Innovación Legal
11 junio 2013
Adaptación de la web de los despachos de abogados a la normativa sobre cookies
I La nueva regulación
La última modificación del artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (comúnmente conocida como LSSI), introdujo una serie de cambios con una gran repercusión para los responsables de páginas web, incluidas las webs de despachos de abogados y de profesionales independientes en las que se ofrecen servicios legales. Tales cambios no han estado exentos de polémica, en tanto en cuanto reflejan la incertidumbre del legislador a la hora de mostrar de qué manera debía darse cumplimiento a las obligaciones que dicho artículo parece exigir.
En efecto, antes del 1 de abril de 2012, fecha de la entrada en vigor del artículo 4.3 del Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista (B.O.E. de 31 de marzo de 2012), las páginas web también venían obligadas a informar al usuario de una página web acerca del uso que dicha página hacía de las cookies. Sin embargo, tal exigencia se cumplía fácilmente a través de la inclusión de una serie de información en los términos y condiciones de la propia web (o en su política de privacidad). Sin embargo ahora, la nueva redacción del artículo 22.2 de la LSSI (transponiendo casi literalmente lo dispuesto en la Directiva) dispone lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.
Ha pasado más de un año desde entonces, sin que se tuviera claro cuáles eran las concretas obligaciones a las que debían dar cumplimiento los prestadores de servicios ni cuál debía ser su postura ante la nueva redacción del artículo 22.2 antes transcrito. Tampoco desde la autoridad de control española, en este caso la Agencia Española de Protección de Datos (AEPD), se adoptó una postura oficial al respecto, hasta que el pasado mes de mayo se hizo público un documento, en formato de guía interpretativa, donde se daban a conocer una serie de orientaciones para que las páginas web pudieran cumplir con la obligación de obtener el consentimiento del usuario que les permitiera usar determinadas cookies, como dice la Ley, después de que se les haya facilitado información clara y completa sobre su utilización.
Cabe destacar, dentro de dicha guía, la distinción que se hace entre distintos tipos de cookies a la hora de identificar si los dispositivos que usa nuestra página web quedan sometidos a la obligación de consentimiento informado que se desprende de la LSSI. Así, por ejemplo, según se especifica en la Guía de Cookies, existirían dos grupos de cookies que, por su propia naturaleza y finalidad, quedaría exentas de cumplir las obligaciones de la LSSI, mientras que otras sí quedan expresamente sujetas a la misma. Estos grupos son:
Cookies exentas |
Cookies sujetas |
||
Cookies técnicas |
Cookies de personalización |
Cookies de análisis |
Cookies publicitarias |
Imprescindibles para garantizar la navegación en esa web y el uso de los servicios ofrecidos en ella | Usadas por el usuario para adecuar su sesión a sus necesidades concretas | Cookies que permiten analizar el tráfico de la web y el origen de las conexiones | Cookies dirigidas al envío de publicidad al usuario |
Cookies de identificación de sesión, de recuerdo del pedido del usuario, para compartir contenido en redes sociales, etc. | Cookies de configuración del idioma de la web, cookies de identificación del navegador utilizado, etc. | Cookies de Analytics de Google, de Adobe, etc. | Incluye tanto las cookies publicitarias tradicionales como las cookies de rastreo y segmentación publicitaria con fines de publicidad comportamental |
II. Tipos de cookies en la web del despacho
La gran mayoría de las páginas webs de despachos de abogados españoles (a día de hoy, los 10 mayores bufetes españoles lo hacen) utilizan, como mínimo, alguna modalidad de cookies de análisis (Analytics de Google, Twitter Badge, WebTrends, Coremetrics, Unica u Omniture de Adobe), por lo que –de conformidad con lo que señala la citada Guía- quedarían sometidos a las obligaciones de la citada norma.
A los efectos de poder identificar qué clase de cookies están presentes en nuestra página web y de qué tipo es cada una, se recomienda llevar a cabo una auditoría de la actividad de la web del despacho en relación a este extremo, lo que requiere unos profundos conocimientos técnicos que no siempre tendremos a nuestro alcance. De ahí que podamos hacer uso de algunas herramientas gratuitas que actualmente tenemos a nuestra disposición en el mercado, y que nos permiten identificar con claridad qué tipo de cookies pretende instalar nuestra página web a aquellos usuarios que acceden a la misma. Entre estas herramientas encontramos, de un lado, los servicios de páginas web especializadas que pueden realizar este análisis de un modo sencillo, tales como Evidon o cookieconsent.com.
Además, existen extensiones del navegador que, de un modo sencillo, nos permiten cumplir con esta labor de identificación, a través de la descarga de un plug-in en nuestro navegador, donde destaca ghostery (www.evidon.com), que nos indica qué cookies nos instalan las páginas web a las que accedemos durante nuestra navegación. Igualmente, otras herramientas como donottrackme, deleteme o maskme (disponibles en www.abine.com), o cookieconsent.com o allaboutcookies.org pueden resultar de gran utilidad a estos fines.
