Según la legislación vigente, las sanciones leves derivadas del incumplimiento pueden llegar hasta 30.000 euros, así que es importante poder responder a esta pregunta afirmativamente.
Recientemente, y con motivo de la publicación de nuestra página web, nos hemos visto en la necesidad de comprobar que cumplimos con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), de cuyo ámbito de aplicación se excluyen las páginas que no tengan actividad económica, entendiendo ésta como venta de productos, inclusión de publicidad o promoción de un negocio o una actividad profesional.
De un tiempo a esta parte habrá notado que, al entrar en muchos sitios web, aparece un mensaje tipo pop up o barra informativa en la cabecera o en el pie de página que le avisa, de manera más o menos acertada y extensa, de que la página usa cookies. Además de un enlace con información sobre qué son y cuál es la política de la empresa al respecto, estos mensajes contienen un botón con el que el usuario acepta la instalación de cookies y/o una mención a que, si continúa navegando, estará aceptando implícitamente que éstas se instalen.
A pesar de que la obligación existe desde hace años y la redacción actual del artículo 22.2 de la LSSI es de 2012, ha sido probablemente el abogado Pablo Fdez. Burgueño, del despacho Abanlex, especializado en tecnología, Internet y protección de datos, y autor del blog www.pabloburgueno.com, el responsable de esta repentina proliferación de mensajes informativos sobre los cookies tras haber publicado un post sobre el procedimiento sancionador iniciado por la Agencia Española de Protección de Datos contra una empresa (que él representa) por incumplimiento de esta ley, algo que no había sucedido antes.
Tras las modificaciones del Real Decreto Ley 13/2012 de 30 de marzo, el artículo 22.2 de la ley establece que:
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Empecemos por lo básico: ¿Qué es una cookie?
Según la propia AEPD, es cualquier tipo de archivo o dispositivo que se descargue en el equipo terminal de un usuario con la finalidad de almacenar datos, que podrán ser actualizados y recuperados por la entidad responsable de su instalación.
¿Qué tipos de cookie distingue la AEPD?
– Según la entidad que las gestione, existen cookies propias (las envía el propio sitio web) y de terceros (las envía y gestiona un tercero; por ejemplo, Google con las cookies del servicio Analytics).
– Según el plazo por el que permanecen activas, la AEPD distingue entre cookies de sesión (aquellas que sólo están activas mientras que se está en la página web) o persistentes (que pueden llegar a estar activas desde minutos hasta años).
– Según su finalidad, diferencia entre cookies técnicas (permiten y facilitan la navegación en el sitio web), de personalización (recuerdan, por ejemplo, el idioma predeterminado, el navegador, etc.), de análisis (aquellas que permiten a su responsable, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas) o publicitarias (siguen el comportamiento en Internet del usuario para mostrarle la publicidad más acorde a su perfil).
¿Equipara la ley las obligaciones con respecto a todas las cookies?
No. Las cookies que son puramente técnicas y que sirven para el funcionamiento de la página, así como las que son necesarias para la prestación de un servicio requerido por el usuario, deben aparecer en la página que recoja la información sobre las cookies y sobre la política de la empresa acerca de ellas, pero no es necesario recabar el consentimiento previo para su instalación.
¿Qué debo hacer para cumplir con el artículo 22.2?
La AEPD indica que se debe informar al usuario y, además, obtener su consentimiento. Veamos cómo hacerlo según su propia guía:
a) Deber de información
La información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser lo suficientemente completa como para permitir a los usuarios entender la finalidad para la que se instalan y conocer los usos que se les darán.
En primer lugar, hay que avisar de que se instalan cookies al navegar por la página, si son propias o también de terceros y cuál es su finalidad, y advertir en caso de que alguna acción del usuario implique su aceptación. El campo de información debe contener un enlace a una página que proporcione los siguientes datos: definición y función de las cookies, listado de todas las que instala la página y su utilidad, información de cómo desactivar o eliminar las cookies a través de la propia web, o en función de cada navegador y, por último, identificación de quien utiliza las cookies (el propio editor o terceros).
b) Obtención del consentimiento
El consentimiento podrá ser otorgado de manera explícita haciendo clic en el botón o campo habilitado al efecto o de forma implícita, mediante una actividad en la página si permanece en ella tras recibir información sobre las cookies (si así se le ha advertido en el pop up o banner). Lo fundamental aquí, y esto es lo que aporta la redacción del precepto desde el RDL 13/2012, es que el consentimiento ha de ser ANTERIOR a la instalación de las cookies, y es en este punto donde un gran número de páginas web vulnera la Ley.
