…esto no es un subtítulo…
2014-09-11
La famosa «ley de cookies», que en realidad es una pequeña modificación a la siempre polémica Ley de Servicios de la Sociedad de la Información realizada a través del Real Decreto-ley 13/2012 inicialmente y de la Ley 9/2014, ha levantado muchas ampollas. El problema se encuentra en el segundo punto del artículo 22, que dice lo siguiente:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»
Quedan cubiertas las cookies, pero también otros mecanismos de almacenamiento de datos en los equipos de los propios destinatarios de los servicios.
Lo anterior no es más que una adaptación de la LSSI para el cumplimietno de lo dicho en la Directiva 2009/136/CE del Parlamento Europeo y del Consejo:
Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.
Este texto es una modificación del apartado 3 del artículo 5 de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), por cierto.
La 95/46/CE establecía la creación de un grupo de protección de las personas en lo que respecta al tratamiento de datos personales. Este grupo emitió un dictamen en el que aparecen unos criterios de exención de la aplicación del apartado 3 del artículo 5 de la Directiva 2002/58/CE en lo que se refiere a la exigencia de consentimiento informado del usuario, todo en virtud y desarrollo de lo último dicho en el propio artículo, que esboza sus propias limitaciones. En particular, quedan exentas las siguientes clases de cookies:
En cambio, requieren consentimiento informado las cookies de seguimiento permanentes que usan algunas redes sociales para someter a los usuarios a un estudio de mercado continuo y otras compañías para mostrar publicidad personalizada.
Hay una guía de la Agencia Española de Protección de Datos que viene a repetir lo establecido anteriormente por el grupo de protección de las personas en lo que respecta al tratamiento de datos personales, pero esta vez en su aplicación inmediata a la española Ley de Servicios de la Sociedad de la Información y el apartado 2 de su artículo 22 (la «ley de cookies» española).
La adaptación de muchas páginas españolas ha consistido en la muestra de carteles informativos que avisan al usuario de que ya se le está haciendo un seguimiento mediante la instalación de cookies y que si no le gusta, puede abandonar el sitio. Algunas veces, el cartel ofrece información deficiente; esto ha llevado a alguna multa.
Cuando un prestador de servicios instala sus propias cookies (o quizá otros mecanismos de almacenamiento de información), tiene cierto control sobre lo que hace. En cambio, cuando utiliza recursos proporcionados por otras compañías, como pueden ser los servicios de mapas, publicidad y análisis de visitas que ofrece cierta empresa con un famoso motor de búsqueda, la cosa se complica, ya que esta empresa puede dedicarse a instalar toda clase de cookies sin informar al usuario y con el fin de hacer su propio seguimiento detallado no autorizado y en flagrante violación de la legislación de la Unión Europea en general y de España en particular. El prestador de servicios que obtiene un beneficio económico al incluir en su propia página estos recursos que podemos considerar «espías» está trasladando indecorosamente una externalidad negativa a sus usuarios, que en principio no han consentido a ser trazados por la tercera compañía que proporciona estos recursos. Igual que la contaminación es una externalidad negativa que sufre toda la población y por ello hay multas por contaminar, el seguimiento forzoso y secreto que hacen estas compañías es una externalidad negativa que perjudica a los usuarios y quienes habilitan tal práctica también pagan una multa.
Categorías: Actualidad, Derechos
Permalink: https://sgcg.es/articulos/2014/09/11/sobre-la-ley-de-cookies/