Por Paula Hernández Cobo, Asociada Senior del Área de Governance, Risks & Compliance de ECIX
¿Qué?
Cuando vamos a comprar el pan a nuestra panadería de siempre, solo con vernos entrar por la puerta, el panadero, sabe que tipo de pan queremos. Y si además ese día compramos más cantidad de la habitual, porque vienen invitados, tal vez nos recomiende pasar por la carnicería, porque ese día llega género fresco.
Podríamos decir que en el ciberespacio la memoria del panadero viene sustituida por las cookies, que, entre otras cosas, le recuerdan al site que ya hemos estado allí y cuáles son nuestras preferencias.
Las cookies son archivos que almacenan información en el equipo del usuario y permiten que se acceda a ésta. Entre sus funcionalidades está la de facilitar la navegación por la red pero también pueden desvelar aspectos de la esfera privada de los usuarios, por lo que es importante una adecuada información a los mismos así como disponer de mecanismos que les permitan preservar su privacidad.
Para el usuario, las cookies son transparentes, no nos percatamos de su existencia, esto sucede porque es el propio navegador, quien en función de la configuración, por defecto o personalizada, acepta o rechaza la instalación de las mismas. Las cookies potencialmente pueden almacenar cualquier tipo de información que, directa o indirectamente, aportemos a una web. La clave está en el uso que se haga de esa información y nuestro acuerdo al respecto.
¿Para qué?
La finalidad viene determinada por el tipo de cookies que empleemos.
Las cookies se clasifican de muy diversas formas. Por ejemplo, criterios temporales, así encontramos cookies de “de sesión” o “permanentes”, según el tiempo que permanecen en nuestro ordenador, o criterios de acceso, en función de quién instale las cookies y quien acceda a su contenido, así tenemos las de “primera parte” (first-party cookies) si las instala la web a la que accedemos y solo ella lee el contenido o bien de “tercera parte” (third-party cookies) cuando es un tercero quien instala y accede al contenido, como por ejemplo Facebook oTwitter cuando compartes un contenido desde otra web. También podríamos clasificarlas por la información que recogen o por la finalidad de las mismas, por ejemplo, cookies “técnicas” o cookies “analíticas”. En definitiva, podemos encontrar tantas clasificaciones como colores.
La mala fama a las cookies les viene por las llamadas “cookies de rastreo” (tracking cookies) que son aquellas que, entre otras cosas, personalizan la publicidad que se muestra en nuestra navegación, según las páginas que visitamos y nuestro comportamiento en la web.
Pero no se trata de algo negativo per se. La publicidad orientada tiene aspectos positivos para ambas partes, y en ocasiones se lleva a cabo de forma anonimizada, pero dado que no siempre es así, ha de ser el usuario quién decida si consiente o no el empleo de las cookies.
Siguiendo con nuestro ejemplo del panadero, puede ser que en la panadería se encuentre el carnicero, y escuche que tenemos invitados y que haremos barbacoa, así cuando lleguemos a la carnicería nos ofrecerá productos para ello. Podríamos decir que se trata de una cookie de terceros analógica. Pero ¿qué pasaría si ese mismo escenario se diese en una farmacia y no queremos que la información trascienda? Por eso ha de ser el usuario quien, en el ejercicio de su autodeterminación informativa, decida qué, quién, cómo y cuándo, con respecto a sus datos de carácter personal.
¿Cómo?
Para regular el uso de las cookies la Unión Europea modificó, en 2009, la Directiva 2002/58 sobre privacidad y comunicaciones electrónicas para hacerla más restrictiva e incluir nuevas exigencias, lo que se trasladó a nuestro ordenamiento a través del Real Decreto 13/2012, de 30 de marzo, modificando los artículos 20, 21 y 22 de la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSICE).
La principal novedad, o la que mayor impacto ha tenido, ha sido la exigencia, como regla general, de consentimiento informado expreso por parte del usuario para el uso de cookies, de este modo se permite el uso de cookies a condición de que los [usuarios] hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización.
Para un óptimo cumplimiento de la normativa, lo más recomendable será, en primer lugar, llevar a cabo una precisa identificación de la tipología de cookies vinculadas a nuestra página web. La segunda fase será la clasificación para poder informar de la forma más clara posible, incluyendo la información necesaria en los textos legales de la página.
No necesitaremos consentimiento si nuestras cookies solo sirven: (i) a la transmisión de una comunicación por una red de comunicaciones electrónicas o (ii) son estrictamente necesarias para la prestación de un servicio expresamente solicitado por el destinatario. Así lo recoge el Artículo 22.2 de la LSSICE en su párrafo tercero, transponiendo lo indicado en el Artículo 5.3 de la Directiva Europea.
Así mismo, el Grupo de Trabajo del artículo 29 se ha pronunciado, a través de un Dictamen (Opinion 04/2012 on Cookie Consent Exemption), sobre aquellas cookies que no requerirían consentimiento, como las cookies de “entrada de usuario” o de “identificación de sesión”. De igual forma, se ha considerado que las cookies analíticas de primera parte no generan un riesgo para la privacidad, siempre que puedan ser desactivadas y anonimicen datos como la IP.
Necesitaremos el consentimiento informado para el resto de cookies que empleemos.
Ya disponemos de soluciones técnicas, algunas open source, para dar cumplimiento a esta obligación. Y actualmente es cada vez más frecuente encontrar avisos relativos a las cookies en el acceso a páginas web que las emplean, normalmente mediante ventanas emergentes, o pop ups, que en la práctica han resultado ser menos engorrosas de lo que en un principio se vaticinó.
Es sencillo, accedemos a una web que usa cookies, se abre una ventana que indica donde puedes consultar la información sobre sus cookies, y para recabar la conformidad del usuario, por ejemplo, dos botones: Acepto el uso de cookies/No acepto el uso de cookies.
Encontraremos otras webs, no tan aplicadas, que se resisten a solicitar el consentimiento, bien por ignorancia bien por cuestiones de riesgo-beneficio, en cualquier caso han de contar con la eventual connivencia de los usuarios, de lo contrario podrían ser sancionadas por un tratamiento ilícito de datos de carácter personal y por una vulneración de la LSSICE.
Para alejarnos de esa posibilidad, siempre es recomendable llevar a cabo un análisis de nuestras necesidades y las obligaciones legales relacionadas. Un correcto análisis de los riesgos legales nos aportará información relevante de cara a una acertada toma de decisiones. Una mala opción puede costarnos sanciones y daños reputacionales que podrían evitarse si tenemos en cuenta factores clave. Apoyándonos en soluciones tecnológicas podemos homogeneizar pautas corporativas de cumplimiento sin perder control sobre el nivel del mismo.
En lo que respecta al cumplimiento de la llamada ley de cookies, y para una valoración más precisa de esos riesgos legales, esperamos la elaboración de una guía a semejanza de la elaborada por el Intformation Commissioner’s Office (ICO) por parte de las Autoridades nacionales en la materia, que ayuden a las empresas a entender eimplementar esta normativa con mayores garantías.
