Internet, con la gran cantidad de servicios gratuitos que ofrece, se nutre en gran parte de los datos personales de los interesados que, hasta ahora, eran poco conscientes de ello o del impacto que podía tener en sus vidas.

Las capacidades del Big Data, la elaboración de perfiles, el tratamiento automatizado de datos y su venta y cesión son posibilidades tecnológicas que hacen del interesado, de forma muchas veces involuntaria, objeto de una publicidad constante y personalizada, de un seguimiento desconocido.

En esta línea, la Unión Europea ha venido legislando sin tratar de romper la dinámica del mercado (datos a cambio de servicios), pero igualando las condiciones de las partes, exigiendo la explicitud del consentimiento, la información sobre el destino final de los datos, etc. Son normas de un marcado carácter tuitivo, dentro de la cual sobresale el Reglamento General de Protección de Datos, que junto con el Reglamento ePrivacy es el objeto de este estudio.

En concreto, nos centramos ahora en la actualidad y futuro del régimen jurídico de las cookies que son, probablemente, el mayor negocio y más cotidiano de Internet.

Legislación

Para ello nos centraremos en las siguientes normas comunitarias y nacionales que regulan o vendrán a regular este ámbito.

1. Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico. Como ley especial, prevalece sobre las siguientes.
2. Reglamento 2016/679 General de Protección de Datos.

Reglamento ePrivacy. Debía entrar en vigor con el RGPD pero desde 2017 se encuentra parada su tramitación. Sería la normativa europea que derogaría la directiva cuya transposición dio lugar a la LSSI. Lo tendremos en cuenta a efectos de interpretación.

3. Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. El artículo 22.2 de la LSSI remite a la LOPDP.
4. Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea. Para la materia que nos ocupa sólo resulta interesante en cuanto a lo que prevé para la portabilidad de los datos.

Orientaciones del antiguo GT29 con valor interpretativo:

5. Working Document 02/2013 providing guidance on obtaining consent for cookies
6. Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies

Elementos

Son los elementos centrales sobre los que se construye todo el régimen de la privacidad: consentimiento, información, retirada del consentimiento y dato personal son conceptos cuyo contenido es de vital importancia tener claro si se desea una certera comprensión de este tema.

1. Consentimiento

Todas las normas arriba listadas regulan el consentimiento, pero es la LSSI la que prevalece y remite en el artículo 22.2, sobre el consentimiento, a la LOPDP.

¿Qué establece el LOPDP sobre el consentimiento que afecte a las cookies? La LOPDP únicamente se remite al RGPD para las definiciones.

El consentimiento quedaría definido en el RGPD como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El problema con las cookies girará entorno a que sea específica (para cada cookie, o actividad de las cookies si son polivalentes), informada (no vale con decir “para mejorar tu navegación”), que sea una acción afirmativa (no vale el consentimiento tácito de “si sigues navegando”) y que sea libre (un esfuerzo desproporcionado por seleccionar cuáles o dificultad para entender desvirtuaría la libertad del consentimiento).

1. Libre: las dos cosas que pueden afectar a esto es el esfuerzo desproporcionado (seleccionar o deseleccionar muchas cookies) o la falta de información (debe concurrir, verse junto a la casilla que se tratan datos personales de forma clara). Si no, es un consentimiento viciado.
2. Informado: como decimos, se deberá avisar de que se están tratando datos personales (es el 99% de los casos de cookies) de forma clara, no valiendo expresiones ambiguas. Se puede remitir a más información en una segunda capa. Tiene que ser accesible la información sobre cuánto durará el seguimiento, del mismo modo que nadie firmaría un contrato de duración indeterminada.
3. Específico: el consentimiento tiene que ser específico. Esto no impone legalmente la obligación de fragmentarlo hasta el máximo, pero cuanto más se especifique será un consentimiento más puro que dará menos posibles problemas. Así, se podrán agrupar las cookies en una segunda capa por finalidades, o por finalidades y tercero que las instala, etc; pero siempre haciendo sencilla la elección para no desvirtuar la libertad del consentimiento. La granularidad es algo que deberá valorarse en cada página web.