III. Obligaciones del despacho
Una vez hayamos identificado que nuestra página web utiliza cookies de análisis o publicitarias, deberemos proceder a dar cumplimiento a las obligaciones de información y obtención del consentimiento del usuario, tal y como vienen exigidas por la LSSI.
a) Obligación de información
En cuanto a la obligación de información, sería preciso –según señala la Guía de Cookies- incluir en la página web un enlace visible titulado “política de cookies” o similar, separado de la política de privacidad y de los términos y condiciones habituales de la página. En cuanto a su formato, se aceptan varias modalidades, si bien se recomienda un enlace destacado en algún apartado del encabezamiento de nuestra web, cuyo acceso siempre esté disponible para el usuario en la home, y también en su primer acceso a la web.
En este nuevo apartado, deberá incluirse, de una manera comprensible para el tipo de usuario medio que acceda a nuestra página (es decir, empleando un lenguaje lo más alejado posible de terminología técnica), información relativa a las cookies (¿qué son y para qué sirven?) y a las características de las cookies que son utilizadas en la página en cuestión (tipo de cookies, si son cookies propias o de terceros, etc.), indicando de manera clara cuál es la finalidad y uso que se están dando a aquellas, así como el procedimiento para revocar el consentimiento y eliminar las cookies que, en su caso, hayan podido ser instaladas en el navegador del visitante al acceder a nuestra página web. Vaya por delante que en relación a este último extremo viene siendo muy utilizado el sistema de “cookie control” que ofrecen determinadas páginas web (pe. http://www.civicuk.com/cookie-law/index).
b) Obligación de obtención del consentimiento explícito del usuario
La segunda gran obligación es la de la obtener el consentimiento del visitante a nuestra página, con carácter previo a la instalación de cookies.
Esta circunstancia nos obliga a paralizar la eventual instalación de las cookies de nuestra página hasta el momento en el que el usuario haya prestado su consentimiento para ello, de manera que el mero acceso de un usuario a la página web de nuestro despacho no debe considerarse actuación suficiente para poder llevar a cabo dicha instalación.
La única manera de proceder legalmente sería la de obtener el consentimiento del usuario que accede a la web, bien a través de una autorización expresa (pe. haciendo click en alguna opción en que se le solicite su consentimiento) o bien explícita (pe. si continúa navegando en nuestra página de algún modo). En caso contario (si no realiza ninguna de esas actividades, o bien se opone expresamente en el caso de que hayamos ofrecido esa opción), no deberíamos instalarle las cookies de análisis o publicitarias que, en su caso, podamos estar utilizando.
Pero, como hemos indicado anteriormente, estamos ante un consentimiento que debe ser informado en todo caso, por lo que debe ir precedido de una información mínima que permita sostener que tal consentimiento ha sido debidamente prestado. Para esto, se plantean varias opciones, las cuales pasan por la inclusión de un aviso visible en la propia página, lo que incluye el supuesto en el que el usuario debiera darse de alta en nuestra página en el momento de acceder (y que en ese momento deba aceptar nuestra política de cookies),
En cuanto al formato y localización de dicho aviso, éste podría consistir en un banner, un cuadro de texto, un pop-up o similar, que el usuario deberá percibir con claridad, por lo que, dependiendo del diseño de nuestro site, habrá que valorar cuál es la mejor manera para garantizar esa visibilidad.
En cuanto a su contenido, dicho aviso deberá informar al usuario de ciertos aspectos, y deberá mantenerse accesible para el usuario hasta que éste realice la acción requerida para la obtención del consentimiento. La información que compone dicho aviso deberá incluir, como mínimo, la siguiente:
– Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan.
– Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web (cookies propias), o también de terceros asociados a él.
– En su caso, advertencia de que si se realiza una determinada acción (pe. haciendo click, scroll down, etc.), se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a la política de cookies (o a otro apartado) en la que se incluya una información más detallada.
La Guía de Cookies ofrece un ejemplo de formato que se considera adecuado a tales fines, y que deberá adaptarse según el caso concreto:
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
IV. Conclusiones
Los despachos de abogados titulares de una página web, en cuando prestadores de servicios de la sociedad de la información, quedan sujetos a la LSSI. Un gran número de despachos de abogados españoles utilizan cookies en sus páginas web, especialmente de análisis, por lo que quedan sujetos a las obligaciones contempladas en el artículo 22.2 de la LSSI. En este sentido, será preciso adaptar la página web, tanto cuando su acceso pueda tener lugar a través de ordenador como a través de terminales móviles (Smartphone, Tablet, etc) y, posiblemente, a través de Smart TV.
El primer ejercicio a emprender será el de identificar y conocer las cookies empleadas, y cuáles son sus características. Llegados a este punto, podremos diseñar la mejor manera para poder dar cumplimiento a las preceptivas obligaciones de información y de obtención de consentimiento informado. En caso contrario, nuestro despacho estará incurriendo en un riesgo de ser sancionado por la Agencia Española de Protección de Datos, sin perjuicio del eventual incumplimiento de las normas colegiales y deontológicas a las que estamos sujetos.
Autor Francisco Pérez Bes, vicepresidente de Enatic