Introducción
Ya hemos hablado de lo que son las cookies, como funcionan y que consecuencias tienen. Ahora toca hablar de cómo se regulan.
Pues bien, las cookies, se regulan por dos tipos de normativas, por el Reglamento General de Protección de Datos (en adelante, RGPD) y por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (en adelante, LSSICE). Que se regule por estas dos normativas tiene su explicación en que, la LSSICE, regula todo lo relativo a los dispositivos de almacenamiento y recuperación de datos, siendo las cookies uno de estos dispositivos; y el RGPD, regula el tratamiento de los datos de carácter personal.
La LSSICE es una norma que ha transpuesto una Directiva europea. Pero es cierto, que de acuerdo con el principio de especialidad, una ley especial prevalece sobre una ley general. En este caso la LSSICE prevalece sobre el RGPD, por ser este último una “ley” general. Pero también es cierto que, el Tribunal de Justicia de la Unión Europea, ha indicado que el RGPD resultará de aplicación en todo lo que tenga que ver con el tratamiento de datos de carácter personal llevado a cabo por los dispositivos como las cookies.
Análisis
Todos los sitios web que utilicen cookies, tendrá que informar a los interesados o usuarios sobre el uso de las cookies en los navegadores antes de proceder a la descarga de las mismas. Se tiene que tener en cuenta lo siguiente:
(1) Un mecanismo de alerta que aparezca en el momento del primer acceso de la persona a la página web. A través de un aviso legal como un banner o un pop-up.
(2) Si a través de las cookies podemos recoger datos de carácter personal, se deberá de dar la opción al interesado de aceptar, denegar o configurar la instalación de las cookies en su navegador.El consentimiento deberá de otorgarse como una opción afirmativa y positiva, y el rechazo de las cookies debe suponer una opción real. Adicionalmente, estos registros se deberán conservar de manera segura para poder demostrar estos consentimientos frente a la autoridad de control
(3) Las cookies solo se deberán instalar una vez el usuario haya aceptado el uso de estas.
(4) Lo que en ningún caso se podría hacer es seguir navegando sin optar por ninguna de las opciones, debido a que el usuario no sabe realmente si se le han instalado las cookies o, si, por el contrario, permanece en el sitio web sin que se le hayan instalado.Hay que indicar que la Guía de la AEPD sobre el uso de las Cookies, ha introducido un nuevo modelo, la Opción 3, que permite la aceptación de las cookies por la mera navegación. Pinche aquí y acceda a Cookies III. La opción de la AEPD. (enlazar con el artículo de Cookies III).
(5) De manera opcional se recomienda que en periodos anuales a contar desde la primera visita del usuario se renueve el consentimiento.
Hay que tener en cuenta que el Reglamento General de Protección de Datos requiere el consentimiento explícito cuando se lleven a cabo procedimientos de decisión totalmente automatizados.
Independientemente de lo que establezca el Reglamento ePrivacy (el cual sustituirá a la Directiva que transpuso a la LSSICE), como ya hemos indicado, la Ley de Servicio s de la Sociedad de la información y de Comercio Electrónico (LSSICE), ya establece la obligación de informar al consumidor / usuario del uso de las cookies y que estas se consientan (art. 22.2 LSSICE).
A este último supuesto (a las obligaciones de la LSSICE), hay que añadirle lo que se establece en el Reglamento General de Protección de Datos, que pese a ser una norma general frente a una ley especial, en este caso complementa a la LSSICE y por ello es necesario que se informe acerca del uso de las cookies:
(1) Se tiene que hacer accesible al usuario la información sobre las cookies. Por ello se tiene que establecer un enlace en el pie de página o footer de la página web que redirecciones a la Política de Cookies.
(2) Contenido que se debe de establecer: (1) qué son las cookies; (2) descripción de las cookies utilizadas en el sitio web; (3) como puedes configurar y deshabilitar las cookies en cada navegador; (4) plazos de conservación o actualización y (5) si se llevan a cabo transferencias internacionales habrá que específicarlo.
(3) Las cookies se han de consentir, dicho consentimiento inequívoco, granular, revocable, informado y previo. Por tanto, en el pop up mencionado anteriormente, ya no solo vale con establecer un mecanismo de aceptación o denegación, sino que se habrá de informar de que cookies se instalan, para que se utilizan y la posibilidad de consentirlas o no, así como revocarlas cuando consideremos oportuno.
(4) En segundo lugar, se deberá poner un enlace a la política más extensa de cookies, colocado en el pie de página o footer (Política de Cookies).
Cookies exentas y no exentas de configuración
El Grupo de Trabajo del Artículo 29, en su Dictamen 04/2012 sobre la excepción de consentimiento para cookies, aporta varios ejemplos sobre cookies exentas y no exentas que ayudan a entender lo anterior:
(1) Las load-balancing cookies, es decir, aquellas que se usan para recabar datos que ayudan a regular, dividir y gestionar la congestión de los servidores, serían consideradas necesarias para la comunicación a través de la red, por lo tanto, exentas de la notificación de almacenamiento puesto que únicamente identifican un servidor, no una máquina cliente. De esta manera no contendrían datos personales. Por lo tanto, su procesamiento no involucra protección personal de datos y no necesita notificación de procesamiento.
(2) Las cookies que se usan para customizar la interfaz de usuario (por ejemplo, para indicar el idioma preferido o el formato de contenido) no requieren ningún identificador particular, por lo tanto, difícilmente constituirán información personal. Podrían, dependiendo de la persistencia, requerir notificación antes del almacenamiento.
(3) Las cookies usadas para ubicar “la navegación del usuario” (por ejemplo, contenidos del shopping cart) es posible que constituyan datos personales. Aunque estos están exentos de la notificación de almacenamiento, se necesitaría alguna base para su procesamiento bajo el RGPD. Llegados a este punto, la base obvia sería que el procesamiento es necesario para, o en respuesta de la petición del usuario, un contrato con el usuario (Art. 6.1 b RGPD).
Interpretaciones de las distintas autoridades de control y el TJUE
Las resoluciones dictadas hasta este momento, hacen especial hincapié en que todas las instalaciones de cookies en el terminal de un usuario que navega en una página web, se supeditan a la obtención previa del consentimiento del interesado, siempre y cuando dichas cookies no resulten necesarias para prestar los servicios de la propia página web (cookies técnicas o necesarias). Con independencia de que la instalación de las cookies redunde o no en un tratamiento posterior de los datos personales del interesado, así lo ha señalado el TJUE.
El propio Tribunal establece que el régimen normativo aplicable a la solicitud y obtención del consentimiento es el establecido en los artículos 4.11 y 7 del RGPD (consentimiento expreso), no siendo válido el consentimiento tácito o la inacción. En estos dos últimos supuestos se encontraría prácticas tales como casillas pre-marcadas o la instalación de las cookies tras la fórmula de “seguir navegando”, sin otorgar al usuario la opción de rechazar la instalación y configuración de las cookies.
La AEPD indicó, en la 10ª Sesión Anual de la AEPD, que esta información granular se puede establecer por capas:
(1) Una primera capa o banner de cookies que debe contener la información esencial sobre las cookies, su aceptación, rechazo y configuración.
(2) Segunda capa o Política de Cookies, la cual tendrá que incluir información como: tipología de las cookies, periodo de conservación, fines, eliminación, etc. Hay que indicar que la Guía de la AEPD sobre el uso de las Cookies, ha introducido un nuevo modelo, la Opción 3, que permite la aceptación de las cookies por la mera navegación. Pinche aquí y acceda a Cookies III. La opción de la AEPD.
Las autoridades de control británica (ICO), francesa (CNIL) y la alemana (DSK) comparten la misma visión.