La especifidad también puede entenderse a efectos del tipo de dato personal tratado, por lo que lo óptimo sería decir qué tipo de dato recaba cada cookie, especialmente si alguna de ellas recaba datos sensibles de carácter personal.

1. Acción afirmativa: y todas las anteriores condiciones deben culminar en una acción, es decir, que no vale el consentimiento tácito, y, a efectos del RGPD, no es convalidable una manifestación tácita anterior a su inicio de aplicación. Aun así, que sea expreso no implica que necesariamente pase por clicar la casilla del “sí”, como veremos en el ejemplo de “Seguir navegando”.

No obstante, no todas las cookies requerirán consentimiento de acuerdo al art. 6 del Reglamento ePrivacy, que distingue entre datos, metadatos, y contenido de comunicaciones electrónicas, sino que las cookies “estrictamente necesarias” para ofrecer el servicio desde el punto de vista técnico no necesitarían el consentimiento.

El grupo de trabajo Art. 29, en su Dictamen 04/2012 sobre la excepción de consentimiento para cookies, aporta varios ejemplos sobre cookies exentas y no exentas que ayudan a entender lo anterior:

1. Las load-balancing cookies, es decir, aquellas que se usan para recabar datos que ayudan a regular, dividir y gestionar la congestión de los servidores.
2. Las cookiesque se usan para customizar la interfaz de usuario (por ejemplo, para indicar el idioma preferido o el formato de contenido)
3. Las cookiesusadas para ubicar ‘la navegación del usuario’ – por ejemplo, contenidos del shopping cart – es posible que constituyan datos personales.

2. Información.

Aunque la información forma parte del consentimiento, también existe como obligación independiente. En este caso nos estamos refiriendo a la disponibilidad de una Política de Cookies accesible, preferiblemente desde la primera capa porque así se entenderá mejor otorgado el consentimiento. Esto se sustenta en el artículo 13 del RGPD, dado que los datos se obtienen del interesado.

Estrictamente, la Política de Cookies debe contener:

1. Identidad y datos de contacto del responsable y DPO en su caso
2. Fines y base del tratamiento
3. Destinatarios o categorías de destinatarios
4. Posible transferencia internacional de datos
5. Plazo de conservación
6. Comunicación de derechos
7. Existencia de decisiones automatizadas

El deber de información es un deber de resultado, por lo que la información, además de accesible, debe ser clara y sencilla y el interesado entender que se están siguiendo y prediciendo sus hábitos de navegación.

3. Datos personales.

Es fundamental entender que cambia el orden de aplicación de las normas según el tipo de datos que recojan las cookies. En abstracto, una cookie estará regulada, en primer lugar, por la LSSI por ser lex specialis, y el RGPD sólo afecta por la remisión al consentimiento. Pero si la cookie recoge datos personales habrá que atenerse a lo dispuesto por el RGPD y la LOPDP en toda su extensión… o no tanto, ya que dato personal, según el considerando 26 y 30 del RGPD, es el que pueda identificar a una persona. Por tanto quizás no haya que “volverse locos” con la exhaustividad de hasta la última cookie, si recoge datos de muy difícil uso para identificación de una persona. Dice literalmente el considerando 26:

Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

Por ejemplo, dos cookies de Google, una que recabe la dirección IP y otra el correo de Google, se debe considerar dato personal porque con ellas acotan mucho la indeterminación del navegante. Pero si una cookie de ABC recaba la IP, y otra de XYZ el idioma de la página, probablemente no se deba considerar que está afectado a la privacidad de la persona.

En resumen, hay que tener en cuenta que las cookies tienen por objetivo recabar datos y generalmente por eso hacen negocio; pero la dispersión de los datos puede defenderse que no supone una cuestión de protección de datos en toda su extensión, tal y como dicen los considerandos, aunque es cierto que este “resquicio legal” para esquivar las garantías que se deben al interesado no parece ni del todo justo ni eficiente.

4. Retirada del consentimiento.

Se puede dar el caso de tener bien estructurada la recepción del consentimiento, cumplido el deber de información y asegurado el tratamiento de datos personales; pero debe ser fácil asimismo, en virtud de los derechos de los interesados, la retirada del consentimiento.

