Revisitando el complejo mundo de las ‘cookies’

En el presente número de Breves de Regulación Digital (cuyo PDF puedes descargar haciendo clic aquí), analizamos la complejidad que comporta el cumplimiento del deber de información en lo relativo a las cookies. Una complejidad que va desde lo relativo a la instalación de las mismas, hasta el tratamiento posterior de los datos obtenidos con su instalación con el objetivo de medir los hábitos de navegación del usuario e impactar publicitariamente en este. Además, hay que conjugar los requisitos de la LSSICE y la regulación del consentimiento exigida por el RGPD y atender, en definitiva, a la multiplicidad de intervinientes en el proceso.

Asimismo, repasamos las distintas recomendaciones de las Autoridades de Protección de Datos europeas de España, Reino Unido y Francia han emitido al respecto. Finalmente, analizamos la reciente resolución de la Agencia Española de Protección de Datos, así como la Sentencia del Tribunal de Justicia de la Unión Europea en relación con el consentimiento para la instalación de cookies.

Contexto publicitario

Actualmente, es difícil encontrar una página web, app o plataforma que no utilice dispositivos de almacenamiento y recuperación de datos para intentar extraer información de los usuarios. Una de las herramientas más utilizadas para obtener este tipo de información son las cookies o tracking pixel que, entre otras cosas, facilitan la navegación del usuario por la web y permiten extraer datos estadísticos, evaluar el comportamiento del usuario y ofrecer publicidad de acuerdo con sus hábitos de consumo y navegación.

Un aspecto fundamental a tener en cuenta es que, con este tipo de dispositivos, el usuario no proporciona directamente la información completando un formulario, sino que se trata de información comportamental que se recaba automáticamente durante su acceso, visita y navegación.

Por otro lado, no siempre coinciden el editor de la página web, app o plataforma que instala la cookie y el tercero anunciante que explotará los datos obtenidos a través de dicho dispositivo, de forma que no solo debemos prestar atención a la tipología de cookie, sino también a las posiciones jurídicas que ocupan los distintos agentes y a las cesiones de datos que se produzcan entre los mismos.
Es decir, no basta con el anuncio de la instalación, sino que es necesario conocer las finalidades, la identificación del titular que explotará la información capturada y la forma de obtener el consentimiento.

A la complejidad técnica que acabamos de describir, se une la coexistencia de dos cuerpos normativos para regular una misma operativa con soluciones jurídicas aparentemente distintas.

Esta situación comporta que el 85% de las páginas web, apps y plataformas, no están llevando a cabo una correcta gestión de la instalación de cookies y de la obtención del consentimiento del usuario.

Contexto normativo

Por un lado, la LSSICE (sin perjuicio del futura aprobación del Reglamento de e-Privacy, que supondrá la modificación de la actual LSSICE) que, desde el año 2002, regula el régimen para la instalación de cookies y otros dispositivos que permiten el almacenamiento y recuperación de datos, y de otro, el RGPD, que regula el régimen de explotación de los datos personales que puedan obtenerse con esa instalación.

De este modo, debemos acudir a la LSSICE para la regulación de la mera instalación en los equipos de las cookies u otros dispositivos. Pero para interpretar los requisitos y exigencia del consentimiento informado que prevé la LSSICE para el uso de cookies cuando éste implique el tratamiento de datos personales, obviamente, deberemos acudir a lo establecido en el RGPD. Cuando el consentimiento para tratar los datos deba ser obtenido por terceros, también debemos acudir a las previsiones del RGPD.

Recordemos que, con RGPD, deja de tener validez el consentimiento tácito, requiriéndose en su lugar un consentimiento informado, voluntario e inequívoco. De manera que la formula de “seguir navegando”, por sí sola, carece de suficiencia para garantizar que ese consentimiento es inequívoco e informado.

Tampoco las fórmulas utilizadas hasta ahora, de seguir navegando y/o Aceptar, cubren la obtención del consentimiento cuando los datos son, en realidad, obtenidos por un tercero a través de la página web del editor, ya que no se está dando la opción al usuario de oponerse a la instalación de esas cookies en particular.

Lo anterior ha planteado un nuevo reto; el de adoptar mecanismos que permitan cumplir con los requisitos de introducidos por el RGPD en un entorno online en el que se mezclan distintos operadores, múltiples finalidades y cesiones de datos entre los mismos, o su tratamiento por parte de terceros que no gestionan directamente la instalación e información que se facilita al usuario.

