31 agosto, 2015

Cookies

En el año 2009 la Unión Europea publicó la Directiva 2009/136/CE, en la que se especifica en su punto 66, que:

Puede que haya terceros que deseen almacenar informa­ción sobre el equipo de un usuario o acceder a informa­ción ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aque­llos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el dere­cho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar infor­mación y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legí­timo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea téc­nicamente posible y eficaz, de conformidad con las dispo­siciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La apli­cación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales.

En marzo de 2012, el Real Decreto 13/2012 modificó el artículo 22.2 de la Ley de la Sociedad de Servicios de la Información (LSSICE) para adecuarse a la directiva europea, y lo dejó con la siguiente redacción:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

 

Siendo la Agencia Española de Protección de Datos un organismo con competencias para emitir sanciones administrativas con respecto al incumplimiento de la LSSICE, y sobretodo después de que en agosto de 2013 emitieran una primera sanción ejemplar, nos vemos obligados a informar de algo que el usuario probablemente ya sepa o no entienda.

En realidad, no todas las cookies están sujetas a esta ley y la AEPD ha definido cuáles quedan exentas exactamente: Cookies de «entrada del usuario», de autenticación o identificación de usuario (únicamente de sesión), de seguridad del usuario, de sesión de reproductor multimedia, de sesión para equilibrar la carga, de personalización de la interfaz de usuario y de plugin para intercambiar contenidos sociales. Algunos nombres son un poco raros, pero se definen en el documento. Quedarían exentas pues, cookies donde se almacena el idioma y otras preferencias de navegación, o cookies donde se almacene untoken de sesión.

Normalmente las páginas web incluyen contenido de terceros que sí crean cookies, como botones de redes sociales o reproductores multimedia (YouTube). En ese caso, es necesario informar del uso que esos terceros hacen de las cookies, aún cuando no se tiene el control sobre los posibles cambios que hagan estos terceros en sus políticas de privacidad. Por ello, la guía propone lo siguiente:

Cuando se instalen cookies de terceros se deberían incluir en los contratos que se celebren entre los editores y los terceros, una o varias cláusulas en las que se asegure que se ofrecerá a los usuarios la información requerida y que se articulará la forma a través de cual se pueda obtener un consentimiento válido para la utilización de las cookies.

Es decir, las redes sociales, Google y demás proveedores de estos contenidos que crean cookies deberían incluir en sus términos de uso una aclaración sobre el uso de estas cookies, que sea inmutable o que notifique si cambia algo en la política de privacidad respecto a las cookies.

Es entendible el objetivo de la ley: proteger los datos personales de los usuarios, intentando evitar que, mediante el uso de cookies, se hagan cosas como rastrear comportamientos sin el consentimiento expreso.