La norma de rango especial que rige el uso de las cookies es la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Las cookies son archivos de texto que un sitio web transfiere al dispositivo por el que se accede a la web para almacenar sus preferencias de navegación o recopilar información estadística (por ejemplo: ubicación, tiempo de conexión, páginas vistas, etc.)
El uso de cookies en los dispositivos de los destinatarios requiere el consentimiento previo de éstos, tras haberle facilitado información clara, comprensible y suficiente sobre ellas y, en particular, sobre los fines del tratamiento.
La voluntad manifestada será libre, específica, informada e inequívoca y habrá de manifestarse por medio de fórmulas expresas, como hacer «clic» en un apartado que indique «consiento», «acepto» o términos similares. En ningún caso, seguir navegando es una opción válida.
La AEPD en su Guía sobre el uso de las cookies nos facilita ejemplos de primera capa informativa sobre un mismo supuesto, en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad comportamental.
Las acciones de aceptar o rechazar las cookies tienen que presentarse a la misma altura y con el mismo formato, sin que la configuración de su posición dificulte rechazarlas más que aceptarlas. No cabe resaltar el botón de «aceptar» sobre el de «rechazar», por ejemplo, cambiando el tamaño, letra o color. La idea es que no debe ser más complicado rechazarlas que aceptarlas.
En la segunda capa el usuario será informado, con todo detalle, sobre las cookies empleadas y las finalidades de cada una.
En cuanto al consentimiento de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias. La AEPD propone dos plantillas, pero ninguna me convence. El ejemplo 1 es muy fácil de salvar por el menor, haciendo clic en «aceptar». En el ejemplo 2 se incluye una fórmula de verificación por edad que no ofrece mucha confianza, pues nada impide que el menor ponga la fecha requerida y haga clic en «aceptar»:
Una formula válida podría consistir en requerir información adicional de los padres o tutores a efectos de verificación, por ejemplo, un correo electrónico de contacto al que poder remitirle un mensaje con la finalidad de que se verifique el consentimiento. Otra opción es abstenerse de utilizar cookies de publicidad comportamental en páginas web dirigidas mayoritariamente a menores.
Quedan exceptuadas de la regla anterior, impuesta por el artículo 22 apartado 2 de la LSSI, por tanto, no es necesario informar ni obtener el consentimiento del usuario, cuando se trate de cookies técnicas, que son aquellas que permiten al usuario la navegación a través de una página web, una plataforma o una aplicación y la utilización de las diferentes opciones o servicios que en ella existan. Son ejemplos de estas cookies las siguientes:
- Cookies de sesión y de entrada del usuario.
- Cookies de autenticación o identificación del usuario (únicamente de sesión).
- Cookies de sesión de reproductor multimedia.
- Cookies de personalización de la interfaz de usuario.
Nueva modalidad
La nueva modalidad que se impone es pagar para que no instalen cookies en nuestros dispositivos. Veamos un ejemplo:
En su Guía sobre el uso de las cookies, en el Apartado 3.2.10 sobre la posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies, la AEPD dispone: «Podrán existir determinados supuestos en los que la no aceptación de la utilidad de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de las cookies».
Personalmente creo que dicha fórmula es inaceptable. Si quieren saber por qué lo creo, hagan clic aquí.
Uso de cookies por las Administraciones públicas
Puede ser habitual acceder a la web de una Administración pública y encontrarse que no tienen un panel de configuración de cookies, sin ir más lejos el sitio web de la AEPD, que se limita a la siguiente advertencia: «Este portal web únicamente utiliza cookies propias con finalidad técnica, no recaba ni cede datos de carácter personal de los usuarios sin su consentimiento» y en pequeño se añade: «Sin embargo, contiene enlaces a sitios web de terceros con políticas de privacidad ajenas a la de la AEPD que usted podrá decidir si acepta o no cuando acceda a ellos» con una sola opción: «Entendido».
Cabe la duda de si las Administraciones Públicas son o no prestadores de servicio de la sociedad de la información de acuerdo a las definiciones establecidas en la LSSI.
La AEPD en la resolución PS/00219/2021 resuelve la duda, determinando en qué casos se puede establecer que una Administración Pública es un prestador de servicio acorde con la LSSI, y por ello obligada a cumplir con los requisitos de informar y solicitar el consentimiento para la implantación de las cookies en el navegador del usuario.
La LSSI es aplicable a las personas físicas o jurídicas que realicen actividades económicas por Internet u otros medios telemáticos, por tanto, una Administración Pública no encajaría dentro de la LSSI, salvo que, a través de la página web de dicha Administración Pública se realizase una actividad económica, como por ejemplo la venta de publicaciones o la gestión de la bolsa de trabajo para la contratación de personal eventual.
Conclusión
Las cookies sirven, principalmente, para que la industria publicitaria conozca las preferencias de los usuarios, y así lanzar al usuario mensajes con publicidad personalizada. Es probable que las cookies, tal y como las entendemos hoy, tengan los días contados. Por ejemplo, Google propone un Privacy Sandbox que permitirá bloquear las técnicas de seguimiento encubiertas como el «fingerprinting» del que les hablé aquí.
Telefónica, Orange, Vodafone y Deutsche Telekom han formado una gran alianza para procurar una alternativa a un futuro sin cookies. El nombre de la iniciativa es TrustPid. La herramienta, pendiente de la autorización de las autoridades comunitarias, está en fase de pruebas. Según sus promotores, la iniciativa tiene como objetivo permitir recomendaciones personalizadas de productos en Internet a aquellos usuarios que lo desean, pero de una manera respetuosa con la privacidad. Los usuarios decidirán por sí mismos si quieren o no activar este servicio.
Para prestar el referido servicio de publicidad personalizada a aquellos usuarios que se dieran de alta, los proveedores de telecomunicaciones crearían un token cifrado para cada cliente al procesar su dirección IP. Esos tokens serían administrados por TrustPid. El usuario podría consultar en un portal a qué editores y marcas ha dado su consentimiento, pudiendo revocar este en cualquier momento.
A diferencia de las cookies, la herramienta de Telefónica, Orange, Vodafone y Deutsche Telekom no se podría deshabilitar ni bloquear desde la configuración del navegador web o mediante la ocultación de direcciones IP, pues su implementación se haría a nivel de infraestructura de conexión, lo cual genera numerosas críticas, pues el usuario queda en manos de las operadoras, debiendo fiarse de que los permisos y revocaciones se cumplan.
Por lo de pronto, han de saber que carecer de una «política de cookies» adecuada a la normativa en su página web se sanciona con multa de 2.000 €. La misma sanción se aplica a la inexistencia de una «política de privacidad» (PS/00317/2020). La ausencia de mecanismos que permitan al usuario rechazar las cookies se sanciona con multa de 3.000 € (PS/00141/2020) y utilizar cookies sin facilitar la debida información al destinatario o sin obtener su consentimiento en los términos exigidos por el artículo 22.2 de la LSSI se puede sancionar con multas hasta de 30.000 € (PS/00295/2019).