En este sentido, la AEPD se había pronunciado en varias ocasiones y en concreto, en la 10ª Sesión Anual sobre la aplicación del RGPD al tratamiento de datos personales vía cookies, en la que indicó que:

“La fórmula ampliamente utilizada de ‘seguir navegando‘ para el tratamiento de información a través de cookies cuando se traten datos personales, sólo será válida si se refuerza la toma de decisiones sobre cookies«, con fórmulas como, por ejemplo, un botón para aceptarlas, otro para rechazarlas y otro para configurarlas; o un botón para aceptarla y otro para configurarlas.

Es decir, la negativa a la instalación de cookies debe ser tan sencilla como la aceptación y debe facilitarse la decisión del usuario.

Adicionalmente, y para cumplir con el principio de transparencia y el deber de información, la AEPD ha establecido que es necesario, como mínimo, ofrecer al usuario la posibilidad de aceptar o rechazar la captación de los datos personales de distintas cookies, agrupadas por finalidades (por ejemplo, cookies estadísticas, publicitarias, etc), de forma que el usuario no se vea obligado a pronunciarse cookie por cookie, ni tampoco a aceptarlas todas en bloque.

Dentro de cada finalidad y a elección del editor del sitio web, podrían asimismo agruparse las cookies en función del tercero que las instala.

De esta forma, se considerará que el usuario puede decidir si consiente o no la instalación de cookies por terceros distintos al editor de la página web, app o plataforma, para que puedan obtener datos personales relativos a su comportamiento, sin que éste consentimiento se obtenga de forma directa.

Por otro lado, como veremos más adelante, ofrecer al usuario que esa selección o rechazo de cookies se realice mediante el uso de los parámetros del navegador, como establece la LSSI, no puede hacerse extensivo a la instalación de cookies que impliquen el tratamiento de datos personales y por tanto, que precisen del consentimiento expreso del usuario.

A falta de una recomendación homogénea por parte de las autoridades de control, y de una mayor regulación en el futuro Reglamento de e-Privacy, el sector publicitario y de comunicación digital ha elaborado un sistema de gestión que se muestra en una segunda capa, y que permite al usuario, aceptar o rechazar de forma granular la instalación de cookies, así como consentir u oponerse al tratamiento por parte de terceros, anunciantes y/o proveedores.

En cualquier caso, entretanto, procede ser proactivo en el seguimiento de la aplicación de la política de precios de transferencia del Grupo y la razonabilidad de los resultados obtenidos por cada entidad o país en relación con la cadena de valor del negocio, así como proceder a su documentación, benchmarking y contraste de resultados de forma periódica.

A la espera de que la AEPD publique una nueva guía de cookies que aporte mayor claridad y permita combinar los avances tecnológicos y las exigencias normativas, podemos confirmar que este sistema ha sido validado por la AEPD y que, como veremos a continuación, ha sido ya recogido en una reciente resolución.

Respecto a los criterios de otras Autoridades de Control el ICO (inglesa), la CNIL (francesa) o el DSK (alemana), todas coinciden en que:

  • En los casos en los que se requiere consentimiento, los usuarios deben prestarlo de forma específica, libre e inequívoca antes de que se inicie la actividad de tratamiento, no siendo válido, un consentimiento tácito como por ejemplo continuar navegando.
  • El consentimiento ha de ser granulado, debe permitir al usuario aceptar o rechazar cada tratamiento concreto. No siendo válido un consentimiento general para todas las actividades de tratamiento obtenido a través de los términos y condiciones, ni tampoco el rechazo a todas las cookies configurando el navegador.
  • El consentimiento debe cubrir cada uno de los fines para los que se utilizarán las cookies. Sin embargo, en Reino Unido y Francia se acepta que las empresas ofrezcan un consentimiento global en una primera capa para todas las cookies para las que se requiera el consentimiento. (Ej: Aceptar todas las cookies).

Contexto jurisprudencial

Sentencia del Tribunal de Justicia de la Unión Europea

El TJUE ha resuelto en el asunto C-673/17, sobre la necesidad de que el usuario de un sitio web consienta de manera expresa y ‘activa’ la instalación de cookies en su terminal, excluyendo totalmente el marcado predeterminado.

En su Sentencia del 1 de octubre de 2019, el TJUE resolvió las dudas planteadas en una cuestión prejudicial por el Bundesgerichtshof (Tribunal Supremo alemán), en relación con los requisitos a la hora de recabar el consentimiento para el uso de cookies que establecen el Reglamento General de Protección de Datos y la Directiva 2002/58/EC sobre la privacidad y las comunicaciones electrónicas, en el seno de la participación en un juego con fines promocionales organizado por una empresa alemana.

