Regulación jurídica de las cookies

Reglamento General de Protección de Datos

Por
12/05/2022

El Reglamento General de Protección de Datos entró en vigor en 2018.

Desde entonces, tenemos una normativa común en todo el espacio europeo para la protección de datos personales.

Debido a la globalización, ha resultado de imperiosa necesidad establecer un marco común para proteger la intimidad personal, familiar y a la propia imagen de las personas físicas.

Esta globalización y rápida evolución tecnológica ha planteado una serie de retos para proteger los datos personales.

Entre esos retos podemos encontrar la regulación del uso de cookies u otro tipo de identificadores.

¿Qué son las cookies?

Existen varios tipos de cookies, si bien, y al objeto que nos interesa, las dividiremos entre las cookies propias y las cookies de terceros.

Cookies propias

Las cookies propias o técnicamente necesarias se generan por el propio sitio web que se está visitando y se colocan en el dispositivo del usuario.

Sirven para establecer una serie de funciones básicas.

Ejemplos pueden ser la identificación y recuerdo del usuario y contraseña para no tener que introducirlos en sucesivas visitas.

También pueden servir para dar una mejor experiencia al usuario, como podría ser recordar el idioma o moneda de uso o indicarle al usuario dónde dejó la navegación la última vez.

Cookies de terceros

En cambio, las cookies de terceros o técnicamente no necesarias sí tienen fines analíticos y de marketing. Éstas se colocan en el dispositivo del usuario por una web diferente a la que está visitando.

En general, lo que realizan es rastrear la actividad en línea del usuario, incluido el historial de visitas.

Por ello, es muy común encontrar publicidad de algún producto que hemos buscado con anterioridad o, en general, otro tipo de anuncios personalizados en función de nuestras búsquedas.

Debido a la naturaleza de este tipo de cookies, normalmente se consideran intrusos de la privacidad.

Cookies polivalentes

Cabe tener en cuenta que existen cookies polivalentes, es decir, aquellas que tienen más de una finalidad, donde una de ellas será una cookie propia y otra será una cookie de terceros.

Pero ¿las cookies se regulan en el Reglamento General de Protección de Datos?

En primer lugar, cabe destacar que las cookies no se regulan ni en el Reglamento General de Protección de Datos europeo ni en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

De hecho, el Reglamento General de Protección de Datos solamente hace referencia a las cookies en el Considerando 30, pero no trata de manera específica su regulación.

La primera normativa que surgió para regular las cookies fue la Directiva 2002/58/CE.

El objetivo inicial de la llamada “ley de cookies” o Directiva ePrivacy era garantizar la privacidad de los usuarios que podían ser objeto de prácticas de seguimiento online con el objetivo de elaborar perfiles.

Y, a raíz de esta elaboración de perfiles se realizan campañas de publicidad online personalizadas, las cuales, la mayoría de las veces, son no deseadas.

Con posterioridad, la llamada “ley de cookies” se modificó con la Directiva 2009/136/CE, y es aquí cuando se estableció que debía informarse a los usuarios de forma clara, comprensible e inequívoca sobre el uso de las cookies de las páginas online.

Además de esta información se requería otorgar un consentimiento explícito para que se pudieran tratar sus datos personales, lo cual implica la instalación de cookies en el navegador.

¿En qué ley española se regula?

Debemos partir de la base de que las Directivas no tienen aplicación directa, si no que, los propios Estados Miembros deben incorporarlas a su derecho interno.

Y es cuando, para incluir en nuestro derecho interno los extremos regulatorios que introducía la Directiva 2009/136/CE, nace el Real Decreto-ley 13/2012, y, concretamente, se materializa en el artículo 22 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Por tanto, es en la LSSI donde se explicita la necesidad del aviso previo al usuario del uso de cookies (excluyéndose las necesarias para el funcionamiento de la página) y, por supuesto mediando su consentimiento.

¿Cómo debe ser la conformidad del usuario?

Debe tratarse de un consentimiento libre, específico, informado e inequívoco, tal y como redacta la Directiva ePrivacy y, todo ello, en consonancia con lo dispuesto en el Reglamento General de Protección de Datos.

La Directiva de cookies determina que no se debe establecer ninguna cookie o rastreador antes del consentimiento previo del usuario, excepto aquellas que sean estrictamente necesarias.

Para mayor abundamiento, lo que indica la Directiva, concretamente en su Considerando 26, es que el consentimiento deberá estar “fundado en una información plena y exacta”.

Se deberá incluir en esta información el tipo de tratamiento que se pretende llevar a cabo y “sobre el derecho del abonado a denegar o a retirar su consentimiento a dicho tratamiento”.

Ello implica que la mayoría de sitios web no cumplen con las prerrogativas anteriormente indicadas, lo cual puede suponer multas muy cuantiosas por parte de la Agencia Española de Protección de Datos.

De hecho, la propia Agencia Española de Protección de Datos publicó una Guía sobre el uso de cookies, muy útil para comprender cómo se determina el correcto cumplimiento de la normativa relativa a cookies.

El consentimiento o rechazo de las cookies

Cuando accedemos a cualquier página web, aparece un cuadro de diálogo o banner.

En este, normalmente nos preguntan si estamos de acuerdo con el uso de cookies para “almacenar o acceder a información en un dispositivo, anuncios y contenido personalizados”, etc.

Y, dependiendo de la página web, podríamos encontrar la opción de “aceptar” y la de “configurar”.

Realmente, lo óptimo sería que se añadiera a la opción de aceptar, otra que expresamente indicase “rechazar todas”.

Además, el Comité Europeo de Protección de Datos se pronunció en sus guías sobre el consentimiento de las cookies, determinando que:

  • Hacer scroll o seguir navegando no es una forma válida de consentimiento.
  • Si hay casillas premarcadas en los banners esto no es acorde a la ley, excepto en el caso de las cookies estrictamente necesarias.
  • No se puede forzar el consentimiento a cambio de acceder a la página web.

Privacy Sandbox

Ya en 2020 Google advirtió que pretendía permitir el bloqueo de las cookies de terceros en su navegador, Chrome.

Esto no es ninguna novedad, ya que Safari y Firefox, por ejemplo, ya lo vienen haciendo desde hace tiempo.

Si bien, no es menos cierto que Chrome cuenta con una cuota de mercado de usuarios muchísimo mayor que otros navegadores.

La posibilidad que tiene el usuario de bloquear las cookies de terceros es, aparente y simplemente, una opción que tiene el usuario de eliminar la publicidad invasiva y no deseada.

Si bien, la eliminación de las cookies va mucho más allá.

El objetivo, a priori, es dejar de monitorizar el comportamiento online y mostrar anuncios relevantes a la par que se preserva la privacidad de los usuarios.

Realmente, veremos con el paso del tiempo hacia donde se encamina este cambio.

Es posible que sea hacia una mayor protección de la privacidad de los usuarios.

Pero, también es posible que se empleen técnicas más opacas, como pueden ser las huellas digitales.

En cualquier caso, se siguen discutiendo tales extremos para llegar a una situación intermedia en la que se use una publicidad competitiva y poco invasiva con la privacidad de los usuarios.

En INEAF contamos con diferentes formaciones en las que se tratan estos extremos, como puede ser el Curso en Régimen Jurídico del Marketing, o Curso de Delegado de Protección de Datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS