La norma de rango especial que rige el uso de las cookies es la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Las cookies son archivos de texto que un sitio web transfiere al dispositivo por el que se accede a la web para almacenar sus preferencias de navegación o recopilar información estadística (por ejemplo: ubicación, tiempo de conexión, páginas vistas, etc.)
El uso de cookies en los dispositivos de los destinatarios requiere el consentimiento previo de estos, tras haberle facilitado información clara, comprensible y suficiente sobre ellas y, en particular, sobre los fines del tratamiento.
La voluntad manifestada será libre, específica, informada e inequívoca y habrá de manifestarse por medio de fórmulas expresas, como hacer «clic» en un apartado que indique «consiento», «acepto» o términos similares. En ningún caso, seguir navegando es una opción válida.
La AEPD en su Guía sobre el uso de las cookies nos facilita ejemplos de primera capa informativa sobre un mismo supuesto, en el que se utilizan cookies propias y de terceros para fines de análisis y publicidad comportamental.
Las acciones de aceptar o rechazar las cookies tienen que presentarse a la misma altura y con el mismo formato, sin que la configuración de su posición dificulte rechazarlas más que aceptarlas. No cabe resaltar el botón de «aceptar» sobre el de «rechazar», por ejemplo, cambiando el tamaño, letra o color. La idea es que no debe ser más complicado rechazarlas que aceptarlas.
En la segunda capa el usuario será informado, con todo detalle, sobre las cookies empleadas y las finalidades de cada una.
En cuanto al consentimiento de menores de 14 años, el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado por el titular de la patria potestad o tutela, teniendo en cuenta la tecnología disponible y las circunstancias. La AEPD propone dos plantillas, pero ninguna me convence. El ejemplo 1 es muy fácil de salvar por el menor, haciendo clic en «aceptar». En el ejemplo 2 se incluye una fórmula de verificación por edad que no ofrece mucha confianza, pues nada impide que el menor ponga la fecha requerida y haga clic en «aceptar»:
Una formula válida podría consistir en requerir información adicional de los padres o tutores a efectos de verificación, por ejemplo, un correo electrónico de contacto al que poder remitirle un mensaje con la finalidad de que se verifique el consentimiento. Otra opción es abstenerse de utilizar cookies de publicidad comportamental en páginas web dirigidas mayoritariamente a menores.
Quedan exceptuadas de la regla anterior, impuesta por el artículo 22 apartado 2 de la LSSI, por tanto, no es necesario informar ni obtener el consentimiento del usuario, cuando se trate de cookies técnicas, que son aquellas que permiten al usuario la navegación a través de una página web, una plataforma o una aplicación y la utilización de las diferentes opciones o servicios que en ella existan. Son ejemplos de estas cookies las siguientes:
- Cookies de sesión y de entrada del usuario.
- Cookies de autenticación o identificación del usuario (únicamente de sesión).
- Cookies de sesión de reproductor multimedia.
- Cookies de personalización de la interfaz de usuario.
Nueva modalidad
La nueva modalidad que se impone es pagar para que no instalen cookies en nuestros dispositivos. Veamos un ejemplo:
En su Guía sobre el uso de las cookies, en el Apartado 3.2.10 sobre la posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies, la AEPD dispone: «Podrán existir determinados supuestos en los que la no aceptación de la utilidad de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de las cookies».
Personalmente creo que dicha fórmula es inaceptable: privacidad para quien pueda pagarla. Convertir un derecho fundamental en un servicio de pago no debería admitirse nunca.
Uso de cookies por las Administraciones públicas
No es infrecuente encontrar sitios web de las Administraciones públicas que no disponen de un panel de configuración de cookies. Sin embargo, conviene plantearse si, de acuerdo con la LSSI, estas entidades pueden considerarse prestadores de servicios de la sociedad de la información.
La AEPD, en su resolución PS/00219/2021, aborda esta cuestión al precisar en qué supuestos una Administración Pública puede ser considerada prestadora de servicios de la sociedad de la información, conforme a la LSSI, que solo es aplicable a las personas físicas o jurídicas que realicen actividades económicas por Internet u otros medios telemáticos. Por consiguiente, una Administración Pública no queda sujeta a la LSSI, salvo que, a través de su sitio web, lleve a cabo una actividad económica, por ejemplo, la venta de publicaciones o la gestión de bolsas de trabajo para la contratación de personal eventual.
Conclusión
Las cookies sirven, principalmente, para que la industria publicitaria conozca las preferencias de los usuarios, y así lanzar al usuario mensajes con publicidad personalizada. Es probable que las cookies, tal y como las entendemos hoy, tengan los días contados. Por ejemplo, Google propone un Privacy Sandbox que permitirá bloquear las técnicas de seguimiento encubiertas como el «fingerprinting» del que les hablé aquí.
Telefónica, Orange, Vodafone y Deutsche Telekom han formado una «joint venture» para procurar una alternativa a un futuro sin cookies. El nombre de la iniciativa es TrustPid. Tras las pruebas piloto realizadas en España y Alemania, con la autorización de la Comisión Europea, ha comenzado a activarse en España de la mano de Movistar, Orange y Jazztel. La iniciativa tiene como objetivo permitir recomendaciones personalizadas de productos en Internet a aquellos usuarios que lo desean, pero de una manera respetuosa con la privacidad. Los usuarios decidirán por sí mismos si quieren o no activar este servicio.
Para prestar el servicio de publicidad personalizada a aquellos usuarios que se dieran de alta, los proveedores de telecomunicaciones crean un token cifrado para cada cliente al procesar su dirección IP. Esos tokens son administrados por TrustPid. En el token digital no habrá datos personales que permitan la identificación del usuario y tendrá una validez de 90 días. Será este token el que se intercambiará a anunciantes y editores para poder seguir la actividad de los diferentes usuarios en sitios webs y aplicaciones, de modo que puedan ofrecer contenido personalizado a sus respectivos «targets».
A diferencia de las cookies, la herramienta de Telefónica, Orange, Vodafone y Deutsche Telekom no se puede deshabilitar ni bloquear desde la configuración del navegador web o mediante la ocultación de direcciones IP, pues su implementación se haría a nivel de infraestructura de conexión, lo cual genera numerosas críticas, pues el usuario queda en manos de las operadoras, debiendo fiarse de que los permisos y revocaciones se cumplan.
Por lo de pronto, han de saber que carecer de la «política de cookies» se sanciona con multa de 2.000 €. La misma sanción se aplica a la inexistencia de una «política de privacidad» (PS/00317/2020). La ausencia de mecanismos que permitan al usuario rechazar las cookies se sanciona con multa de 3.000 € (PS/00141/2020) y utilizar cookies sin facilitar la debida información al usuario o sin obtener su consentimiento en los términos exigidos por el artículo 22.2 de la LSSI se sanciona con multas hasta de 30.000 € (PS/00295/2019).
No se pierda nuestro podcast sobre el artículo
