El pasado 29 de abril se presentó por la Agencia Española de Protección de Datos (AEPD), junto a la Asociación Española de Economía Digital (Adigital), la Asociación para la Autorregulación de la Comunicación Comercial (Autocontrol) y la Interactive Advertising Bureau (IAB), con la colaboración de la Asociación Española de Anunciantes (Anunciantes), la ‘Guía sobre el Uso de las Cookies’ -disponible al pie de este artículo-, la primera guía legal en la materia elaborada por una Autoridad Nacional de Protección de Datos Personales de la UE.
Como es sabido, las cookies cumplen un papel esencial para la prestación de numerosos servicios de la sociedad información, las cuales, por su propia naturaleza, presentan importantes implicaciones en relación con la privacidad de los usuarios. La esperada Guía ofrece, a modo de recomendación o mejores prácticas, orientaciones sobre cómo cumplir con las obligaciones previstas en la legislación vigente en materia de cookies, recogida principalmente en el artículo 22-2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI). Atendiendo a lo dispuesto en el referido artículo 22-2 LSSI, los prestadores de servicios de la sociedad de la información se encuentran facultados para utilizar cookies y tecnologías similares a condición de que los destinatarios de las mismas hayan dado su consentimiento, después de que se les haya facilitado información clara y completa sobre su utilización. Al tenor de lo referido por el propio precepto quedarían excluidas de las anteriores obligaciones las cookies utilizadas con las siguientes finalidades:
- Permitir únicamente la comunicación entre el equipo del usuario y la red.
- Prestar estrictamente un servicio expresamente solicitado por el usuario.
En este sentido, la Guía se hace eco de la interpretación realizada en su momento por el Grupo de Trabajo del Artículo 29, el cual excluyó, en su Dictamen 4/2012, de las anteriores obligaciones las cookies siguientes:
- Cookies “de entrada de usuario”.
- Cookies de autenticación o identificación de usuario (únicamente de sesión).
- Cookies de seguridad del usuario.
- Cookies de sesión de reproductor multimedia.
- Cookies de sesión para equilibrar la carga.
- Cookies de personalización de la interfaz de usuario.
- Cookies de complemento (plug-in) para intercambiar contenidos sociales.
Sobre la base de la anterior interpretación, los prestadores de servicios de la sociedad de la información que instalen o permitan la instalación de cookies distintas de las anteriores, han de cumplir con las dos obligaciones siguientes: (I) deber de información; y (II) obtención de consentimiento del usuario.
(I) Deber de información:
En relación con el deber de información, la Guía recomienda al prestador del servicio el ofrecimiento al usuario de información suficientemente completa para permitir a los usuarios entender la finalidad de las cookies, información sobre cómo revocar el consentimiento de las cookies y eliminar las cookies, además de información de cómo gestionar las cookies.
Dicha información deberá además ser fácilmente accesible y visible, estableciendo la Guía una serie de
recomendaciones al objeto de dar cumplimiento a estas premisas, destacando entre ellos el ofrecimiento
de la información por alguno de los siguientes medios:
- Provisión de la información a través de una barra de encabezamiento o pie de página.
- Provisión de la información en el momento del alta del usuario o al activar un nuevo servicio.
- Provisión de la información por capas, de manera que se mostraría la información esencial en una primera capa, completando dicha información en una segunda capa que ofrezca una información adicional y más completa de las cookies, accesible desde la primera capa.
(II) Obtención del consentimiento:
Como segunda gran obligación para la instalación de las cookies, se cuenta la de obtener el consentimiento del usuario, que podrá recabarse mediante formulas expresas (i.e. “consiento”, “acepto”, etc.), pero también a través de fórmulas tácitas, tales como la realización de una determinada acción por el usuario (i.e. continuar navegando, configurar el navegador, etc.). De este modo, recomienda la Guía la obtención del consentimiento por alguna de las siguientes vías:
- Aceptación de los “Términos y condiciones de uso de la web o sitio”, “Política de privacidad” o “Política de cookies”.
- Durante el proceso de configuración del funcionamiento de la página web o aplicación.
- En el momento en que se solicite una nueva función de la web o la aplicación.
- Con anterioridad a la descarga de un nuevo servicio o aplicación.
- A través del formato de la información por capas, y su aceptación.
- A través de la configuración del navegador.
Al objeto de dar cumplimiento a las obligaciones señaladas, resulta recomendable ejecutar una revisión o auditoría de cookies periódica, que ayude a determinar el tipo de cookies existentes y, en consecuencia, determine cómo han de cumplirse las referidas obligaciones de información y obtención del consentimiento.
Sanciones:
El artículo 39 de la ley explica las sanciones que se pueden imponer, cuyo importe máximo varía entre los 30.000 euros para infracciones leves hasta los 600.000 euros para las infracciones muy graves.
Alejandro Touriño y María González, socio y asociada senior del Área de Information Technology de ECIJA