Paradigma sobre les cookies. És possible obtenir una visió clara sobre la seva situació actual?
Albert Castellanos Rodriguez
Col. 40492
Com a punt de partida del present article podríem definir la “cookie” com qualsevol tipus d’arxiu o dispositiu que es descarrega a l’equip terminal d’un usuari amb la finalitat d’emmagatzemar dades que podran ser actualitzades i recuperades per l’entitat responsable de la seva instal·lació.
Les “cookies” es poden classificar atenent als següents criteris: segons l’entitat que les gestioni (pròpies o de tercers); segons el termini de tempos que es mantinguin activades (de sessió o persistents); o segons la seva finalitat (tècniques, de personalització, d’anàlisis, publicitàries o de publicitat comportamental). Una mateixa “cookie” pot estar inclosa en més d’una categoria.
A l’àmbit europeu, actualment, la seva regulació ve recollida principalment a través de la Directiva 2000/31/CE del Parlament Europeu i del Consejo, de 8 de juny de 2000, respecte de la que en un breu període de temps, es produiran modificacions al respecte, que vindran motivades essencialment per i) l’ entrada en vigor del futur Reglamento e-Privacy; ii) les noves obligacions derivades de l’aplicació efectiva del Reglamento General de Protecció de Dades Personals; y iii) els pronunciaments emesos per part del Grup de Treball de l’Article 29 (ara anomenat , European Data Protection Board –endavant, “EDPB”, sota les seves sigles en anglès), així com pel propi Tribunal de Justícia de la Unió Europea, que el passat 1 d’ octubre, en el marc de la seva Sentencia sobre l’assumpte C-673/17, va establir, segons literal de la nota de premsa que: “el Tribunal de Justicia declara que el consentimiento que el usuario de un sitio de Internet debe dar para la colocación de cookies en su equipo terminal y la consulta de éstas no se presta de manera válida mediante una casilla marcada por defecto de la que el usuario debe retirar la marca si no desea dar su consentimiento. A estos efectos resulta irrelevante que la información almacenada o consultada en el equipo del usuario esté o no constituida por datos personales. En efecto, el Derecho de la Unión persigue proteger al usuario de toda injerencia en su esfera privada, en particular, contra el riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en su equipo sin su conocimiento. El Tribunal de Justicia subraya que el consentimiento debe ser específico, de modo que el hecho de que un usuario active el botón de participación en el juego organizado con fines promocionales no basta para considerar que éste ha dado de manera válida su consentimiento para la colocación de cookies”.
Per altra part, a l’àmbit espanyol, la regulació està acotada pel contingut de l’article 22.2 de la LSSICE, principalment, així com pels pronunciaments diversos realitzats per part de l’Agencia Espanyola de Protecció de Dades (endavant, “AEPD”), que es refereixen a la instal·lació de cookies i tecnologies similars utilitzades (com local shared objects o flash cookies, etc.) per emmagatzemar i recuperar dades d’un equip terminal (per exemple, un ordinador, un telèfon mòbil o una tablet) d’una persona física o jurídica que utilitza, per motius professionals o no, un servei de la societat de la informació.
En tot cas, tal i com indica la pròpia AEPD, en aquelles situacions en les que la la instal·lació i/o utilització d’una cookie comporti el tractament de dades personals, els responsables del tractament hauran d’assegurar-se del compliment de les exigències addicionals establertes per la normativa sobre protecció de dades personals, en particular, en relació amb les dades especialment protegides.
Per altra part, amb la finalitat de determinar l’abast de la normativa, és necessari indicar que queden exceptuades del compliment de les obligacions establertes a l’article 22.2 de la LSSICE, les cookies utilitzades per alguna de les següents finalitats i) permetre únicament la comunicació entre l’ equip de l’ usuari i la xarxa; ii) estrictament prestar un servei expressament sol·licitat per l’ usuari, -també admès pel Grup de Treball de l’article 29 en el seu Dictamen 4/2012-.