Salvo las excepciones antes comentadas, antes de instalar una sola cookie en el ordenador del usuario de tu página web, debes haberle informado de manera clara y haber recibido su autorización.
Por tanto, estarás incumpliendo la ley si:
– No avisas claramente por medio de una barra informativa o mensaje pop up de que tu página web instala cookies, explicas la finalidad de éstas y facilitas un enlace a otra página en la que desarrollas toda la información requerida.
-No requieres el consentimiento expreso mediante un clic de aceptación o avisas de que el uso de la web presupone la aceptación de la instalación de cookies.
– No bloqueas la instalación de cookies hasta que recibas el consentimiento del usuario para que éstas se descarguen en su equipo.
¿Cómo puedo saber qué cookies descarga mi web?
Para averiguar de forma sencilla qué cookies instala tu página entra en el navegador Chrome de Google y borra la caché, el historial y las cookies; después, escribe en la barra de dirección la URL de tu web y luego haz clic en el icono que aparece justo antes de la dirección. De esta manera podrás ver qué cookies instala tu página.
¿Qué consecuencias puede tener el incumplimiento?
Pues, a tenor de la ley y de las interpretaciones, creo que muy acertadas, que de ella hacen en sus blogs tanto Ruth Benito Martín (www.conlaveniasenorias.com) como Pablo Fernández Burgueño (www.pabloburgueno.com), hoy por hoy, la ley establece que el incumplimiento de la obligación de informar y de establecer un procedimiento de rechazo (incluyendo el bloqueo de la instalación de las cookies hasta que se recabe el consentimiento) puede alcanzar los 30.000 euros de multa en caso de sanciones leves y hasta los 150.000 euros en los casos más graves, por incumplimientos significativos.
Conclusiones
Dado que es técnicamente imposible que un gran número de páginas creadas en ciertas plataformas cumplan con el precepto, ya que no es posible bloquear las cookies hasta que se reciba la aceptación del usuario y que, aplicando el sentido común, nadie debería entender las cookies de análisis, sin identificación del usuario, como un caballo de Troya contra nuestro derecho a la intimidad, la esperanza está puesta en que, a raíz del expediente sancionador abierto, la AEPD en su resolución acabe de alguna manera equiparando las cookies analíticas a las técnicas o de funcionamiento y se conforme con el cumplimiento del obligado deber de información sin requerir además el consentimiento previo, en estos casos.
No obstante, es imposible saber qué camino tomará finalmente la AEPD en su interpretación del precepto hasta que haya una resolución sobre el expediente sancionador abierto, y si bien podemos considerar improbable que de oficio verifiquen el cumplimiento de la ley en tu sitio web, quizás entretanto pueda visitar tu página el mismo usuario que denunció a la compañía expedientada, o alguno con tan exquisita sensibilidad para con su intimidad, y en casos de denuncia la AEPD tendrá que abrir expediente.
Es en este punto cuando el propietario de una web, que no pueda técnicamente bloquear las cookies hasta que reciba la autorización para instalarlas, se ve en la tesitura de tener que elegir entre una de las dos opciones siguientes:
* Deshabilitar las cookies sacrificando así la información que Google proporciona a través de su servicio Analytics y que permite conocer el número, la localización geográfica, el comportamiento y otros parámetros sobre los visitantes de la página.
* Seguir manteniendo esas cookies analíticas habilitadas, cumpliendo con todas las obligaciones de la ley salvo la de bloqueo hasta la aceptación por parte del usuario, y confiar en que la AEPD no inicie un expediente de oficio.
Luis M. Vicente Burgos
VICENTE & OTAOLAURRUCHI ABOGADOS