La retirada del consentimiento no se puede identificar con el ejercicio de derechos como el de oposición o bloqueo, sino que es, simplemente, la negativa a que las cookies funcionen en el terminal del interesado y que sigan recabando datos (personales o no); pero no afecta a los datos anteriormente recogidos.

Según Jesús Rubí, la retirada del consentimiento debe ser tan sencilla de hacer como la aceptación. No obstante, no hay ninguna base legal para esto, que es más un consejo que una obligación. Siendo así, debería haber en todo momento en la página web un banner con el botón de “retiro el consentimiento”, aun inmediatamente después de haberlo dado.

Así que, en mi opinión y en línea con los principios de lealtad y transparencia que menciona el RGPD y el GT29, lo importante es que sea posible retirarlo, y de una forma relativamente sencilla.

Posibles fórmulas:

Aquí se plantean las distintas alternativas de forma pragmática y ateniéndose a lo estrictamente legal.

1. Sí/No.

Un banner con el texto de que se van a tratar datos personales y/o se elaboran perfiles si se aceptan las cookies. Dos casillas: sí (se aceptan todas) y no (se rechazan todas).

De ahí, enlace a la segunda capa donde se cumple el art. 13 del RGPD (Política de Cookies) y si se quiere la opción granular de selección.

2. Sí/Escoger.

Un banner con el texto de que se van a tratar datos personales y/o se elaboran perfiles si se aceptan las cookies. Una casilla: sí (se aceptan todas) y escoger (lleva una segunda capa donde sin navegar se puede seleccionar sin esfuerzo desproporcionado y de forma específica por finalidad, tercero, y tipo de dato).

En esa segunda capa lo suyo sería que estuviese asimismo la Política de Cookies.

3. Sí/Escoger/No.

De forma similar a los anteriores, el texto de que se van a tratar datos personales y/o se elaboran perfiles si se aceptan las cookies; y tres casillas: aceptación y denegación (todas) y selección específica en una segunda capa, donde se encuentre también la Política de Cookies preferiblemente.

4. Seguir navegando.

Ateniéndonos al espíritu de la ley, no se debería; ateniéndonos a su texto, se puede defender. Habrá consentimiento válido a efectos del RGPD cuando, concurran los elementos mencionados (libre, informado, específico y activo). Si el banner es claramente visible será informado, si se especifica que clicar un enlace acepta todas será específico, y si es al pinchar (el scroll no se puede considerar acción porque no pretende acceder a más o navegar sino ver en la pantalla material ya descargado) será activo. Evidentemente, quedará en un tema probatorio y esta elusión se prohibirá expresamente igual que se ha prohibido expresamente el consentimiento tácito.

Con una perspectiva de lege ferenda no es recomendable considerar esta opción.

Un banner claramente visible con el texto de que se van a tratar datos personales y/o se elaboran perfiles si se aceptan las cookies, que pinchar un enlace se entenderá como aceptación y que la aceptación será por la totalidad de las cookies y datos tratados.

De ser así, del mismo modo que con un clic fuera del banner se ha entendido que dice que sí, en este caso sería recomendable una link permanente en la navegación donde pueda el interesado “decir que no”.

Resumen:

Hoy por hoy, lo que ha quedado fuera de juego ha sido el “si sigue navegando entendemos consentimiento” y el “recabamos información para que navegue mejor”.

Es cierto que el régimen sancionador un Reglamento tan indeterminado puede dar pie a tremendismo, pero ajustándose a la literalidad de la norma y las interpretaciones del GT29 y el SEPD (ahora CEPD), no parece que las cookies vayan a ser un motivo de guerra como si serán otras novedades del RGPD y la LOPDP como el derecho al olvido expreso en las redes sociales, por ejemplo.

Además, dada la flexibilidad del régimen sancionador de la Autoridad de Control, en caso de incumplimiento lo que es de esperar es una orden o un apercibimiento, medidas inocuas.

En un futuro, probablemente con ePrivacy, habrá que volver a desechar opciones como la cuarta fórmula que hemos indicado, y probablemente surjan aplicaciones o navegadores que respondan por defecto a los formularios de cookies. Aunque ese ya es otro toro.