Partint del context descrit amb anterioritat, en les últimes setmanes per part de la referida AEPD, han estat emesos una sèrie pronunciaments que intenten donar seguretat jurídica en el que es refereix a la utilització de cookies, enteses aquestes com arxius o fitxers de ús generalitzats que permeten emmagatzemar dades en els equips amb diferents finalitats, així com també a l’ús de qualsevol altra tecnologia similar utilitzada per emmagatzemar informació o accedir a informació emmagatzemada en l’equip terminal.
Tot això, esperant que es publiqui per part del referir organisme de control, l’actualització de la guia sobre l’ús de d’aquetes tecnologies publicada al seu moment l’any 2014. En les següent línies procedim a extractar les novetats més importants fins al moment a través de les resolucions al·ludides:
- RESOLUCIÓN: R/00431/2019: nos encontramos ante una resolución de archivo de actuaciones, donde únicamente resulta relevante destacar que, la AEPD realiza nuevamente una exposición detallada sobre el contenido del que debe de disponer el mecanismo de información por capas recomendado para dar cumplimento a los deberes de información y transparencia en aquellos supuestos en los que se ha optado por la utilización de cookies y/o tecnologías similares.
- RESOLUCIÓN: R/00433/2019 y R/00434/2019: tal y como sucede en el anterior supuesto, en ambas resoluciones de apercibimiento emitidas por parte de la AEPD se realiza una pormenorizada explicación sobre el contenido del que debe de disponer el sistema de información por capas. Pero lo relevante de ambas, radica en los siguientes puntos: i) se indica que el sistema de gestión o panel de configuración de las cookies que aparece en la primera capa informativa, deberá de permitir al usuario tres opciones claramente diferenciadas, esto es, un botón para rechazar todas las cookies, otro para habilitarlas, así como poder habilitarlas según su tipología; ii) se recuerda, con carácter adicional, que la información facilitada a través de los navegadores sería complementaria al sistema de información por capas, pero no excluiría en ningún caso la utilización del mismo.
- RESOLUCIÓN: R/00465/2019: nos encontramos ante una resolución de apercibimiento, donde: i) se realiza una clara exposición del mecanismo de información por capas recomendado para informar sobre el uso de las cookies y tecnologías similares, de modo que la segunda capa complemente a la primera; ii) se recuerda la obligatoriedad de que en el supuesto de que se instalen cookies de tercera parte, antes de su correspondiente instalación, se solicite el consentimiento informado por parte del afectado, dándole a éste la oportunidad de conocer la información contenida en el sitio sobre el uso de cookies y la posibilidad de rechazar o aceptar su utilización mediante una acción libre, específica, informada e inequívoca; iii) adicionalmente, también se indica que la información ofrecida para bloquear o eliminar las cookies a través de las herramientas de configuración proporcionadas por los principales navegadores resulta insuficiente a los efectos pretendidos de permitir al usuario configurar sus preferencias en forma granular; iv) se establece la posibilidad de ofrecer un botón o mecanismo que permita rechazar el consentimiento respecto de la instalación con la misma facilidad con la que se posibilita el consentimiento a su instalación, debiendo ofrecerse al usuario o la modalidad de “Seguir navegando” o el mecanismo de “Aceptar” cookies.
- RESOLUCIÓN: R/00499/2019: en el último pronunciamiento analizado, nos encontramos ante una resolución de terminación del procedimiento por pago voluntario donde se acuerda la imposición de un sumatorio total de sanción que asciende a los 30.000€ para el sujeto infractor. Lo relevante de la misma radica en la reflexión que se reproduce en la misma, mediante el siguiente tenor literal: “En el presente caso, si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de estas en el dispositivo o de cualquier otra cookies, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador.”
Sense perjudici de l’anterior, i com s’ha exposat a l’inici, quedem expectants sobre la nova actualització de la guia de cookies que haurà de publicar-se en un breu període de temps per part de l’ AEPD, especialment, si tenim en compte que altres autoritats de control del context europeu ja han emès els seus pronunciaments al respecte. Tot i això, sense tenir en compte les consideracions que se’n puguin derivar de l’aprovació del futur Reglament e- Privacy, la versió final del que no està encara clarament definida.
Contacte
-
Departament de Transformació Digital
-
Mallorca, 283
08037 Barcelona , Barcelona (Espanya) - 93 601 12 39 / 93 496 18 80
- digitalicab@icab.cat
-
Mallorca, 283