La creación de perfiles por medio de cookies y soluciones de Inteligencia Artificial: un repaso a su situación legal en España

28 de mayo de 2021

Patricia Manca Díaz

Socia responsable de NewLaw en PwC Tax & Legal

+34 915 614 534

Pablo Fernández Burgueño

Abogado del departamento de NewLaw en PwC Tax & Legal

El tejido industrial español se prepara para la integración de nuevas soluciones que permitan crear huellas digitales de los usuarios para conocerlos mejor y poder ofrecerles una experiencia única gracias a la aplicación de soluciones de inteligencia artificial.

El rastro digital que toda persona deja al utilizar terminales informáticos o dispositivos conectados, genera perfiles únicos que luego son usados por algoritmos para que las empresas puedan prever comportamientos y anticipar acciones de los usuarios.

En la actualidad, existe un reglamento que marca el camino para llevar a cabo estas actividades con pleno respeto a la normativa vigente. Pero, ¿conocen estas normas las empresas españolas? ¿Están preparadas para los cambios que se avecinan?

1. La huella digital con fines analíticos, creación de perfiles y como 2FA

La cadencia de pulsaciones sobre el teclado o la forma en que se sostiene el terminal móvil permiten obtener datos para que una empresa pueda identificar de forma unívoca a una persona física. Estas soluciones tecnológicas conforman, junto con las cookies, un rastro digital único por usuario, conocido como huella digital.

La huella digital que todas las personas dejan al usar terminales es utilizada por las empresas como doble factor de autenticación en línea con sus políticas Know Your Customer y como fuente de datos para la creación de perfiles.

La solución más conocida es la cookie. Este pequeño archivo permite al prestador de servicios reconocer al usuario, mantener activo su acceso con credenciales o incluso crear perfiles únicos de personas etiquetadas según sus preferencias y hábitos de navegación.

2. ¿Cuál es la normativa de cookies en España?

La regulación de huella digital aplicable en España, conocida como Ley de Cookies, cuenta con dos pilares: la normativa de protección de datos personales, y la aplicable a los prestadores de servicios de la sociedad de la información. A estos se le sumará, próximamente, la normativa sobre inteligencia artificial.

Adicionalmente, se deben tener en cuenta otras normas tales como el Estatuto de los Trabajadores para medir la productividad de las personas trabajadoras o el Esquema Nacional de Seguridad, para determinar los requisitos para contratar a prestadores de servicios o invocar contenido de terceros en sitios webs propios.

Estas son algunas recomendaciones para cumplir la norma conocida como Ley de Cookies:

  • Las cookies deben estar deshabilitadas por defecto (AEPD PS/00127/2019).
  • El banner de cookies debe incluir el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas. (Stc. TJUE C-673/17).
  • El botón para rechazar todas las cookies debe ser tan accesible como el de aceptar (AEPD PS/00032/2020).
  • No es admisible activar las cookies por el solo hecho de cerrar el banner, continuar navegando, hacer scroll o dejar pasar el tiempo (CEPD Directrices 5/2020).

Un caso de especial interés en el que es de aplicación la normativa de cookies es en el email marketing. Como recuerda la AEPD en su Informe 11/2014, la empresa no está legitimada a saber si una persona ha abierto la newsletter, salvo que el receptor haya consentido este tratamiento específicamente y de forma separada al de suscripción.

Otro caso de interés es el de las empresas que cuentan con perfil en redes sociales o que han integrado botones sociales en sus propios sitios web, que se ven obligadas a publicar en su aviso de cookies un resumen del contrato que han aceptado con esas plataformas de terceros para que sus responsables puedan recopilar y tratar datos de los usuarios para la creación de perfiles, conforme indica el TJUE en sus sentencias C-210/16 y C-40/17.

3. ¿Cuáles son las tendencias entre usuarios y empresas?

Los usuarios están tomando conciencia de la importancia de proteger su privacidad y actúan en consecuencia activando escudos y soluciones para limitar el acceso a sus datos.

Algunas prácticas eficaces por parte de los usuarios son la habilitación del estándar Do Not Track en sus navegador, la activación de bloqueadores publicitarios y la deshabilitación parcial de JavaScript. Pero lo más habitual es que los usuarios naveguen en ventanas de incógnito o utilicen VPN, prácticas estas que no mitigan efectivamente la creación de la huella digital.

Por parte de las empresas, las tendencias discurren por la creación de perfiles a partir de la recogida tradicional de datos personales (solución people-based), el cruce de datos entre empresas (ID Universal) o el uso de la Google Privacy Sandbox, que, sin descubrir identidades y gracias al uso de una solución de inteligencia artificial, permitirá dirigir mensajes publicitarios a usuarios etiquetados y agrupados en cohortes.

4. ¿Qué hay de la regulación de la Inteligencia Artificial para la creación de perfiles?

La industria se ajusta a las nuevas tecnologías e innova para mantener un nivel de crecimiento similar o mejor al actual en materia de analítica, marketing y programática.

La mayor preocupación para las empresas y los usuarios está en las consecuencias de la toma de decisiones individuales automatizadas que nos traerá la inteligencia artificial. Los algoritmos usados por las plataformas digitales están empezando a ofrecer a los usuarios únicamente contenido personalizado, limitando su forma de acceder a la información.

La ética en la inteligencia artificial aplicada a la creación de perfiles en el marco publicitario y el comercio electrónico, así como en otros escenarios como el laboral o el de la seguridad, genera una preocupación generalizada. La Unión Europea está trabajando para mitigarla, y de hecho, ya tenemos una reveladora propuesta europea de Reglamento sobre los usos de la Inteligencia Artificial.


¿Quieres saber más?

Recientemente, hablamos sobre todas estas cuestiones en un podcast con César Tello, director general de Adigital, y Patricia Manca y Pablo Fernández Burgueño, socia y abogado of counsel de PwC Tax & Legal, y autores de este Periscopio. Puedes escucharlo en nuestro canal de Ivoox o de Spotify.


Desde New Law, de PwC Tax & Legal, ofrecemos asesoramiento integral a las empresas que deseen hacer uso de soluciones innovadoras de monitorización y rastreo, aportando plena seguridad jurídica, a través de metodologías legal design y asegurando un continuo respeto a la normativa aplicable.

Alertas Relacionadas