Ficheros de “cookies” inscritos en la Agencia Española de Protección de Datos (AEPD)
¿Hay que inscribir un fichero en el Registro de la AEPD con el tratamiento e instalación de “cookies”? O mejor dicho ¿Es posible que haya inscritos ficheros de “cookies” en el Registro de la AEPD?
Recordemos, en primer lugar, que el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información, establece que:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Es decir, a efectoss de la LOPD y en relación con las cookies (las que no están exceptuadas/ver al respecto Guía sobre el uso de las Cookie), el artículo 22.2 únicamente se referiere a cumplir el derecho de información y el consentimiento.
En este sentido, y a diferencia de otros artículos en diferentes normas, no hace una mención expresa a cumplir con toda la LOPD. Por ejemplo, en el artículo 32 de la norma reglamentaria sobre los ya populares drones:
El operador será responsable del cumplimiento de la normativa aplicable en relación a la protección de datos personales y la toma de imágenes aéreas
Ficheros de cookies inscritos
Para saciar nuestra curiosidad, realizamos una búsqueda en el Registro de Ficheros de la AEPD, en la parte de ficheros privados, introduciendo en el formato de búsqueda avanzada, en el nombre del fichero “cookies”.
Y este es el resultado:
Responsable: McKesson Technologies INC
Nombre del fichero: COOKIES
Finalidad: Gestión de cookies usadas con la finalidad de prestar servicios a través de Internet.
Ojo además con este fichero, porque su responsable ha inscrito como dirección que se encuentra en Estados Unidos.
Existe también otro fichero más, con el mismo nombre, cuya finalidad también es la gestión de cookies, pero dicha finalidad se completa con la interactuación con los usuarios de la web, por lo que en la inscripción podrían haberse declarado la recogida de ciertos datos de carácter personal. Es decir, confuso para poder determinar que está en el mismo escalón que el primer fichero citado anteriormente.
Responsable: Joan Llaurado Such
Nombre del fichero: COOKIES
Finalidad: Control y gestión de las cookies que se disponen en la web y la información que se obtiene de la interactuación de los usuarios de la web.
Por último, existen otros dos ficheros más con el nombre de “COOKIES”, pero de su finalidad se desprende claramente la recogida de datos de carácter personal, como podría ser un correo electrónico, nombre y apellidos de usuarios.
Responsable: Centro de Citología y Técnicas Complementarias SL
Nombre del fichero: COOKIES
Finalidad: Control de la identidad del usuario que accede a la base de datos on-line para procurarle el acceso a sus pacientes.
Responsable del fichero: Forja Santa Mónica Decoración en Hierro y Mármol SL.
Nombre del fichero: Cookies
Finalidad: Gestión de los datos recogidos a través de la web para el envio de información presupuestos y con fines comerciales y publicitarios.
En resumen, “a primera vista” no parecería necesario tener que inscribir un fichero de cookies. Pero, ¿Y si la instalación de cookies recaba el dato de la IP? ¿Qué ocurriría con aquellas páginas que no realizan registro de usuarios pero al instalar cookies recaban la citada IP? Porque la IP es un dato de carácter personal. ¿Habría que inscribir el fichero?
Postura de Atención al Ciudadano de la AEPD
Me llega por un compañero la respuesta a la consulta que hizo en relación a este tema, y que fue respondida por Atención al Ciudadano de la AEPD.
Reproduzco textualmente la misma:
El tratamiento de datos personales conlleva la obligatoriedad de la inscripción de ficheros, porque el criterio determinante para proceder a la inscripción de un fichero es el tratamiento de los datos relativos a personas físicas (no jurídicas o empresas). Por lo tanto, el responsable de los ficheros debe inscribir en el Registro General de
Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero propietarios, fichero informes, fichero nóminas, fichero clientes, fichero alumnos, fichero o libro de socios, fichero de imágenes o de videovigilancia, etc.), aunque contengan solamente el nombre y apellidos de una persona o aunque sean ficheros temporales, salvo que se usen con fines exclusivamente personales o domésticos, en cuyo caso no entran dentro de la Ley.
Debe hacerse una inscripción por cada fichero.
Si recaba datos personales por el uso de cookies, debe proceder a su inscripción en el Registro General de Protección de Datos.