SGCG

…esto no es un subtítulo…

Ir a: contenido categorías calendario archivo suscripción

Volver arriba

Sobre la «ley de cookies»

2014-09-11

La famosa «ley de cookies», que en realidad es una pequeña modificación a la siempre polémica Ley de Servicios de la Sociedad de la Información realizada a través del Real Decreto-ley 13/2012 inicialmente y de la Ley 9/2014, ha levantado muchas ampollas. El problema se encuentra en el segundo punto del artículo 22, que dice lo siguiente:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

Quedan cubiertas las cookies, pero también otros mecanismos de almacenamiento de datos en los equipos de los propios destinatarios de los servicios.

Lo anterior no es más que una adaptación de la LSSI para el cumplimietno de lo dicho en la Directiva 2009/136/CE del Parlamento Europeo y del Consejo:

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Este texto es una modificación del apartado 3 del artículo 5 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), por cierto.

La 95/46/CE establecía la creación de un grupo de protección de las personas en lo que respecta al tratamiento de datos personales. Este grupo emitió un dictamen en el que aparecen unos criterios de exención de la aplicación del apartado 3 del artículo 5 de la Directiva 2002/58/CE en lo que se refiere a la exigencia de consentimiento informado del usuario, todo en virtud y desarrollo de lo último dicho en el propio artículo, que esboza sus propias limitaciones. En particular, quedan exentas las siguientes clases de cookies:

De entrada de usuario
Son las necesarias para el rastreo del usuario durante una sesión con el fin de prestarle el servicio. Esto incluye la gestión de «carros de la compra» en tiendas en línea. Su aplicación es consecuencia de una acción del usuario (como puede ser pulsar un botón que añade un producto al «carro de la compra»). Expiran al terminar la sesión.
De autenticación
Son las utilizadas para autenticar a un usuario y mantenerlo autenticado durante una sesión. Expiran al terminar la sesión.
De seguridad
Sirven como una defensa pobre contra ataques: se instalan para detectar los intentos repetidos e infructuosos de entrada en un sitio, que pueden deberse a que alguien trata de adivinar las credenciales de otra persona con el fin de acceder a sus datos sin autorización. Pueden ser persistentes.
De sesión de reproductor multimedia
Almacenan los datos técnicos necesarios para la reproducción de contenidos audiovisuales, como pueden ser la calidad de la imagen y la velocidad de transferencia. Expiran al terminar la sesión.
De sesión para equilibrar la carga
Sirven para identificar de alguna manera a qué servidor se conecta realmente un usuario durante una sesión cuando hay un mecanismo transpartente de equilibrado de carga. Expiran al terminar la sesión.
De personalización de la interfaz de usuario
Almacenan información sobre las preferencias relacionadas con la interfaz de usuario: por ejemplo, el idioma preferido para la muestra de resultados de búsqueda. Expiran al terminar la sesión; si son persistentes, el consentimiento informado es necesario.
De complemento para intercambiar contenidos sociales
Las asociadas a los típicos botones de «compartir en red social». La exención de la necesidad de consentimiento informado solamente se aplica a los usuarios conectados en las redes sociales relevantes y solamente cuando se trata de cookies que expiran al terminar la sesión.

En cambio, requieren consentimiento informado las cookies de seguimiento permanentes que usan algunas redes sociales para someter a los usuarios a un estudio de mercado continuo y otras compañías para mostrar publicidad personalizada.

Hay una guía de la Agencia Española de Protección de Datos que viene a repetir lo establecido anteriormente por el grupo de protección de las personas en lo que respecta al tratamiento de datos personales, pero esta vez en su aplicación inmediata a la española Ley de Servicios de la Sociedad de la Información y el apartado 2 de su artículo 22 (la «ley de cookies» española).

La adaptación de muchas páginas españolas ha consistido en la muestra de carteles informativos que avisan al usuario de que ya se le está haciendo un seguimiento mediante la instalación de cookies y que si no le gusta, puede abandonar el sitio. Algunas veces, el cartel ofrece información deficiente; esto ha llevado a alguna multa.

Cuando un prestador de servicios instala sus propias cookies (o quizá otros mecanismos de almacenamiento de información), tiene cierto control sobre lo que hace. En cambio, cuando utiliza recursos proporcionados por otras compañías, como pueden ser los servicios de mapas, publicidad y análisis de visitas que ofrece cierta empresa con un famoso motor de búsqueda, la cosa se complica, ya que esta empresa puede dedicarse a instalar toda clase de cookies sin informar al usuario y con el fin de hacer su propio seguimiento detallado no autorizado y en flagrante violación de la legislación de la Unión Europea en general y de España en particular. El prestador de servicios que obtiene un beneficio económico al incluir en su propia página estos recursos que podemos considerar «espías» está trasladando indecorosamente una externalidad negativa a sus usuarios, que en principio no han consentido a ser trazados por la tercera compañía que proporciona estos recursos. Igual que la contaminación es una externalidad negativa que sufre toda la población y por ello hay multas por contaminar, el seguimiento forzoso y secreto que hacen estas compañías es una externalidad negativa que perjudica a los usuarios y quienes habilitan tal práctica también pagan una multa.


Categorías: Actualidad, Derechos

Permalink: https://sgcg.es/articulos/2014/09/11/sobre-la-ley-de-cookies/