En el proceso de inscripción de los participantes al sorteo se incluían dos casillas. La primera casilla no estaba marcada previamente y solicitaba a los participantes su consentimiento para el envío de comunicaciones comerciales de terceros. La segunda casilla, premarcada, pedía el consentimiento de los participantes para que se instalaran cookies en sus dispositivos con el fin de proporcionar anuncios personalizados. La participación en el juego solo era posible si marcaba, al menos, la primera casilla.

Respecto a la existencia de una casilla marcada por defecto como un método válido para recabar el consentimiento:

El TJUE sostiene que el consentimiento requerido para el almacenamiento o el acceso a información almacenada en el dispositivo del usuario a través de cookies, en su caso, no se da de forma efectiva mediante una casilla premarcada, aunque el usuario pueda desmarcar la misma. En este sentido, el Tribunal, reconoce la plena aplicabilidad del RGPD y manifiesta que el consentimiento activo no se demuestra mediante la inclusión de casillas premarcadas: El silencio, las casillas premarcadas o la inactividad no constituyen consentimiento.

En todo caso, se precisa una acción del usuario para que se considere que el consentimiento se ha expresado libre e inequívocamente.

Asimismo, el TJUE se pronuncia, de conformidad con la Directiva 2002/58, sobre la necesidad de recabar el consentimiento de los usuarios con independencia de si se trata de datos personales o no, pues tiene como finalidad proteger al usuario del riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en el terminal del usuario sin su consentimiento.

Respecto a la información a suministrar a los usuarios:

De acuerdo con la sentencia del TJUE, los usuarios deben estar plenamente informados sobre el uso de las cookies antes de prestar su consentimiento. Para ello, el operador del sitio web debe facilitar una información suficientemente clara y concreta al objeto de que los usuarios puedan determinar fácilmente las consecuencias del consentimiento; de esta manera se garantiza que dicho consentimiento se ha otorgado con pleno conocimiento de causa.

Por ello, el Tribunal entiende que, para garantizar un tratamiento justo y transparente de los datos, el operador del sitio web deberá informar a los usuarios sobre la duración del funcionamiento de las cookies y sobre el acceso a datos por parte de terceros.

Resolución de la Agencia Española de Protección de Datos:

La AEPD ha impuesto recientemente una sanción por valor de 30.000€ a una aerolínea española por no cumplir con los nuevos estándares de la obtención del consentimiento para la instalación y el uso de cookies.

Si bien la página web de la aerolínea contaba con una primera y segunda capa de información sobre cookies, esta última no permitía al usuario seleccionar qué tipos de cookies deseaba instalar en su equipo, ni rechazarlas todas, remitiéndose a la configuración del navegador en cuestión para eliminarlas, tal y como ha manifestado en varias ocasiones la AEPD.

La AEPD considera dicha actuación como una infracción del artículo 22.2 de la LSSI, pues “el consentimiento a que se cedan los datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de éstas en el dispositivo o de cualquier otra cookie, sino que remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o retirar el prestado, si no es a través de las opciones del navegador”.

Es patente, una vez más, la importancia del uso de soluciones tipo ‘Rechazar/Configurar’ para recabar el consentimiento, que permitan al usuario administrar sus preferencias, considerando complementaria pero insuficiente “la información ofrecida sobre las herramientas de los navegadores sobre la configuración de cookies”.

Conclusiones

  • La existencia de dos cuerpos normativos que regulen una misma materia no puede llevar a confusión. La instalación de cookies que recaben datos personales no puede derivarse de la inclusión de un simple banner con la invitación a ‘seguir navegando’, ni tampoco la remisión a la configuración de los parámetros del navegador.
  • La información a suministrar al usuario ha de ser clara y, transparente, tal y como expresamente exige el RGPD.
  • Una forma de conseguir dicha transparencia puede ser la de ofrecer mecanismos o sistemas que permitan al usuario ser plenamente consciente de la instalación de cookies y de la finalidad de su utilización, decidir su aceptación o la oposición al uso de las mismas, así como informar si permite la obtención del consentimiento para el tratamiento por parte de terceros que puedan instalar otras cookies siendo, en definitiva, conocedor del uso y destino de sus datos, así como la opción de cambiar la configuración en cualquier momento.
  • Esto se refleja en la imposición de sanciones a aquellas empresas que no cumplen suficientemente con los mencionados deberes de información y transparencia en los supuestos de instalación de cookies u otros dispositivos de obtención y almacenamiento de datos del usuario.
Claudia Nieto: