Información y consentimiento: los ingredientes básicos para tu receta de “Cookies”

La publicidad comportamental es un modelo de publicidad que utiliza la información del usuario sobre sus hábitos para así ofrecerle productos acordes a sus intereses. Sobre este modelo nacen algunas de las famosas “cookies” con las que nos hemos topado más de una vez mientras navegamos por internet. Estos pequeños “archivos” se instalan en los equipos terminales (ordenadores, móviles, tablets, etc.) y se encargan de almacenar y recuperar datos de los usuarios, por lo que tienen una especial incidencia en la privacidad de las personas.

A falta de la esperada normativa e-Privacy europea, su regulación la encontramos en el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información (LSSI), el cual pivota sobre las obligaciones de información y consentimiento conformes a la normativa sobre protección de datos (RGPD-LOPDGDD), por este motivo:

1. La información ofrecida al usuario para su instalación deberá ser concisa, transparente e inteligible, utilizando un lenguaje claro y sencillo, y pudiendo dividirse en dos capas, de las cuales, la primera será más breve y deberá facilitarse antes del uso o instalación de las cookies, en un formato visible y manteniéndose hasta que el usuario realice la acción requerida para la obtención del consentimiento, o su rechazo. En dicha capa, deberá incluirse un enlace que permita visualizar la segunda capa, con la información detallada, y que comúnmente conocemos como “Política de Cookies”.

2. El consentimiento, por su parte, variará sobre el tipo de cookies y los datos que traten, aunque la regla general es que se obtenga el mismo de forma libre e informada, por ejemplo, al solicitar alta en un servicio; durante la configuración del funcionamiento de la web o aplicación; a través de plataformas de gestión del consentimiento (CMP),… No permitiéndose en ningún caso la inactividad como método de aceptación y no debiéndose usar ni instalar sin la previa aceptación del usuario.

Sin embargo, la realidad muchas veces difiere de la teoría y algunos estudios han demostrado que muchas páginas web no cumplen con las exigencias legales. Por ejemplo, se han encontrado casos de páginas web que no admiten una granulidad del consentimiento o su rechazo, debiendo el usuario aceptar todas las cookies, incluso las de terceros, sin posibilidad a oponerse. Por este motivo, Vueling fue sancionada hace unos meses por la AEPD con 30.000 euros, rebajándose después a 18.000 euros. Por otro lado, también se han encontrado CMP que contienen casillas premarcadas que requieren que el usuario las desmarque, siendo ello también contrario a la normativa (Considerando 32 RGPD) dado que actualmente el consentimiento tácito no es válido,… O casi.

En este punto cabe mencionar que la AEPD, a diferencia de lo establecido por las Autoridades de Control inglesa (ICO) y francesa (CNIL), ha admitido la modalidad “seguir navegando” como fórmula válida para obtener el consentimiento, ahora bien, con requisitos:

· No podrá usarse con cookies que traten datos de categoría especial (art. 9.1 RGPD);

· Aviso de cookies y de la modalidad “seguir navegando” en un lugar claramente visible;

· El usuario deberá realizar una acción que sea claramente afirmativa; y

· Se deberá incluir un sistema o panel que permita al usuario aceptar o rechazar las cookies de forma granular, así como también introducir un botón que permita “rechazar todas”.

La AEPD advierte que no se considerará “seguir navegando” visualizar la pantalla, mover el ratón o pulsar una tecla del teclado, salvo que, de acuerdo con la Agencia, se realicen movimientos concretos establecidos por el editor para que se entienda otorgado el consentimiento (p. ej. Mover el ratón en forma de ocho).

Como podemos ver, disponemos de un entorno en el que muchas empresas aún se resisten a la adaptación de sus cookies a la nueva normativa sobre protección de datos, pero en determinados casos, también surgen dificultades técnicas para aquellas que desean aplicarlo correctamente. Asimismo, el mantenimiento de la modalidad “seguir navegando” es un ingrediente que muchos creían que podría desaparecer con la nueva Guía sobre el uso de cookies de la AEPD actualizada a la nueva normativa sobre protección de datos, pero no ha sido así, creando alguna que otra discrepancia, ya que se considera que es un tipo de consentimiento más “ambiguo” y que, en determinados casos, podría dificultar la prueba de que el responsable obtuvo correctamente el consentimiento.

Esperemos que las autoridades europeas no se retrasen mucho más y puedan llegar a un acuerdo para aprobar el denominado “Reglamento e-Privacy”, el cual debería haber salido junto con el RGPD allá por 2018, y que pueda mostrar algo de luz a estas y muchas dudas más. Mientras tanto habrá que ir estudiando cómo evoluciona la receta de las “Cookies” a nivel europeo.

José Manuel Cañedo Ribas

Abogado en Monlex

jcanedo@binauramonlex.com