Las cookies han dado mucho que hablar en los últimos tiempos, existiendo diversidad de interpretaciones en cuanto a los requerimientos exigidos para el cumplimiento normativo de su implantación. Era tal la inseguridad jurídica tanto de los sujetos que las utilizaban, como los técnicos que las implementaban, los juristas que asesoraban sobre la materia y los usuarios que las instalaban, que han sido muchas las voces que se han alzado solicitando respuestas concretas a esta cuestión. Hasta el momento, la regulación vigente en materia de cookies se recogía, únicamente, en el artículo 22.2 de la Ley 34/2002 modificado por el Real Decreto-Ley 13/2012, de 30 de marzo, que supuso la transposición al derecho nacional español de la Directiva 2009/136/CE, por la cual se modifica la regulación del uso de las cookies por parte de los prestadores de servicios de la sociedad de la información. Dicho precepto establece “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.
Para entender, exactamente, la dimensión del problema, es necesario tener una idea clara de a qué nos estamos refiriendo, exactamente, por lo que debemos definir una “cookie” como un archivo o dispositivo que se descarga en el equipo terminal de un usuario que está navegando por una web, con la finalidad de almacenar datos de esa persona que podrán ser actualizados y recuperados por el responsable de su instalación para diferentes usos. Las finalidades más habituales de estos archivos son las de obtener información del usuario de la web para establecer un perfil técnico, o bien para extraer un perfil personal de preferencias y gustos que les sirve a las distintas webs para personalizar la publicidad que visualizamos al navegar, para realizar estudios estadísticos, un servicio de correo que recuerda la cuenta del último usuario que accedió a éste, entre otras. Es decir, sin darse cuenta, el usuario va dejando un rastro por aquellas páginas que visita que les da información a los diferentes prestadores de servicios por Internet para posteriores usos.
Esta captación de información, casi inadvertida por la mayor parte de los usuarios, ha supuesto una grave vulneración a la privacidad, a la normativa de protección de datos y por ende al artículo 22 de la LSSI, porque no avisar del uso de la instalación de cookies y no dar la oportunidad al usuario de consentir o no a la captación de sus datos contraviene de manera directa todo lo dispuesto en la normativas vigentes en esta materia.
De ahí la trascendencia de conocer, el pasado mes de enero, la primera resolución sancionadora de la Agencia Española de Protección de Datos (R/02990/2013 del procedimientos PS/00321/2013) por el uso de cookies en dos webs, de una misma empresa, en las que no se facilitaba información sobre los dispositivos de almacenamiento y recuperación de datos (cookies) ni se solicitaba el consentimiento para su utilización, de la misma manera que en el formulario del apartado de contacto de las webs no se informaba, adecuadamente, al usuario de la finalidad y tratamiento de sus datos.
Si bien es cierto, que esta primera sanción establece tres sanciones de 500€, 1.500€ y 3.000€, sanciones atenuadas por entender la AEPD que no existió intencionalidad por parte de la empresa, debemos tomarlo como un primer aviso, la primera llamada de atención a todas aquellas empresas que mantienen una página web, normalmente sin conocimientos técnicos suficientes para conocer siquiera el uso en materia de cookies que están realizando, para que se adapten a dos normativas fundamentales en la época de las nuevas tecnologías que vivimos, la LOPD y la LSSI. Aun siendo sanciones muy atemperadas, respecto de las cuantiosas sumas que la LOPD prevé en su articulado, no deja de ser una suma sustancial muy fácilmente evitable si somos conscientes de la importancia de cumplir con todos los imperativos legales que conlleva el tratamiento de datos de carácter personal por parte de las empresas.
La citada resolución supone un hito importante en el criterio e interpretación a seguir por los prestadores de servicios de la sociedad de la información cuando instalen y utilicen cookies, respetando y protegiendo el derecho a la privacidad de los usuarios de conformidad con lo establecido por la normativa nacional y comunitaria. De hecho, la misma resolución argumenta que la sanción se impone porque la información que se facilitaba al usuario era insuficiente, con lo cual el consentimiento no se podía producir después de haber sido adecuadamente informado, incluso admitía la posibilidad de que se hubiera producido un consentimiento tácito si la información hubiera sido la adecuada.
Anteriormente, en abril de 2013, la Agencia Española de Protección de Datos presentó la denominada “Guía sobre el uso de Cookies” donde ya se especificaba la necesidad de informar claramente a los usuarios del uso de cookies, la tipología de las mismas, el uso previsto, la identificación de los responsables y, por supuesto, la obtención del consentimiento de los usuarios. La obligación principal es conseguir que el destinatario o usuario sea totalmente consciente del tipo y finalidad de las cookies que se van a instalar en su dispositivo de tal manera que pueda emitir su consentimiento de manera totalmente informada.
La Resolución de la AEPD y la Guía a la que nos referimos están en consonancia al afirmar que para la instalación y utilización de cookies se exige, ineludiblemente, contar con el consentimiento del usuario, que podrá obtenerse mediante fórmulas expresas (“consiento”, “acepto”, etc.), o bien a través de una determinada acción realizada por el usuario (configuración del navegador). En cualquier caso, para que el consentimiento obtenido se considere válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado toda la información requerida al usuario.
Son diversas las formas en las que se puede obtener de forma válida el consentimiento tales como a través de la aceptación de los “Términos y condiciones de uso de la página web” o de su “Política de privacidad” al solicitar el alta en un servicio; durante el proceso de configuración del funcionamiento de la página web o de la aplicación; antes del momento en que se vaya a descargar un servicio o aplicación ofrecido en la página web o bien a través del formato de información por capas.
La Agencia durante su análisis en esta primera resolución sancionadora nos facilita un dato de suma importancia ya que establece el contenido mínimo necesario que debemos aportar en la información realizada por capas. Dicho contenido queda dividido entre una primera capa que se configura a través de la clásica ventana emergente que multitud de webs incorporan y una segunda capa a la que se accederá a través de un link facilitado por esta ventana emergente.
La primera capa según la Agencia deberá contar, necesariamente, con la siguiente información: 1) Advertencia sobre el uso de cookies no exceptuadas por el artículo 22.2 que se instalan al navegar por los sitios web o al utilizar el servicio solicitado. 2) Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros. 3) Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies. 4) Un enlace a la segunda capa informativa en la que se indica una información más detallada.
La segunda capa deberá profundizar más al respecto, y deberá incluir: 1) Tipo de cookies que utiliza la página web y su finalidad. 2) Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado. 3) Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
Por lo tanto, la conclusión a la que nos hace llegar esta primera Resolución es que no basta con facilitar simplemente, un aviso que informe de que se están utilizando cookies en esa web, como se ha estado realizando hasta ahora, sino que además se deben cumplir unos requisitos mínimos en el contenido de la información que se facilita a los navegantes de los sitios, pudiendo ser sancionadas las webs que omitan algún requisito, como ha sido el supuesto de la inspección que ha culminado con esta primera resolución en materia de cookies.