Qué se debe hacer para aplicar la Ley de Cookies a la web de nuestro despacho

'Qué se debe hacer para aplicar la Ley de Cookies a la web de nuestro despacho', por María González, asociada senior de Information Technology de ECIJA

La regulación sobre el uso de Cookies integrada en el art. 22 de la Ley de Servicios de la Sociedad de la Información, deriva de la trasposición de la normativa comunitaria e cuenta al fin con una Guía de Uso de Cookies, elaborada por la Agencia Española de Protección de Datos con la colaboración de la industria.

La regulación vigente en materia de cookies se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico), y deriva de la trasposición de la regulación comunitaria en la materia (Directiva Europea 2009/136/CE del Parlamento Europeo y del Consejo de 25 de noviembre del 2009), y establece que:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Para concretar las obligaciones legales que se derivan del citado artículo en las páginas web de los despachos de abogados, hemos de concretar algunos aspectos importantes como; a que cookies aplica la normativa, cómo determinar que cookies tiene implantadas nuestra web, analizar en función del tipo de cookies las acciones a adoptar por parte del despacho para el cumplimiento de las principales obligaciones: información y consentimiento.

¿Qué son las cookies?

Se trata de ficheros o dispositivos informáticos que se descargan en el equipo terminal del usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. Existen distintos tipos de cookies en función de su finalidad:

• Técnicas: Aquellas que permiten al usuario la navegación por el sitio web (cookies de control de tráfico, de sesión, etc.)

• De personalización: permiten al usuario personalizar determinadas características del sitio web (idioma, navegador, configuración regional, etc), y que estas características sean recordadas en accesos posteriores.

• De análisis: permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios en los sitios web donde están vinculadas.

• Publicitarias: aquellas que permiten la gestión de los espacios publicitarios.

• De publicidad comportamental: aquellas que almacenan información sobre el comportamiento de los usuarios y sus hábitos de navegación, y permiten al editor una gestión más eficaz de los espacios publicitarios, desarrollando un perfil específico del usuario para mostrar publicidad en función del mismo.

¿Las obligaciones establecidas se aplican a todas las cookies?

No, atendiendo a lo dispuesto en el artículo 22 de la LSSI, quedarían excluidas de la aplicación de la normativa las cookies utilizadas con las siguientes finalidades:

• Permitir únicamente la comunicación entre el equipo del usuario y la red.

• Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido, el Grupo de Trabajo del Artículo 29, en su Dictamen 4/2012 ha interpretado que las cookies exceptuadas serían aquellas que tienen por finalidad:

• Cookies “de entrada de usuario”.

• Cookies de autenticación o identificación de usuario (únicamente de sesión).

• Cookies de seguridad del usuario.

• Cookies de sesión de reproductor multimedia.

• Cookies de sesión para equilibrar la carga.

• Cookies de personalización de la interfaz de usuario.

• Cookies de complemento (plug-in) para intercambiar contenidos sociales.

¿Cómo determinamos qué cookies utiliza nuestra web? La Auditoría de cookies.

La auditoría de cookies tiene por finalidad detectar, identificar y analizar las cookies que cada sitio web tiene implantadas.

La auditoría se realizará a través de diferentes herramientas existentes en el mercado, la información que nos proporcionan los propios navegadores, así como a través de la información obtenida de los departamentos de marketing y desarrollo web.

El objetivo principal de la auditoría es elaborar un inventario de cookies del sitio web, que nos permitirá llevar a cabo el filtrado de cookies en base a los requisitos establecidos por la normativa (técnicas, de personalización, de análisis, publicitarias, de publicidad comportamental, …) y determinar que cookies se encuentran excepcionadas del cumplimiento de las obligaciones legales establecidas.

¿Cuáles son las obligaciones a cumplir en el uso de cookies?

1.- Información: Hay que facilitar al usuario información clara y completa acerca de los datos que van a ser almacenados en las cookies y van a ser objeto de tratamiento,  así como los fines de dicho tratamiento de conformidad con la normativa sobre protección de datos de carácter personal.

La Guía sobre el uso de las cookies (elaborada por la Agencia Española de Protección de Datos –AEPD-, junto a la Asociación Española de Economía Digital –Adigital-, la Asociación para la Autorregulación de la Comunicación Comercial (Autocontrol), la Interactive Advertising Bureau –IAB-, y con la colaboración de la Asociación Española de Anunciantes –Anunciantes- publicada el pasado 29 de abril) recomienda que la información a facilitar debe ser clara y comprensible en función del tipo de usuario y sus conocimientos específicos (habría que partir de un conocimiento reducido).

