Debate sobre el Estado de la Privacidad: cookies, un añito después!
Ha pasado un año desde la aprobación del Real Decreto-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, y que supuso la modificaron de varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales.
Uno de ellos, el artículo 22.2 al que en numerosas ocasiones se le ha denominado “ley de cookies”.
El caso es que hasta la fecha todavía no sabemos cómo debe implantarse el cumplimiento del citado precepto. ¿Consentimiento expreso o implícito? ¿Aviso al entrar en la web o un enlace en la misma con toda la información?
Durante todo este tiempo y respecto su interpretación, podemos decir que se han “vendido” tres posturas (pueden encontrarse en el post de este mismo blog en la narración de la “Jornada APEP: Cookies and Privacy by Design”): la industria y “no es para tanto, vamos a matar Internet”; los usuarios y “esto vulnera diversos preceptos constitucionales”; y el controlador “hay que proteger al usuario, trabajamos en ello para dar varias opciones” (pero como digo seguimos esperando).
También se “vendió” lo que había hecho el ICO (Autoridad de Protección de Datos del Reino Unido) en su web, pero finalmente “se ha bajado los pantalones” (entiéndame, que lo digo de forma cariñosa) y ha pasado de un consentimiento expreso a uno implícito, que dice ahora:
We have placed cookies on your computer to help make this website better. You can change your cookie settings at any time. Otherwise, we’ll assume you’re OK to continue
“Manda huevos” como diría el antiguo ministrable, que el ejemplo sea el de una AAPP a las que en principio no se les aplica la LSSI (vale, que sí, que son ingleses, y son “diferentes”, pero “presumimos” que su ley establece el mismo ámbito de aplicación que la nuestra).
Por cierto, que las intocables vía LOPD AAPP también usan cookies. Pero ¿Qué se pensaban? ¡Hasta la web de la Casa del Rey! ¡Mira que quitar al yerno y dejar las cookies!
Hagamos un poco de Historia
Pero volvamos un año atrás de nuevo, a ver si podemos poner un poco de orden sobre este tema: la Exposición de Motivos del Real Decreto Ley citado anteriormente, explica la reforma de la Ley 34/2002, de 11 de julio, en base a que “la nueva redacción que se da a su artículo 22.2, para exigir el consentimiento del usuario sobre los archivos o programas informáticos (como las llamadas «cookies») que almacenan información en el equipo de usuario y permiten que se acceda a ésta; dispositivos que pueden facilitar la navegación por la red pero con cuyo uso pueden desvelarse aspectos de la esfera privada de los usuarios, por lo que es importante que los usuarios estén adecuadamente informados y dispongan de mecanismos que les permitan preservar su privacidad”.
Parece desprenderse de esta redacción que el consentimiento sería “expreso”, ya que si nos vamos al RAE (ojo, es la primera vez que utilizo esta técnica y reconozco que no me gusta mucho) se define “exigir” como “pedir imperiosamente algo a lo que se tiene derecho”, por lo que yo extraigo que hay que realizar una, llamémosle, “acción positiva”.
Una vez vista la justificación de la modificación, avanzamos un pasito más, por lo que toca hacer un “copy-paste” del mencionado artículo 22.2 para ver cómo ha plasmado el legislador el tema de las cookies:
“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”
De su lectura extraigo las siguientes conclusiones:
– Sobre si debe aparecer a primera vista la información al conectarse a la web o en un enlace de la misma, el texto no dice nada, así que creo que ambas opciones deben ser admitidas. Cada cual, que haga lo que más le convenga. Pero informe, oiga, informe.
– La regulación parece un “sí pero…”, es decir, a primera vista parece que vuelve a exigirse el consentimiento expreso (“hayan dado su consentimiento”, desprende una acción positiva) aunque ese “pero” establece la excepción de que se vaya a navegador a realizar la aceptación o no de las cookies si es necesario configurarlo durante su instalación, algo bastante absurdo porque los navegadores fijan una “instalación por defecto”.
Fruto de ello es que la futura reforma de la Ley General de Telecomunicaciones, que también comentamos en este blog, elimina la frase “siempre que aquel…”.
Lo cual, a su vez nos da otra situación de la misma clasificación (absurdez!) que la anterior: será necesario consentimiento pero se podrá hacer a través del navegador la configuración de aceptar las cookies. Una tontuna como digo, porque todos los navegadores –que yo conozca- permiten esa configuración. De manera que sería más sencillo un “En el caso de los dispositivos y almacenamientos….deberá ser el usuario el que acepte o no mediante la configuración del navegador”.
