“Cookies”, las galletas más caras de la historia.

 

Fuente: Fernández (Cegen Den Strich)

Fuente: Fernández
(Cegen Den Strich)

Aviso a navegantes.

El pasado 21 de enero de 2014 la Agencia Española de Protección de Datos (AEPD) estrenó resolución sancionadora en materia de cookies, imponiendo sendas multas económicas de 3.000 y 500 euros respectivamente a dos PYMES españolas por no informar correctamente o, mejor dicho, por informar de manera “insuficientemente clara y completa” sobre las cookies que utilizaban en sus respectivos sitios web.

¿Por qué estas dos empresas entre las miles de empresas españolas que no cumplen con la norma? Pues sencillamente porque alguien las denunció; la inspección no fue de oficio. Y según fuentes de la propia AEPD, actualmente hay en curso casi una veintena de procedimientos sancionadores donde las cookies son “la estrella invitada”.

Desde que se aprobó la normativa europea exigiendo el previo consentimiento informado de los  usuarios para instalar determinadas cookies – consentimiento opt-in frente al tradicional op-out–  a través de la Directiva 2009/136/EC, de 25 de noviembre de 2009, que modificó entre otras, la Directiva 2002/58/EC, han transcurrido algo más de cuatro años. Tiempo de espera, debate e incertidumbre.

  • Espera, porque España, haciendo alarde – una vez más- de una exquisita y refinada técnica legislativa, tardó más de dos años en transponer la Directiva. El plazo finalizaba el 25 de mayo del 2011; pero España se lo pensó un año más. Y cuando – tras el tirón de orejas europeo- finalmente se decidió a hacerlo, dando al artículo 22.2 de la LSSI su redactado actual. … Oopps! se olvidó de incluir un régimen sancionador para exigir su cumplimiento. Razón por la cual la AEPD únicamente ha sancionado por falta de información sobre el uso de ciertas cookies; y no por falta de consentimiento del usuario a su instalación.
  • Debate, pues la virtualidad de la norma, la necesidad de implementarla -ofreciendo al tiempo una buena experiencia de usuario- y la complejidad de su efectiva implementación, han generado y continúan generando numerosas críticas por parte de diversos sectores. La norma se percibe como de muy difícil cumplimiento,  generadora de desventajas competitivas para las empresas y, por ende,-y desde mi punto de vista- lo más importante, como totalmente inefectiva, a la vista de la información que se puede obtener de un usuario a través de otros métodos. (Si os interesa el tema os recomiendo profundizar en las técnicas de Web Browser Fingerprinting).
  • Incertidumbre, pues pese a que llevábamos 4 años esperando a que viniera el lobo, no ha sido hasta esta resolución cuando finalmente le hemos visto las orejas.  Y de repente, todos queremos cumplir con la Ley.

Pero ¿cómo hemos de hacerlo? Y,  lo más importante, ¿ello garantizará nuestra privacidad o simplemente nos ahorrará una multa?.

La LSSI exige para la instalación de cookies que sus destinatarios den su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos”. Para aplicar e interpretar dicha exigencia, el Grupo de Trabajo del Artículo 29 ha emitido distintas opiniones (Dictamen 2/2010 sobre publicidad comportamental en línea [WP 171]; Opinión 04/2012 sobre la excepción del consentimiento en las Cookies [WP 194] y el Documento de Trabajo 02/2013, proporcionando una guía para obtener el consentimiento para cookies [WP 208]. También la AEPD publicó el año pasado la Guía sobre el uso de las Cookies, destinada a arrojar cierta luz sobre el uso de tales herramientas en el sector de la publicidad online.

Pese a ello, su aplicación práctica continúa planteando ciertas incógnitas, que la AEPD, en sus sucesivas resoluciones, nos irá desvelando.

Carmen Casado Ticmotions

Contacta