Dicha información debe estar accesible y visible para el usuario, sin que ello perjudique al diseño y funcionalidad de la página, pudiendo la misma facilitarse por:

• Barra de encabezamiento o pie de página.

• En el momento del alta del usuario o al activar un nuevo servicio.

• Información por capas. En este caso, se facilitará la información esencial en una primera capa (por ejemplo, barra de encabezamiento), completando la misma en una segunda capa (por ejemplo a través de un enlace a una política de cookies más extensa) que ofrezca una información adicional y más completa de todas las cookies disponibles en el sitio web.

2.- Consentimiento: El usuario ha de otorgar su consentimiento a la utilización de las cookies, al igual que la normativa sobre protección de datos personales lo exige para cualquier otra clase de tratamiento.

¿Cómo podemos obtener dicho consentimiento?

El consentimiento exigido podrá obtenerse mediante formulas expresas; “consiento”, “acepto seguido de una casilla a marcar por el usuario, o bien a través de una determinada acción realizada por el usuario; configuración del navegador (en el caso de que el navegador utilizado permita la configuración previa y expresa del usuario), continuar navegando por la página (en el caso de que así se haya informado al usuario de forma clara y visible).

En cualquier caso, ha de obtenerse de forma PREVIA a la instalación de las cookies por parte de la página, según el criterio que parece que está siguiendo la Agencia Española de Protección de Datos tras la apertura del primer procedimiento sancionador en materia de cookies.

Además, para que el consentimiento obtenido sea válido es necesario que sea informado, es decir, que el responsable del sitio haya facilitado toda la información exigida en los términos comentados anteriormente.

Entre los mecanismos propuestos en la Guía para la obtención del consentimiento cabe mencionar los siguientes:

• Aceptación de los “Términos y condiciones de uso de la web o sitio”, “Política de privacidad” o “Política de cookies”.

• Durante el proceso de configuración del funcionamiento de la página web o aplicación.

• En el momento en que se solicite una nueva función de la web o la aplicación.

• Con anterioridad a la descarga de un nuevo servicio o aplicación.

• A través del formato de la información por capas, y su aceptación.

• Configuración del navegador. En este caso, la Agencia Española de Protección de Datos ha comentado que se requiere del desarrollo tecnológico de los navegadores para permitir esta configuración especifica de las cookies vía navegador, requiriéndose en todo caso una conducta activa del usuario, no siendo válido un consentimiento obtenido por la configuración por defecto del navegador.

Por tanto, siguiendo los criterios expuestos los despachos no deberán instalar las cookies sin contar con un consentimiento previo e informado del usuario, siempre y cuando no se trate de aquellas que se encuentran exceptuadas dada su finalidad y tipología, es decir, aquellas que; permiten únicamente la comunicación entre el equipo del usuario y la red o son utilizadas estrictamente para prestar un servicio expresamente solicitado por el usuario.

La elaboración de la Política de Cookies

Identificadas y filtradas las cookies existentes en el sitio web o plataforma, se llevará a cabo la elaboración de la política de cookies, a través de la cual se cumplirá el requisito de información exigido por la normativa aplicable, y que conllevará igualmente el cumplimiento de la obligación de obtención del consentimiento del usuario.

La estructura de la política de cookies será la siguiente:

• Información genérica acerca de la utilización de cookies por el sitio web.

• Información acerca de qué son las cookies.

• Tipos de cookies.

• Uso de cookies por parte del sitio.

a) Cookies propias (identificación de la cookie, finalidad, etc).

b) Cookies de terceros (identificación de la cookie, finalidad, etc).

• Información sobre la configuración para evitar o permitir cookies.

La polémica y la regulación que viene

a) La polémica por el criterio a seguir en materia de consentimiento

Sin duda, la regulación de cookies aplicable y el criterio que parece que sigue la Agencia Española de Protección de Datos, son y van a ser polémicos, en tanto que en la práctica casi la totalidad de las webs y plataformas electrónicas utilizan e instalan cookies de forma previa a contar con el consentimiento de los usuarios, lo que obligará a las mismas a llevar a cabo modificaciones importantes que supondrán un impacto, posiblemente negativo, en las cifras de negocio.