Por cierto que tanto follón sobre este tema, y resulta que lo que lleva revoloteando en el Mundo del Dato durante más del último año, la propuesta de Reglamento, sólo menciona las cookies en su Considerando 24 –dejando de lado la regulación general del consentimiento-, para decirnos que esto de las cookies “puede ser dato personal o no”(vaya usted a saber):
Cuando utilizan servicios en línea, las personas físicas pueden ser asociadas a
identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como las direcciones de los protocolos de internet o los identificadores de sesión almacenados en cookies. Ello puede dejar huellas que, combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas e identificarlas. De ello se deduce que los números de identificación, los datos de localización, los identificadores en línea u otros factores específicos no necesariamente tienen que ser considerados datos de carácter personal en toda circunstancia.
Debido a esta redacción, el Grupo del Artículo 29 en su Dictamen 8/2012 pone el grito en el cielo y un “no hijo, no” al “Ozores style”:
Por otra parte, el considerando 24, relativo a la definición del término “datos personales” prevé que los números de identificación, los datos de localización, los identificadores en línea u otros factores específicos no tienen necesariamente que ser considerados datos de carácter personal en toda circunstancia. En su redacción actual, la última frase podría dar lugar a una
interpretación indebida restrictiva del concepto de datos personales en relación, por ejemplo, con las direcciones IP o la identificación de los chivatos (cookies).
El Grupo de Trabajo recuerda que todos los datos personales se refieren a una persona identificable: «(un) dato se refiere a una persona si hace referencia a su identidad, sus características o su comportamiento o si esa información se utiliza para determinar o influir en la manera en se la trata o se la evalúa.».
Considerando que según el Grupo debería ser redactado de la siguiente forma:
«Cuando utilizan servicios en línea, las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como las direcciones de los protocolos de internet o los identificadores de sesión almacenados en cookies. Ello puede dejar huellas que, combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas e identificarlas o diferenciarlas. De ello se deduce que los números de identificación, los datos de localización, los identificadores en línea u otros factores específicos deben, por norma, [suprímase: no necesariamente tienen que] ser considerados datos de carácter personal [suprímase: en toda circunstancia].».
Y no, el Grupo no es “Don Dato” vestido de “Lucifer”, ya que a través de su Dictamen 4/2012 sobre la excepción del consentimiento de cookies “vende” una rebaja en el exigencia del consentimiento de instalación de las mismas:
En cuanto al caso concreto de las cookies, el grupo de trabajo subrayó recientemente la flexibilidad adicional que se ha aportado en ese contexto (así lo expresa en su Dictamen de la Reforma).
De hecho, en ese Dictamen decide indultar a todo un equipo de fútbol 7 de cookies, de manera que estén exentas del consentimiento informado las que se refieran a: entrada, autenticación, seguridad, sesión reproductor multimedia, de sesión para equilibrar la carga, personalización del interfaz del usuario y terceros para compartir contenidos sociales (esta última si es para fines distintos a una funcionalidad solicitad por sus miembros sería necesario el consentimiento).
Quedan fuera de la alienación titular las publicitarias de terceros y las de análisis propio.
Por cierto, explíquese a un usuario normal y corriente todo este maremágnum de galletitas y a ver de qué se enteran.
Le toca al usuario
Por cierto, ¿y el usuario dónde le colocamos? Aquí es donde dejamos de lado la parte “expertise” y nos ponemos el “pijama de usuario”. Ciertamente, las páginas que he visitado y aparece el mensajito para las cookies me echan para atrás. Incluso, alguien que no lea detenidamente (más o menos, el 90% de la población) puede pensar que es publicidad.
Ah, que además, por las cookies luego te meten publicidad. Pues a diferencia del mundo real, ni tengo que aguantar al comercial de turno, ni suena el teléfono un sábado a las 8 de la mañana.
Mención especial para las “cookies tontas”. ¿Qué son? Pongamos un ejemplo para explicarlo:
Te vas a la web de una cadena de hoteles (pongamos Barceló) y buscan alojamiento en Tenerife. Estás unos 15-20 minutos. Luego, empiezas a navegar por otras páginas (diarios) y te sale publicidad de esa cadena de hotel, pero de cualquier de ellos.
Pero a ver… ¿Si yo dónde me quiero ir es a Tenerife para qué me sacas la publicidad del hotel de Punta Cana, Rivera Maya y alguno de Europa? Lo dicho, cookies tontas pero muy tontas.
Obviamente, no todo va a ser quejarnos, así que, si estoy buscando la primera edición del 7” del U2-3, cuyo precio en e-bay puede alcanzar hasta los 3.000 euros y me sale un anuncio de una tienda que me lo vende a 25…que quieren que les diga, compartiría mi cama con esa bendita cookie!
En resumen, que este post termina y…
¿A qué siguen sin saber cómo implementar el cumplimiento de las cookies?
Si es que, no debieron salir nunca de la cocina.