¿Indefensos ante las cookies? La Ley nos protege

Cuando navegamos por internet, ya no nos sorprendemos cuando nos encontramos con anuncios de productos o tiendas que hemos visitado recientemente. No es que nuestro ordenador sea muy listo o que nuestro navegador adivine como por arte de magia nuestros gustos. Al utilizar la red de redes vamos dejando un rastro que es recogido por las cookies, que son ficheros que se instalan en el navegador de internet. Éstas recaban información sobre nuestros hábitos de navegación y sirven para que nos envíen anuncios personalizados de acuerdo con nuestro perfil como usuario.

Este funcionamiento de las cookies tiene implicaciones importantes en relación con la privacidad del usuario, algo que no ha pasado desapercibido a las legislaciones tanto estatal como europea. En 2002, la UE emitió una Directiva sobre privacidad y comunicaciones electrónicas. Esta Directiva adoptó la regla del “opt-in” para la recepción de comunicaciones electrónicas por correo electrónico y la regla del “out-put” para la instalación de cookies durante la navegación, de manera que era necesario el consentimiento expreso para habilitar los envíos de publicidad por e-mail mientras que para el uso de cookies tan solo era necesario informar a los usuarios de la instalación de dichos dispositivos.

La UE impuso la regla del “opt-in” para el uso de cookies en 2009, mediante la emisión de una nueva Directiva que modificaba la de 2002, y que establecía la obligación de recabar el consentimiento expreso de los usuarios para la instalación de cookies en sus terminales. Según esta norma, el almacenamiento de datos solo se podía dar si el usuario recibe información sobre cómo se utilizan esos datos y si tiene la posibilidad de rechazar esa operación.

Modificaciones de la “Ley de cookies”

En cuanto a la legislación española, la denominada “Ley de cookies” (Real Decreto Ley 13/2012), que entró en vigor el 1 de abril de 2012, es la transposición de la Directiva de 2009. Esta legislación modificó varios artículos de la LSSI-CE y establece la obligatoriedad de solicitar el consentimiento expreso del usuario para la utilización de cookies durante la navegación, así como el deber de posibilitarle y facilitarle el rechazo del uso de dichas cookies.

Al tratarse de datos personales –el historial de navegación por internet lo es-, el organismo que se encarga de velar por el cumplimiento de la normativa vigente en esta materia es la Agencia Española de Protección de Datos (AEPD). Su “Guía sobre el uso de cookies”, de abril de 2013, la primera en Europa en relación a este tema, responde a los requerimientos de ciudadanos, políticos y organizaciones de consumidores de que se garantice la efectiva tutela de la privacidad en internet.

En relación a la validez del consentimiento del usuario en materia de cookies, el Grupo de Trabajo del Artículo 29 (GT 29), al que pertenece la AEPD junto con el resto de autoridades de protección de datos de los países miembros de la UE, redactó un Documento de Trabajo el pasado 2 de octubre de 2013 sobre la obtención del consentimiento en relación con las cookies.

En él se exige que el aviso para informar sobre la utilización de cookies sea claro, completo y visible al inicio de la navegación del usuario. Asimismo, no podrá instalarse ninguna cookie antes de que el usuario dé su consentimiento, salvo las consideradas exceptuadas (instaladas por motivos técnicos). En cuanto al acto del consentimiento en sí, será válido sólo si tiene “carácter inequívoco”, mientras que el aviso no debe desaparecer del sitio web hasta la manifestación del consentimiento del usuario. Por último, el GT 29 indica en su documento que debe facilitarse al usuario la opción de aceptar o rechazar algunas de las cookies y no sólo la totalidad.

Sin embargo, esta imposición ha recibido algunas críticas de sectores que consideran que la protección al usuario puede dificultar operativamente la navegación por la red, con las consecuencias que ello implica tanto para particulares como para empresas. Y es que, en la práctica, el internauta se puede ver inundado de avisos ininteligibles que pueden hacerle aceptar automáticamente o todo lo contrario: abandonar rápidamente el sitio web por miedo a dar consentimiento a algo que desconoce.

Por este motivo, la legislación vigente ha convenido en aceptar que se cumplan los deberes de información al usuario mediante la aparición de una cláusula emergente en la pantalla de inicio de la web, así como considerando que el usuario consienta en el uso de cookies siempre que no realice una “acción expresa” en contrario. Es decir, que el acto de continuar navegando por la página implica que el usuario presta su consentimiento para la instalación de cookies. Ello sin perjuicio de que en la página web exista una apartado específico sobre política de privacidad o términos de uso, en el que se informe detalladamente del tipo de dispositivos que instala la web, que deberá ser fácilmente accesible por parte del usuario.

En cualquier caso, queda la tramitación parlamentaria de la Ley General de Telecomunicaciones y la posibilidad de introducir más modificaciones con el fin de preservar la privacidad de los usuarios. Entre tanto, la AEPD continúa abriendo expedientes a empresas que no solicitan el consentimiento previo a la instalación de cookies. De ser sancionadas, las multas podrían alcanzar hasta los 30.000€, en caso de ser considerada una infracción leve, o hasta 150.000€, en caso de ser tratada como infracción grave por considerarse que el incumplimiento haya sido “significativo”.

Más información en Conversia.es