Por otro lado, en otros estados de la Unión Europea con similar normativa, las autoridades de control tienen criterios menos rígidos en relación con la obtención del consentimiento con carácter previo a la instalación de las cookies.

Así por ejemplo el ICO (Information Comissioner´s Office del Reino Unido), reconoce que la mayoría de los sitios web instalan las cookies tan pronto como el usuario visita el site, lo que dificulta la obtención del citado consentimiento previo, y en su Guía para el uso de cookies establece que siempre que sea posible, deberá retrasarse la instalación de cookies hasta que el usuario haya dado su consentimiento o haya realizado su elección en cuanto a la instalación o no de dichas cookies. Cuando no sea posible retrasar la instalación de las cookies, los sitios web deberán ser capaces de demostrar que están haciendo todo lo posible para reducir el tiempo en el que se pone a disposición de los usuarios la información sobre cookies y se le ofrecen opciones al respecto, debiendo en este sentido facilitar una información clara y comprensible y que la misma este fácilmente disponible.

Por tanto, habrá que estar muy pendiente de la resolución del expediente sancionador que se encuentra en la actualidad abierto por la Agencia Española de Protección de Datos, así como de otros casos que puedan definir aún más los requisitos a cumplir, y los criterios seguidos por los organismos de control, tanto a nivel nacional como comunitario, de cara a la determinación de un criterio común en materia de regulación de las cookies, sin olvidar el análisis del impacto que el cumplimiento de estos requisitos puede tener sobre las empresas de la economía digital.

b) La regulación que viene; El Proyecto de Ley General de Telecomunicaciones.

La reforma de la Ley General de Telecomunicaciones que se encuentra en proyecto elimina la condición para que el consentimiento expresado mediante la configuración de los navegadores o dispositivos equivalentes sea válido a los efectos del artículo 22.2, consistente en que el navegador o u otra aplicación pueda configurarse durante su instalación o actualización que requiera, para ello, una acción expresa por parte del usuario.

La eliminación propuesta esta vinculada con la inaplicabilidad de la vigente redacción en los “smartphones”, cuyo navegador está preinstalado, pudiendo condicionar esta mención en la Ley el desarrollo tecnológico y la economía digital.

Esta modificación consiste en la eliminación, en el párrafo segundo del artículo 22.2 de la siguiente redacción actual: “(…) siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.

Por lo tanto, la redacción queda de la siguiente manera:

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

Esta modificación será de gran relevancia, puesto que al no requerir ya una acción expresa del usuario en la instalación o actualización del navegador, podría entenderse que la configuración del navegador manifiesta la voluntad del usuario en relación con el uso de cookies, siendo dicha configuración de los navegadores más comúnmente utilizados “técnicamente posible y eficaz”.

¿Ante qué riesgos se enfrenta el despacho en caso de incumplimiento?

La falta de cumplimiento de lo establecido en el art. 22.2 de la LSSI, puede ser investigada y sancionada por la Agencia Española de Protección de Datos, tanto por ser el organismo con la competencia en cuanto a la aplicación de la LSSI, como por suponer el uso de cookies un tratamiento de datos de carácter personal y ser de aplicación lo establecido en la normativa sobre protección de datos de carácter personal y su régimen sancionador.

En relación con el régimen sancionador, el Proyecto de Ley General de Telecomunicaciones, tipifica conductas infractoras derivadas del artículo 22.2 en materia de cookies, estableciendo:

• Tipificación como infracción grave el “Ignorar deliberada y continuamente la voluntad manifestada por el destinatario para que no se instalen en su equipo terminal dispositivos de almacenamiento y recuperación de datos o seguir tratando los datos recabados después de que se haya revocado su consentimiento”.

• Tipificación como infracción leve el “Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información ni obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2”.

En el primero de los casos, se vincula la infracción grave a la vulneración del consentimiento del usuario final, estableciendo el dolo como condición necesaria para considerar la conducta sancionable. Sin embargo, el precepto habla de la manifestación del usuario de su negativa a la “instalación” de cookies en su terminal.

La tipificación no habla sin embargo de la “utilización” de cookies, que es en lo que debe consentir el usuario según la redacción del artículo 22.2, matiz éste esencial que debería ser aclarado o modificado en el tramite parlamentario previo a su aprobación final.

Enlace al artículo: 'Qué se debe hacer para aplicar la Ley de Cookies a la web de nuestro despacho'